Cyber Security und IoT – Neue Gefahren durch die Digitalisierung

Die Anzahl der IoT Geräte (Internet of Things) wir in Zukunft rapide Anwachsen. Bis 2020 sollen bis zu 50 Milliarden dieser „Dinge“ eine Verknüpfung zum Internet haben. Von der Kaffeemaschine über Autos bis hin zur gesamten Produktionsanlage wird alles „Online“ sein und Daten in einen Cloud Service senden. Dies ermöglicht Unternehmen neue Geschäftsfelder zu erschliessen und viele Tätigkeiten zu automatisieren. Doch es bring eben auch viele neue Gefahren.

Die Gefahren der digitalisierten Welt

Alleine die Anzahl der Geräte, welche mit dem Internet verbunden werden, führen zu mehr Angriffspunkten. Mehr Geräte bedeutet gleichermassen mehr Anwendungen, Systeme und Endbenutzer. Dies erhöht die Wahrscheinlichkeit von Angriffen. Der Umfang und Vernetzung der Systeme führt unweigerlich zu erhöhten Auswirkung der Angriffe. In sicherheitskritischen Systemen wie in einem smarten Auto oder einer Smart City können Angriffe bis zur Bedrohung von Leib und Leben reichen. Zudem wird das Spektrum der Angreifer und ihre Ziele durch die neuen Möglichkeiten erweitert.

Angreifer und Potenzial (Bildquelle: www.https://iot-analytics.com/5-things-to-know-about-iot-security/)

 

Wie schütze ich mein System?

Sicherheitslayer im IoT Umgebung (Bildquelle: https://www.mobiliya.com/practices/internet-of-things)

Um die Sicherheit einer IoT Lösung zu gewährleisten, reicht es nicht nur das IoT-Gerät sicher zu machen. Oder die Kommunikation zu verschlüsseln. Es müssen alle Layer des Systems geschützt und beachtet werden. Dabei müssen nicht neue Sicherheitskonzepte erfunden werden, sondern auf die bereits bestehenden und bewährten Lösungen aufgesetzt werden. Diese bereits bestehenden Konzepte müssen auf die IoT-Umgebung angepasst, kombiniert und adoptiert werden, um eine Plattformübergreifende Sicherheit zu gewährleisten. Die zu schützenden Bereiche können dabei auf vier verschiedenen Ebenen aufgeteilt werden:

1. Sicherheit des IoT Geräts

Dazu gehören einerseits die physischen Zugangspunkte (Schnittstellen) eines Gerätes, sowie die Software. Durch das Zusammenspiel von Hardware und Software muss eine sichere Authentifikation und Identifikation der Devices gewährleistet werden. Die Sicherheitselemente Umfassen:

  • Physikalische Sicherheit
  • Chip Sicherheit
  • Sicheres Booten beim Aufstarrten
  • Eindeutige Bestimmung der Identität des Devices
  • Authentifikation des Devices
2. Sichere Netzwerk-/ Kommunikationslösung

Um die Daten in eine Cloud zu senden, braucht das IoT-Device einen Zugang zum Internet. Dazu kann auf verschiedenen Techniken wie Ethernet, Wireless Lan, Narrowband IoT, LoRa, LTE oder Bluetooth zurückgegriffen werden. Dazu kommen verschiedene Protokolle wie MQTT, AMQP oder CoAp. Dabei muss darauf geachtet werden, dass einerseits die Daten nicht von dritten mitgelesen werden können. Anderseits muss sichergestellt werden, dass sich niemand in die Verbindung einschliessen kann, um die Daten zu verändern. Die Sicherheitselemente umfassen:

  • Zugriffsberechtigungen
  • Firewalls
  • IPS, IDS
  • Datensicherheit – End zu End Verschlüsselung
3. Sichere Applikation / Cloudanwendung

Sind die Daten einmal in der Cloud angekommen, müssen sie analysiert, gespeichert und dargestellt werden. Das grösste Sicherheitsrisiko besteht auf dieser Ebene im Zugang zu den Plattformen. Sicherheitselemente sind dabei:

  • Zwei Faktor Authentifizierung
  • Zugriffsberechtigungen
  • Bewusstsein der Benutzer fördern
  • Integritätsprüfung (Prüfung auf Vollständigkeit oder Unversehrtheit der Daten)
4. Sicherheit über ein Lifecycle Management

Da immer neue Angriffsmethoden entwickelt werden, müssen alle Elemente immer auf dem neusten Stand gehalten werden. Dazu gehört:

  • Analyse der aktuellen Sicherheitsbedrohungen
  • Update und Patches jederzeit ausrollbar
  • Aktives Monitoren der Aktivitäten
  • Kontinuierliches auditieren des Systems

Fazit

Die vernetzte Welt bringt viele Vorteile, führt aber auch zu neuen und umfassenderen Bedrohungen. Eine hundertprozentige Sicherheit kann nie erreicht werden. Die Gefahren müssen aber jedem Entwickler bewusst sein. Die grösste Anfälligkeit des Systems kann aber immer noch auf den Faktor Mensch zurückgeführt werden.

Weiterführende Links zum Thema Sicherheit und IoT:

Zehn Sicherheitsaspekte in für IoT Applikationen
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_2017_Project
Fünf Dinge die man über IoT Sicherheit wissen muss
https://iot-analytics.com/5-things-to-know-about-iot-security/
WebGoat – Eine absichtlich unsichere Webanwendung
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Best Practices für Softwareentwickler
https://12factor.net/de/

Beitrag teilen