Das Internet der Dinge gehört zu den eher unsicheren Regionen der Cyberwelt. Berichte über erfolgreich gehackte Geräte sind so zahlreich, dass sie mittlerweile zur Folklore zählen. Wir beleuchten Ursachen der IoT-Sicherheitskrise und zeigen, was Gesetzgeber und Standardisierungsgremien derzeit dagegen aufbieten. Einen besonderen Fokus legen wir darauf, wie IT-Verantwortliche durch den Dschungel von unsicheren IoT-Geräten und Sicherheitsnormen navigieren.
Mit dem Internet of Things (IoT) sind neue Produkte und Geschäftsmodelle, effizientere Geschäftsprozesse, smarte Infrastrukturen oder die komfortablere Nutzung von Dingen des täglichen Lebens möglich. Gleichzeitig dringen allerdings die bekannten Sicherheitsprobleme der Informationstechnik in die Welt der Dinge ein. Da IoT-Geräte eher zu den geringwertigen Wirtschaftsgütern zählen, sind sie typischerweise nicht das eigentliche Ziel von Angriffen, sondern ein Weg, um höherwertige Ziele zu attackieren. Das Bild auf der nächsten Seite gibt einen Überblick über drei verbreitete Missbrauchsszenarien am Beispiel einer Überwachungskamera an einem smarten Gebäude.
Risiken im IoT
Das häufigste Szenario ist der Missbrauch von IoT-Geräten in sogenannten IoT-Botnetzen (Variante A). Solche Netze können Tausende von kompromittierten Devices umfassen. Mit der vereinten Kraft der gehackten Geräte lassen sich in DDoS-Attacken Webseiten lahmlegen oder sonstige Dienste im Internet stören. Botnetz-Malware verbreitet sich häufig über offene Telnet- oder SSH-Ports in Verbindung mit ungenügend geschützten Accounts. Die bekannteste dieser Art ist die Mirai-Malware, die 2016 zum ersten Mal in einer DDoS-Attacke in Erscheinung getreten ist. Seitdem wurde die Schadsoftware in mehreren Varianten weiterentwickelt. Sie nutzt zur Verbreitung neben schlecht gesicherten Konten auch zahlreiche weitere Sicherheitslücken wie beispielsweise Remote Command Injection aus.
IoT-Geräte sind nicht nur mit dem Internet verbunden, sondern in der Regel auch gleichzeitig Teil eines Firmen- oder Heimnetzes. Der Zugang zu einem unsicheren IoT-Gerät kann daher auch dazu dienen, solche Netze auszuspähen und verwundbare IT-Dienste in diesen Netzen anzugreifen (Variante B). Ein bekanntes Beispiel ist der Fall eines mit IoT-Sensoren ausgestatteten smarten Aqua-riums in einem nordamerikanischen Kasino [1]. Das über Internet erreichbare Aquarium nutzten Hacker als Sprungbrett, um Zugang zu einer Datenbank des Kasinos zu erlangen und deren Inhalt zu kopieren. Der Einbruch wurde erst entdeckt, nachdem Mitarbeitern der ungewöhnlich hohe Internetverkehr des Aquariums aufgefallen ist. Attacken dieser Art werden typischerweise von zwei Schwachpunkten ermöglicht: Sicherheitslücken auf dem IoT-Gerät und einer ungeschickten Netzarchitektur, die es dem Angreifer gestattet, ausgehend vom gekaperten Gerät weitere Systeme des internen Netzes zu infiltrieren.
Mit dem Internet of Things (IoT) sind neue Produkte und Geschäftsmodelle, effizientere Geschäftsprozesse, smarte Infrastrukturen oder die komfortablere Nutzung von Dingen des täglichen Lebens möglich. Gleichzeitig dringen allerdings die bekannten Sicherheitsprobleme der Informationstechnik in die Welt der Dinge ein. Da IoT-Geräte eher zu den geringwertigen Wirtschaftsgütern zählen, sind sie typischerweise nicht das eigentliche Ziel von Angriffen, sondern ein Weg, um höherwertige Ziele zu attackieren. Das Bild auf der nächsten Seite gibt einen Überblick über drei verbreitete Missbrauchsszenarien am Beispiel einer Überwachungskamera an einem smarten Gebäude.
