IoT vernetzt die Welt – IoT Security ist unverzichtbar

Veröffentlicht am 17. Juni 2022 | von Reto Amstad | Product Cyber Security | IoT Security | Security by Design

Das IoT (Internet of Things) durchdringt mittlerweile alle Branchen und eröffnet unzählige neue Möglichkeiten und Geschäftsmodelle. Im Fachreferat der CyOne Security an der «IoT Inspire Zurich» kamen nicht nur das Potenzial der zunehmend vernetzten Welt, sondern auch die damit verbundenen IoT Security-Herausforderungen zur Sprache. Erfahren Sie im Blogpost mehr über wirkungsvolle Strategien im Umgang mit den Gefahren des IoT.

«Internet of Sustainable Things» lautete der Leitgedanke der «IoT Inspire Zurich 2022» vom 9. Juni 2022. Die vom IoT Business Hub organisierte Konferenz mit internationaler Reichweite bot führenden IoT-Playern aus der Industrie und Wissenschaft eine Plattform für Networking, Tech Talks, Wissens- und Erfahrungsaustausch.

IoT: enormes Potenzial

Das Potenzial des IoT (Internet of Things) ist gross – nicht nur hinsichtlich Nachhaltigkeit. Dies wurde im Fachreferat «IoT Security in a Connected World» der CyOne Security deutlich. Durch die Vernetzung von physischen Systemen und virtuellen Anwendungen werden riesige Datenmengen gewonnen.

Legt man den Fokus auf Unternehmen, wird klar, dass IoT-basierte Produkte und daran gekoppelte Dienstleistungen Nutzen auf verschiedensten Ebenen generieren:

Prozessoptimierung: Durch IoT-Lösungen können unternehmensinterne und externe Prozesse effizienter gestaltet werden. Unternehmensübergreifende IoT-Ökosysteme steigern die Effizienz und ermöglichen Kosteneinsparungen.
Neue Geschäftsmodelle: Das IoT eröffnet neue Geschäftsmöglichkeiten. Unternehmen können Services mit Mehrwert anbieten und mit plattformbasierten Geschäftsmodellen zusätzliche Umsätze erzielen.
Verbessertes Kundenerlebnis: IoT-basierte Produkte und Services bieten sich auf verschiedensten Märkten als Mittel zur Differenzierung an. Sie ermöglichen neue Formen der Kundeninteraktion und tragen zur Kundenbindung bei.

IoT durchdringt alle Branchen

Das weltweite IoT-Netzwerk wird immer dichter. Bis 2025 sind gemäss Marktforschern weltweit 75 Milliarden Geräte vernetzt. 72% der Unternehmen gehen davon aus, dass das IoT innerhalb der nächsten drei Jahre für sie wichtig bis sehr wichtig wird. Das IoT ist nicht aufzuhalten und prägt unterdessen alle Branchen, von Smart Healthcare über Smart Industry, Smart Energy bis hin zum Smart Government und Smart Mobility.

Durch IoT zu cyber-physischen Produktionssystemen

Exemplarisch für den Aufschwung des IoT und der digitalen Transformation steht die Industrie 4.0: Die heutigen Produktionsprozesse werden komplett umgewälzt. An die Stelle der heute vornehmlich vertikalen Integration und der meist klaren und starren Trennung von IT- und OT-Anwendungen treten nun hochagile und stark vernetzte Produktionssysteme, sogenannte «cyber-physische Produktionssysteme» (CPPS). Dabei zeichnen sich CPPS wie folgt aus:

Unternehmensebene, Leitebene und Teile der Steuerungsebene werden in modularen IT-Systemlandschaften zusammengefasst.
Es entstehen IoT-Verbindungen auf verschiedenen Ebenen der Automatisierungspyramide – von der Feldebene bis zur Leit- und Steuerungsebene.
Lieferanten, Hersteller und Kunden können notwendige Kennzahlen zum Beispiel über Cloud-Services oder Remote-Zugänge in Realtime beziehen oder werden sogar vollständig in dieses System eingebunden.

