IoT-Absicherung

Internet-of-Things- oder Indus­trial-Internet-of-Things-Geräte sind deutlich schwieriger zu schützen als herkömmliche Computer und Notebooks oder mobile Endgeräte - „auf den meisten IoT-Geräten wird niemals eine aktuelle NextGen Endpoint Protection laufen“, so Michael Veit von Sophos. Die Absicherung solcher Geräte müsse daher über das Netzwerk erfolgen.

Wichtig ist zunächst, dass die bestehenden Schwachstellen in der IT-Infrastruktur erkannt und mit wirksamen Maßnahmen und Technologien geschlossen werden. Vor allem ein Wechsel von reaktiven zu proaktiven Sicherheitslösungen ist unverzichtbar. Solche proaktiven Lösungen arbeiten nach dem Prinzip der Separierung, was die Angriffsfläche für Eindringlinge erheblich reduziert. Kurzum: „Ein Virenscanner allein reicht nicht mehr aus, um die Unternehmens-IT vor den zunehmenden Cyberangriffen zu schützen“, so Christian Stüble. „Statt immer neuen Angriffsarten mit Antivirenprogrammen hinterherzujagen, sollte eine systematische Trennung zwischen Internet und Intranet angestrebt werden.“

Es gibt allerdings keine Blaupause, die universell für jedes Unternehmen anwendbar wäre. Dazu sind die Strukturen und Anforderungen zu vielfältig. Eine mögliche Orientierung geben etablierte Standards wie IEC 62443. Dabei handelt es sich um eine internationale Normenreihe  „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“. Auf Basis dieser Standards prüfen Unternehmen die potenziellen Schwachstellen ihrer Steuerungs- und Leittechnik und entwickeln wirksame Schutzmaßnahmen. Die Standards fokussieren dabei auf die IT-Sicherheit von Industrial Automation and Control Systems, kurz IACS, die für den sicheren Betrieb von automatisierten Infrastrukturen erforderlich sind.

Baramundi-Manager Peter Meivers empfiehlt Unternehmen vier Verteidungungselemente für eine umfassende und sichere „Defense in Depth“-Strategie. Defense in Depth ist  ein Sicherheitskonzept für Unternehmensnetzwerke, das auf unterschiedlichen Ebenen ansetzt:

1. Einführung umfangreicher IT-Sicherheitsrichtlinien und Schulung der Mitarbeiter

2. Separierung der Netze von Operation Technology und klassischer IT

3. Zusätzliche Segmentierung des OT-Netzes

4. IT-Sicherheit der Endgeräte in der Infrastruktur

Auch Josef Meier von Fortinet betont die Wichtigkeit sowohl einer Segmentierung als auch einer Separierung der einzelnen Netze im Unternehmen. Er empfiehlt die Teilung der Netze mit definierten und kontrollierten Übergängen. Künftig werde diese Mikro-Segmentierung eine große Rolle spielen. Denn oft
befänden sich Steuerungsgeräte in gleichen physikalischen Segmenten, was die Verbreitung von Schad-Software begünstige und ganze Produktionsstraßen lahmlegen könne. Sein Fazit: „Mittels Mikro-Segmentierung lässt sich eine potenziell infizierte Anlage effektiv isolieren, ohne Anlagen im gleichen Segment ebenfalls mit Schadcode zu infizieren.“ Die Anlage könnte dann nach entsprechender Meldung genauer untersucht und gesäubert werden. Eine Ausbreitung des Schadcodes auf weitere Geräte und Anlagen sei so nicht möglich.

Wie erwähnt werden IoT-Geräte meist mit dem Fokus auf Funktion und nicht auf Sicherheit entwickelt. Daher müsse, so Sophos-Evangelist Michael Veit, die zur Segmentierung genutzte interne Firewall zusätzlich mit IPS-Funktionen (Intrusion Prevention System) zum Schutz vor Netzwerkangriffen sicherstellen, dass etwa eine bekannte Windows-Sicherheitslücke nicht über das Netzwerk auf einem IoT-Gerät ausgenutzt werde, dessen Steuer-Software auf einem ungepatchten Windows-System laufe. Das Wichtigste aber ist laut Veit, dass die Netzwerkzugriffe auf die für den Betrieb notwendige Kommunikation eingeschränkt werden - „was gleichzeitig das größte Hemmnis für die Einführung solcher Maßnahmen ist“.

Weil viele Unternehmen nicht genau wüssten, welche Kommunikation von und zu einem IoT-Gerät für die Produktion tatsächlich notwendig ist, werde oft großflächig Kommunikation zugelassen oder die IoT-Geräte befänden sich - im Extremfall - ohne jegliche Beschränkung im gleichen Segment wie normale Server und Workstations. Die Folge: Ein infizierter Client kann die gesamte Produktion zum Stillstand bringen. Michael Veits dringender Rat: „Deswegen müssen Unternehmen im Zeitalter von Industrie 4.0 allein aus Gründen des nackten Überlebens den Aufwand betreiben und IoT-Geräte vom Rest des Unternehmensnetzwerks in eigene Segmente sperren und den Zugriff dorthin maximal einschränken und absichern.“

Luis Corrons von Avast betont darüber hinaus, dass für die Sicherheit von IoT und IIoT vor allem eine aktuelle Firmware beziehungsweise Software auf dem Router entscheidend sei. „Das Problem bei industriellen Smart Devices und industriellen Kommunikationsprotokollen besteht darin, dass sie sich in der Regel auf Standards und Protokolle stützen, die entwickelt wurden, lange bevor es IoT-Geräte gab.“ Daher fehle es diesen Protokollen schlicht an der nötigen Sicherheit. Die Lösung des Problems bestehe darin, sie durch neuere und sicherere Varianten zu ersetzen, was jedoch mit hohen Kosten verbunden sei. Daher sein Tipp: „In der Zwischenzeit ist der einzig richtige Weg, einzelne IoT-Geräte in industriellen Umgebungen nicht mit dem Internet zu verbinden.“

Unternehmen sollten außerdem das Ent­werfen eines sogenanntes Strategiehandbuchs ins Auge fassen, so der Rat von Rüdiger Trost von F-Secure. Der Vorteil eines solchen Handbuchs besteht laut Trost darin, dass die Sicherheitsverantwortlichen im Vorfeld so viele Angriffsszenarien wie möglich durchdenken und überlegen, was zu tun ist, wenn ein Angriff vermutet wird. Dazu gehört für ihn auch, wann und wie höhere Hierarchien hinzugezogen werden, an welchem Punkt sich ein Vorfall bestätigt, wer daran beteiligt werden muss und wie ein Vorfall kommuniziert wird. Sobald man bezüglich der Risiken übereingekommen sei, führten diese Erkenntnisse dann zur Implementierung der geeigneten Sicherheitstech­nologien.