Risiken im IoT
Das häufigste Szenario ist der Missbrauch von IoT-Geräten in sogenannten IoT-Botnetzen (Variante A). Solche Netze können Tausende von kompromittierten Devices umfassen. Mit der vereinten Kraft der gehackten Geräte lassen sich in DDoS-Attacken Webseiten lahmlegen oder sonstige Dienste im Internet stören. Botnetz-Malware verbreitet sich häufig über offene Telnet- oder SSH-Ports in Verbindung mit ungenügend geschützten Accounts. Die bekannteste dieser Art ist die Mirai-Malware, die 2016 zum ersten Mal in einer DDoS-Attacke in Erscheinung getreten ist. Seitdem wurde die Schadsoftware in mehreren Varianten weiterentwickelt. Sie nutzt zur Verbreitung neben schlecht gesicherten Konten auch zahlreiche weitere Sicherheitslücken wie beispielsweise Remote Command Injection aus.
IoT-Geräte sind nicht nur mit dem Internet verbunden, sondern in der Regel auch gleichzeitig Teil eines Firmen- oder Heimnetzes. Der Zugang zu einem unsicheren IoT-Gerät kann daher auch dazu dienen, solche Netze auszuspähen und verwundbare IT-Dienste in diesen Netzen anzugreifen (Variante B). Ein bekanntes Beispiel ist der Fall eines mit IoT-Sensoren ausgestatteten smarten Aqua-riums in einem nordamerikanischen Kasino [1]. Das über Internet erreichbare Aquarium nutzten Hacker als Sprungbrett, um Zugang zu einer Datenbank des Kasinos zu erlangen und deren Inhalt zu kopieren. Der Einbruch wurde erst entdeckt, nachdem Mitarbeitern der ungewöhnlich hohe Internetverkehr des Aquariums aufgefallen ist. Attacken dieser Art werden typischerweise von zwei Schwachpunkten ermöglicht: Sicherheitslücken auf dem IoT-Gerät und einer ungeschickten Netzarchitektur, die es dem Angreifer gestattet, ausgehend vom gekaperten Gerät weitere Systeme des internen Netzes zu infiltrieren.
Die Angriffsvariante mit dem höchsten Schadenspozential richtet sich gegen die physischen Ressourcen und Prozesse, die von IoT-Geräten vermessen und beeinflusst werden (Variante C). Gehackte Überwachungskameras und Zugangssysteme können zum Einsatz kommen, um unerlaubten Zugang zu Gebäuden zu erlangen. Manipulierte Sensorwerte erlauben beispielsweise, die Klimatisierung eines automatisierten Gebäudes in extreme Temperaturbereiche zu treiben. Die Liste möglicher Schadensfälle ist lang und reicht bis zur Sabotage von medizinischen Geräten, Industrieanlagen oder kritischen Infrastrukturen in der Wasser- und Energieversorgung.
Für diese Art von Angriffen sind IoT-Devices auch dann ein lohnendes Ziel, wenn sie nicht direkt aus dem Internet, sondern zum Beispiel nur aus einem Firmennetz erreichbar sind. Hacker versuchen dann, zunächst in das Firmennetz einzudringen und es danach nach angreifbaren IoT-Geräten zu scannen.
Ursachen der IoT-Sicherheitskrise
Die Gründe für die IoT-Unsicherheit sind vielfältig: Sie sind von ökonomischen, technischen und personellen Zwängen, aber auch von mangelndem Sicherheitsbewusstsein auf Hersteller- und Anwenderseite geprägt. Speziell im Consumer-Bereich handelt es sich oft um Low- Cost-Produkte, bei deren Entwicklung die primäre Funktionalität und die Time-to-Market im Vordergrund stehen. Sicherheit ist bei solchen Produkten allenfalls zweitrangig.
Die Unerfahrenheit von Entwicklungsteams kann ein weiterer Grund für Sicherheitslücken sein. Beim Design von IoT-Geräten ist sowohl Erfahrung in der Programmierung von Embedded-Systemen als auch Sicherheits-Know-how gefragt. Passende Personalressourcen zu finden, kann auch für etablierte Hersteller eine Herausforderung sein. IoT-Devices besitzen typischerweise geringe Verarbeitungs- und Speicherkapazitäten. Endgeräteschutz-Produkte aus der klassischen IT wie etwa eine lokale Firewall, Anti-Malware oder Monitoringagenten sind auf solchen Geräten in der Regel nicht implementierbar.