Durch diese neuen Vernetzungen entsteht ein komplexes und häufig autonom arbeitendes IoT-Ökosystem, welches besser auf die Kundschaft abgestimmte, smarte Produkte zu tieferen Produktionskosten verspricht.

Vernetzte Produktionsinfrastruktur

IoT bietet Einfallstore für Cyber-Kriminelle

Aus Sicherheitsperspektive sind die potenziell hohen Cyber-Risiken von CPPS eine grosse Herausforderung: Der Datenaustausch in Echtzeit zwischen den zahlreichen internen und externen Stakeholder führen zu vielen Schnittstellen und damit unterschiedlichen Datenhoheiten auf verschiedenen Ebenen innerhalb des Systems. Diese Tatsache sowie die vielen externen Anbindungen und Inter-Device-Verbindungen erleichtern es zukünftig Cyber-Kriminellen noch mehr, einen Zugang zu finden, um an die Daten, Prozesse oder geistiges Eigentum zu gelangen.

Ein Blick auf das IoT allgemein zeigt: IoT-Sicherheitslücken können sich überall öffnen. IoT-Anwendungen sind deshalb so anfällig auf Cyber-Attacken, weil viele Geräte wie zum Beispiel ein Medtech Device oder eine Maschinensteuerung ursprünglich nicht für eine Vernetzung entwickelt worden sind. Man kann sie zwar vernetzen, doch sie widerstehen Angriffen nicht, weil sie ungenügend gehärtet und oft ungepatched sind. Darüber hinaus sind die meist Linux- / Unix-basierten Systeme oftmals rund um die Uhr in Betrieb, immer online, leicht ausnutzbar, oft schlecht gewartet beziehungsweise aktualisiert, selten überwacht und entsprechen nur geringen Security-Standards. Zudem liefern sie, in Kombination mit der Kenntnis zum Einsatzumfeld, zunehmend Auskunft über den Benutzer oder kritische Prozesse.

IoT-Anwendungen sind auch meistens nicht stand-alone, sondern vielmehrt Bestandteil eines komplexen IoT-Ökosystems. Diese beinhalten häufig eine Vielzahl von Geräten – von einfachen Sensoren bis hin zu komplexen Servern sowie weiterer Hardware dazwischen. Auch die Art der Daten ist vielfältig: von der Verarbeitung von Einzeltransaktionen bis hin zur Erfassung riesiger Mengen an Sensordaten, die an unterschiedlichen Stellen erhoben, aggregiert und analysiert werden.

Über die vielschichtigen Angriffsflächen im IoT-Ökosystem können sich Cyber-Kriminelle Zugriff auf sämtliche IoT Layer verschaffen und dadurch sowohl auf die OT- und IT-Infrastruktur des Unternehmens als auch auf die smarten Geräte, Maschinen und Anlagen im jeweiligen Anwendungsfeld zugreifen. In vielen Branchen steht dabei viel auf dem Spiel, insbesondere bei Kritischen Infrastrukturen wie Smart Healthcare, der Smart Mobility oder der Smart Energy.

Sicheres IoT durch «Security by Design»

Die massive Zunahme von Cyber-Angriffen auf IoT-Geräte zwingt die Industrie zum Handeln. Sie muss IoT-Risiken erkennen und managen, um ihre Kerngeschäfte und Infrastrukturen zu schützen. Das Potenzial der Digitalisierung und der einhergehenden IoT-Vernetzung lässt sich nur ausschöpfen, wenn die IoT Cyber-Resilienz nicht ausser Acht gelassen wird. Zentral dabei ist, die Product Cyber Security von Anfang an mitzudenken. Um IoT-Gefahren zu minimieren, ist die Nachrüstung mit Sicherheitskomponenten um das Gerät herum der falsche und teurere Weg. Sie erhöht die Kosten und ist oft keine nachhaltige Sicherheitslösung.