Klaus Lussnig ist Geschäftsführer von Industrial Automation Österreich und Spezialist für Software-Lösungen rund um die Industrial Security von Produktionsanlagen im Zeitalter der Digitalisierung.

Blog

Über das Schließen von offenen Scheunentoren

Es gibt eine gefährliche Schnittstelle zwischen privatem und industriellem IoT: Das Internet. Doch die Risiken können minimiert werden.

Industrial Security Industrial Automation Blog IoT

Dass die „Dinge im Internet“ mit Sicherheitsfunktionen geliefert sowie von vertrauensvollen Lieferanten hergestellt und auch sicher betrieben werden, ist eigentlich ein MUSS! Aber leider auch ein Traum. Denn wenn wir nicht bereit sind für Sicherheit zu bezahlen, dann akzeptieren wir das Risiko von Unterbrechungen, Ausfälle und akzeptieren – besonders im privaten Bereich die Verwendung von Nutzungsdaten.Das darf dann jeder Private für sich selbst entscheiden.

Nun gibt es aber eine Schnittmenge zwischen dem privaten und industriellen IoT: Das Internet. So lassen sich beispielsweise billige Kameras für die Hofeinfahrt aus Asien sehr leicht kapern (keine Verschlüsselung, Authentifizierung oder Updates bei Schwachstellen). Ist das Gerät gekapert, nutzen Kriminelle diese Geräte für Angriffe auf andere Nutzer: eventuell auch zu Angriffen über das Internet direkt auf Unternehmen oder kritische Infrastrukturen.

Durch die fremde Nutzung von gekaperten privaten IoT-Geräten waren 2017 einige Anbieter nicht erreichbar. Das perfide ist die unabhängige Konstellation der vier Beteiligten:

White Paper zum Thema

• Der Hersteller will seine angebotenen Geräte verkaufen, jedoch ohne teure Security. Somit gibt es keine Sicherheit für das zukünftige offene Scheunentor.

• Der Besitzer/Kunde/Anwender will günstig einkaufen, ist überwiegend unerfahren in Bezug auf die Cyber-Security und will das IoT-Gerät schnell und einfach nutzen, um die Hofeinfahrt ins Bild zu bekommen.

• Die Kriminellen wissen um die fehlende Security und die vernachlässigte Verantwortung durch die Besitzer. Nutzen ebenso einfach die ungeschützten IoTGeräte der Besitzer.

• Der Geschädigte ist betroffen, hat aber weder zu den Besitzern der IoT-Geräte noch zu dem Hersteller eine Beziehung. 

Natürlich ist es auch im privaten Bereich mö.glich, sichere IoT-Geräte zu kaufen. Sie verfügen über mehr Sicherheitsfunktionen und sind auch in der langfristigen Nutzung günstiger, da es fortlaufend neue Funktionen gibt. In der Welt des IoT für Unternehmen sieht das anders aus.

Für das industrielle Umfeld haben Sensoren, Steuerungen oder SCADA Server die Möglichkeit, direkt Daten mit Diensten in Rechenzentren (Anbieter, Maschinenbauer, eigene Cloud) auszutauschen um dort verarbeitet zu werden. Viele Vorteile, die aber bei einer unternehmerischen Risikobetrachtung über Verfügbarkeit und Datenschutz eine entsprechende Sicherheit erfordern. Somit ist Security für Projekte mit IoT lebenswichtig. Dazu muss beachtet werden, dass:

• vertrauensvolle Hersteller nachweislich Sicherheit zur Verfügung stellen;

• Unternehmen die notwendige Security im Einkaufsprozess einfordern müssen;

• Integratoren und Services die nachweisliche Security befolgen und nutzen.

Hier helfen die Anforderungen der Normen IEC 62443 oder auch das Security Management nach ISO 272000 oder die EU-NIS. So klappt es auch mit der IoT.