Manche Geräte sind aufgrund technischer Restriktionen nicht in der Lage, Firm-ware-Updates auszuführen. Sicherheitslücken können bei solchen Anlagen gar nicht geschlossen werden. Aber auch bei Equipment, das dazu in der Lage ist, wird die Firmware oft verspätet aktualisiert. Zum Beispiel weil der Hersteller neue Images erst nach Monaten bereitstellt oder weil das Patchmanagement für IoT-Geräte nicht im Fokus des verantwortlichen Betriebsteams steht. Manchmal ist dem Hersteller gar nicht bewusst, dass sein Produkt Sicherheitsupdates benötigt, obwohl die Sicherheitslücke schon länger bekannt ist. Das ist insbesondere dann der Fall, wenn im Gerät fehlerhafte Softwarekomponenten von Drittherstellern oder Open-Source-Bibliotheken arbeiten, beim Hersteller jedoch kein Vulnerability-Management-Prozess implementiert ist oder es keine vollständige Software-Stückliste (Software Bill of Material, SBoM) für das Produkt gibt.
Aufgrund der Update-Problematik und des Umstands, dass IT-Teams den Malware-Befall häufig gar nicht oder erst nach Tagen oder Monaten erkennen, können sich Hacker darauf verlassen, dass ein einmal gekapertes Device sehr wahrscheinlich über einen längeren Zeitraum für kriminelle Aktivitäten zur Verfügung steht.
Bedrohung wächst schneller als Sicherheitsbewusstsein
Angesichts der beschriebenen Problemfelder ist es nicht verwunderlich, dass IoT-Geräte für Hacker eine niedrig hängende Frucht darstellen und sich daher zunehmender Beliebtheit als Angriffsziele erfreuen. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) berichtet in ihrem Report zur Bedrohungslandschaft 2022 [2], dass DDoS-Attacken zunehmend von mobilen und IoT-Geräten ausgehen. Der IT-Sicherheitsanbieter Check Point berichtet im April 2023 über einen Anstieg der IoT-Cyberattacken um 41 Prozent gegenüber dem gleichen Vorjahreszeitraum [3].
Dieser Trend geht mit einer zunehmenden Professionalisierung der Angreifer einher. Malware-as-a-Service hat sich als krimineller Wirtschaftszweig etabliert und Foren des Dark Web fungieren als Marktplatz, auf dem Angebote und Nachfragen publiziert werden. Zudem ist davon auszugehen, dass im Zuge wachsender geopolitischer Spannungen zunehmend auch nationalstaatliche Akteure in diesem Umfeld aktiv sind. Das Interesse solcher Personenkreise dürfte sich insbesondere gegen kritische Infrastrukturen richten. Gleichzeitig nimmt die Zahl an IoT-Geräten weiter zu. Nach einer Statistik des Statista-Portals [4] wird sich die weltweite Zahl der IoT-Geräte im Zeitraum 2023 bis 2030 nahezu verdoppeln. Mit der Anzahl der Anlagen wird auch das Bedrohungspozential weiter anwachsen.
Trotz der steigenden Bedrohung deutet vieles darauf hin, dass das Sicherheitsbewusstsein bei Geräteherstellern und -betreibern noch nicht im gleichen Maß gestiegen ist: Eine Statistik in einem Microsoft-Report [5] legt nahe, dass mit User-Passwort-Kombinationen der Art "root-123456", "admin-admin", "admin-admin123" und Vergleichbaren auch etliche Jahre nach den ersten Angriffen dieser Art immer noch erfolgreich Accounts auf IoT-Geräten gehackt werden können.
Die auf Cybersecurity spezialisierte Firma Forescout hat 2020 das Projekt Memoria gestartet [6]. Im Rahmen des Projektes wurden 14 häufig verwendete TCP/IP-Stacks untersucht und dabei 97 Schwachstellen gefunden. Diese Stacks werden in unterschiedlichen vernetzten Geräten von insgesamt 422 Herstellern verwendet. 80,9 Prozent dieser Hersteller haben bis jetzt keine öffentliche Reaktion auf die Untersuchungsergebnisse gezeigt. Ein ähnliches Bild ergibt sich aus einer Studie der IoT Security Foundation von 2022 [7]. Diese kommt zum Ergebnis, dass weltweit nur rund 27 Prozent der Hersteller von Consumer-IoT-Geräten eine Richtlinie zum Umgang mit gemeldeten Schwachstellen (Vulnerability Disclosure Policy) besitzen. Unter den Anbietern mit Firmensitz in Europa waren es sogar nur 14,47 Prozent – ein befremdliches Ergebnis angesichts der oft behaupteten europäischen Vorreiterrolle in Sachen IT-Sicherheit und Datenschutz.
Initiativen der Gesetzgeber
Offensichtlich reichen Marktkräfte allein nicht aus, um die problematische Sicherheitssituation von IoT-Geräten in den Griff zu bekommen. Daher haben Gesetzgeber weltweit die Initiative ergriffen, zur Cybersicherheit im Allgemeinen wie auch zur Sicherheit von IoT-Systemen im Besonderen. Die für Cybersicherheit wichtigen Vorgaben auf europäischer Ebene sind unter anderem die Richtlinien NIS-1 und NIS-2 (Network and Information Security). In Deutschland sind die Anforderungen der NIS-Richtlinien im IT-Sicherheitsgesetz abgebildet. Die aktuelle Version ist das IT-Sicherheitsgesetz 2.0. Es wird erwartet, dass die Anforderungen von NIS-2 2024 in ein IT-Sicherheitsgesetz 3.0 einfließen werden.
Mit dem IT-Sicherheitsgesetz 2.0 wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt, die Voraussetzungen für ein freiwilliges IT-Sicherheitskennzeichen zu schaffen. Ziel des Kennzeichens ist es, die Securityeigenschaften von IT-Produkten sichtbar zu machen. Aktuell definiert das BSI drei Produktkategorien [8]: Breitband-router, E-Mail-Dienste und smarte Verbrauchergeräte.
Unter smarten Verbrauchergeräten werden Geräte verstanden, die vernetzt kommunizieren können und in der Regel mit dem Internet verbunden sind. In diese Kategorie fallen Kameras, Smart-TVs, Spielzeug, Garten- und Haushaltsroboter, Gateways und Hubs für Heimautomatisierung oder Gesundheitstracker. Geräte dieser Kategorie können ein IT-Sicherheitskennzeichen erhalten, wenn sie die Sicherheitsnorm ETSI EN 303 645 erfüllen. Stand Oktober 2023 befinden sich in der Liste des BSI allerdings nur zwei Produkte dieser Kategorie, die ein IT-Sicherheitskennzeichen erhalten haben.
Nicht in die BSI-Kategorie der smarten Verbrauchergeräte fallen Allzweckgeräte wie Computer, Smartphones oder Tablets. Ebenso ausgenommen sind intelligente Türschlösser und Warnmelder sowie Produkte, bei denen Fehlfunktionen zu ernsthaften Verletzungen oder einer Gefahr für Leib und Leben führen können. Solche Anlagen müssen strengere Sicherheitsanforderungen erfüllen, die über ETSI EN 303 645 hinausgehen.
Auf europäischer Ebene gibt es aktuell eine weitere Initiative, die Auswirkungen auf die CE-Kennzeichnung von IoT-Geräten hat. Mit dem CE-Siegel bestätigt ein Hersteller, dass sein Produkt den CE-Richtlinien der EU genügt. Je nach Produkttyp sind unterschiedliche Richtlinien einzuhalten. Geräte mit Funkschnittstelle müssen der Funkanlagen-Richtlinie (Radio Equipment Directive, RED) entsprechen.
Die europäische Kommission hat Anfang 2022 eine Ergänzung der Funkanlagen-Richtlinie in Form einer sogenannten Delegierten-Verordnung (Delegated Act) auf den Weg gebracht [9]. Darin ist festgelegt, dass funkbasierte Geräte, die auch in der Lage sind, direkt oder indirekt über Internet zu kommunizieren, besondere Anforderungen hinsichtlich Schutz von Netzwerkressourcen, Datenschutz und Schutz vor Betrug erfüllen müssen.
Zu den betroffenen Geräten gehören Smartphones, Tablets, Laptops, Kameras, Smart Watches, Fitnesstracker, Kinderspielzeug, Babymonitore und andere. Da die Anforderungen in der Funkanlagen-Richtlinie abstrakt gehalten sind, wurde die europäische Standardisierungsorganisation CEN beauftragt, konkretisierende Standards für die Evaluierung von Produkten zu entwickeln. Die Ergebnisse sollen bis Mitte 2024 vorliegen. Alle betroffenen Geräte, die ab August 2025 in Verkehr gebracht werden, müssen diese Standards einhalten, um eine CE-Kennzeichnung tragen zu dürfen.
Eine ähnliche Initiative kündigte kürzlich die Biden-Harris-Administration in den USA an. Dort soll ein als "U.S. Cyber Trust Mark" bezeichnetes Gütesiegel für IoT-Produkte zur Verfügung stehen und auf Standards des National Institute of Standards and Technology (NIST) basieren. In Europa ist zu erwarten, dass die Erweiterung der Funkanlagen-Richtlinie Druck auf die Gerätehersteller ausübt, da anders als beim freiwilligen IT-Sicherheitskennzeichen des BSI die CE-Kennzeichnung Voraussetzung ist, um Geräte auf dem europäischen Markt in den Verkehr zu bringen.
Sicherheitsstandards für IoT-Geräte
Prüfbare Sicherheitsstandards sind Voraussetzung für die Vergabe von Sicherheitszertifikaten für IoT-Anlagen. Unterschiedliche Akteure haben bereits solche Anforderungen entwickelt oder sind im Begriff, diese aufzustellen. Unsere Tabelle enthält eine Auswahl der wichtigsten existierenden und geplanten Standards.
Wie sich an der Tabelle erkennen lässt, gibt es eine Reihe von Vorgaben zur Sicherheit von IoT-Geräten. Trotz dieser Vielfalt sind die Basisanforderungen an die Gerätesicherheit in allen Fällen ähnlich. Dies ist nicht verwunderlich, da die Sicherheitsprobleme weltweit dieselben sind und es zwischen den Standardisierungsgremien einen regelmäßigen Informationsaustausch gibt. Wir gehen nur auf ETSI EN 303 645 im Detail ein. Diese Norm konzentriert sich zwar auf Consumer-Geräte, ist jedoch auch für das professionelle Umfeld von Interesse. Zum einen finden sich auch im professionellen Umfeld mitunter Consumer-Geräte, zum anderen wäre es auch für Devices im professionellen Umfeld ein Fortschritt, wenn sie wenigstens einige Anforderungen von ETSI EN 303 645 erfüllen. Diese sind in Gruppen eingeteilt, die die entsprechende Tabelle beschreibt. Dabei belassen wir die Gruppenüberschriften unverändert in der englischen Form des Standards [10].
Definiert Basisanforderungen an die Sicherheit von IoT-Geräten. Auf dieser Grundlage sollen spezifischere Standards für vertikale Märkte (Gesundheitswesen, Industrie, Consumer et cetera) aufbauen. Die Veröffentlichung ist für No- vember 2023 geplant.
ISA/IEC 62443-4-2 mit IoT-spezifischen Anpassungen
Bildet die Grundlage der Zertifizierung "IIoT Component Security Assurance" (ICSA). Diese gibt die International Society of Automation (ISA) heraus. Der Fokus liegt auf Geräten im in dustriellen IoT.
Standards des amerikanischen National Insti- tute of Standards and Technology (NIST). NIST- IR 8259A ist vergleichbar mit ETSI EN 303 645, stellt jedoch zusätzliche Anforderungen an den Gerätehersteller hinsichtlich Dokumentation, Produktsupport und Kundenkommunikation.
ETSI EN 303 645 (Cyber Security for Consumer Internet of Things: Baseline Requirements)
Standard des European Telecommunications Standards Institute (ETSI). Nimmt international eine Vorreiterrolle ein.
CEN-CENELEC (Common security requirements for radio equipment – Arbeitstitel)
Sicherheitsstandard für IoT-Geräte mit Funkschnittstelle. Bildet die Grundlage für die zukünftige CE-Kennzeichnung von IoT-Geräten (siehe oben: Delegierte Verordnung zur Funkanlagen-Richtlinie). Veröffentlichung geplant bis Mitte 2024.
Was beim Kauf von IoT-Geräten zu beachten ist
In einer idealen Welt tragen Geräte anerkannte Sicherheitskennzeichen, die erkennen lassen, welche Sicherheitseigenschaften sie besitzen und für welche Einsatzzwecke sie infolgedessen geeignet sind. Die IoT-Welt ist jedoch noch etliche Jahre von einem solchen Idealzustand entfernt. In der Regel stoßen IT-Verantwortliche heute auf Produktangebote, die weder ein IT-Sicherheitskennzeichen tragen noch erkennen lassen, ob sie irgendeinen IT-Sicherheitsstandard erfüllen.
Die CE-Kennzeichnung in der derzeitig gültigen Form macht nur Aussagen über die funktionalen Sicherheitseigenschaften eines Geräts. Diese lassen jedoch keine Rückschlüsse auf die Cybersicherheit zu. Ein etablierter Sicherheitsstandard wie der vorgestellte ETSI EN 303 645 kann jedoch als Checkliste zur Prüfung der Produktunterlagen oder zur Befragung des Herstellers dienen.
Auch wenn ein Gerät ein IT-Sicherheitszertifikat besitzen sollte, kann dies allenfalls garantieren, dass das Device zum Zeitpunkt der Zertifizierung frei von bekannten Sicherheitslücken war. Es können jedoch jederzeit neue Exploits auftauchen, die auch ein zertifiziertes Gerät betreffen. Umso wichtiger ist es, dass ein Hersteller seine Sicherheitsverantwortung während der Supportphase ernst nimmt. Ein Indikator für die diesbezügliche Seriosität des Anbieters ist das Vorhandensein einer Vulnerability Disclosure Policy. In der Studie der IoT Security Foundation [7] sind Unternehmen aufgelistet, die eine solche Policy derzeit unterstützen.
Ein weiterer Indikator für die Seriosität eines Vendors ist das Vorhandensein einer Software Bill of Material, die alle verwendeten Softwarebausteine mit Versionsangabe enthält. Diese ist einerseits Grundlage seines eigenen Vulnerability-Management-Prozesses während der Supportphase. Sie kann jedoch auch dem Käufer dienen, um bei Bekanntwerden neuer Sicherheitslücken unabhängig zu prüfen, ob sein gekauftes Gerät von der Lücke betroffen ist.
Gruppen der Anforderungen von ETSI EN 303 645
Gruppe
Ziel der Anforderung
No universal default passwords
Soll die bekannte Problematik der Standardaccounts mit Standardpasswörtern verhindern.
Implement a means to manage re- ports of vulnerabilities
Fordert vom Gerätehersteller, dass er einen Prozess implementiert, um Sicherheitslücken zu melden, und der zudem sicherstellt, dass Lösungen im angemessenen Zeitrahmen entwickelt werden. Der Hersteller ist zudem aufgefordert, selbst aktives Sicherheitsmonitoring zu betreiben, indem er zum Beispiel Meldungen über Sicherheitslücken in Softwarekomponenten verfolgt.
Keep software updated
Die Software eines Geräts muss updatefähig sein. Die Updatemechanismen müssen zudem verhindern, dass auf diesem Weg Schadsoftware auf ein Gerät gelangen kann.
Securely store sensitive security parameters
Kritische Sicherheitsparameter, wie etwa Geräteidentitäten oder geheime Schlüssel, sind sicher gegen Ausleseversuche oder Manipulation im Gerät zu speichern.
Communicate securely
Geräte müssen verschlüsselt kommunizieren unter Verwendung von kryptographischen Verfahren, die als Best Practice gelten.
Minimize exposed attack surfaces
Ein Device darf möglichst wenig Angriffsfläche bieten, wie beispielsweise durch physisches Entfernen oder logisches Deaktivieren von Schnittstellen, die nur während der Geräteentwicklung benötigt wurden (Debug- Ports).
Ensure software integrity
Eine IoT-Anlage muss sich gegen Schadsoftware schützen, indem sie die Integrität ihrer Software prüft.
Ensure that personal data is secure
Personenbezogene Daten sind besonders schutzbedürftig und nur verschlüsselt zu übertragen. Die Fähigkeit eines Geräts, solche Daten zu erfassen, muss dokumentiert und für den Benutzer erkennbar sein.
Make systems resilient to outages
IoT-Systeme müssen damit umgehen können, dass Strom oder Netzwerke ausfallen. Zum Beispiel indem sie bei einem Netzwerkausfall ihre lokale Funktion aufrechterhalten oder nach einem Stromausfall selbstständig in einen fehlerfreien Betriebszustand zurückkehren.
Examine system telemetry data
Wenn ein Device Telemetriedaten erfasst (Sensor-Messwerte, Nutzungsdaten oder sonstige Logdaten), dann sollen solche Daten auch zum Erkennen von Anomalien verwendet werden können.
Make it easy for users to delete user data
Ein Gerät muss einfach handhabbare Mechanismen zur Verfügung stellen, mit denen sich Benutzerdaten (Konfigurationsdaten, Passwörter et cetera) löschen lassen. Der Bedarf, solche Daten zu löschen, entsteht unter anderem beim Beenden eines Mietvorgangs, beim Verkauf oder bei der Entsorgung von Geräten.
Make installation and maintenance of devices easy
Verfahren zur Installation und Wartung von Anlagen müssen möglichst einfach gestaltet sein, etwa in Form von Installations-Wizards oder automatischen Prüfverfahren, die die Sicherheit der Gerätekonfiguration über- prüfen.
Validate input data
Sämtliche Eingabedaten, die ein Gerät über Benutzerschnittstellen, APIs oder Netzwerkprotokolle erreichen, sind zu validieren.
Data protection provisions for consumer IoT
Der Gerätehersteller muss seine Kunden darüber informieren, welche personenbezogenen Daten ein Gerät erfasst, speichert oder überträgt. Der Kunde muss die Verwendung dieser Daten explizit gestatten und er muss dies auch jederzeit widerrufen können. Für personenbezogene Telemetriedaten gilt das Minimalitätsprinzip.
Es kommt nicht nur auf die Geräte an
Sichere IoT-Anlagen sind ein wichtiges Element der Cybersecurity, aber nur auf die Geräteeigenschaften zu setzen, ist kein ökonomisches oder Erfolg versprechendes Konzept. IoT-Geräte sind keine PCs und werden sich auch in Zukunft nicht alle paar Jahre mit einer neuen Betriebssystemversion ausstatten lassen. Potenziell unsichere Devices, die heute bereits installiert sind, bleiben wahrscheinlich noch weitere Jahre im Einsatz. Gefragt ist daher ein ganzheitlicher Ansatz, der möglichst sichere IoT-Geräte, Betriebskonzept und Netzwerkarchitektur einschließt.
Wie für klassisches IT-Equipment muss es auch für das IoT ein Assetmanagement geben, sodass das Betriebsteam jederzeit den Überblick hat, wo sich Geräte befinden, welchem Zweck sie dienen, welches Modell welches Herstellers verbaut wurde und so weiter. Nur auf dieser Grundlage ist eine kontinuierliche Überwachung und ein Patchmanagement solcher Systeme möglich.
Die traditionelle Unterscheidung zwischen sicherem internem Netzwerk und unsicherem Internet (Perimetersicherheit) sollte der Vergangenheit angehören. Nur wenn IT-Verantwortliche das interne Netzwerk als potenziell unsicher betrachten und einen Zero-Trust-Ansatz verfolgen, sind sie in der Lage, unerwünschten Datenverkehr zu erkennen und zu unterbinden. Eine gute Einführung in die Zero-Trust-Architektur liefert beispielsweise [11]. Die mit einer solchen Architektur verbundene Mikrosegmentierung des internen Netzwerks verhindert zudem die laterale Bewegung von Angreifern im Netz. Ist eine solche Umgebung geschaffen, sind IT-Teams in der Lage, auch einzelne, für laufende Geschäftsprozesse benötigte IoT-Geräte kontrolliert zu be-treiben, obwohl sie zweifelhafte Sicherheitseigenschaften besitzen.
Fazit
Wir konnten lediglich einen Ausschnitt der gesetzgeberischen Aktivitäten und der Standards zur IoT-Sicherheit darstellen und dennoch drängt sich der Eindruck auf, dass bisher vor allem ein Flickenteppich aus Gesetzesinitiativen und Standards existiert. Dies verwirrt Hersteller und in noch stärkerem Maß Anwender. Daher war es ein Anliegen dieses Artikels, zur Orientierung und Transparenz beizutragen.
Angesichts der Bedrohungslage ist es wichtig, beim Einkauf von IoT-Geräten auf deren Sicherheitseigenschaften zu achten. Sicherheitsstandards wie ETSI EN 303 645 leisten dazu einen wichtigen Beitrag. Mit dem richtigen Einkauf ist die Sicherheitsaufgabe jedoch noch nicht abschließend erledigt. Der sichere Betrieb innerhalb eines Netzwerks erfordert einen ganzheitlichen Ansatz aus Netzwerkarchitektur und Betriebskonzept. Dafür ist Zero Trust in besonderem Maße geeignet.