Kosten runter, Gefahren rauf

Auf der einen Seite sinken dadurch die Kosten, die betriebliche Effizienz steigt, die Gesundheit der Mitarbeiter wird geschont, und es ist möglich, Interoperabilität zwischen bestehenden und neuen Systemen herzustellen, so Roth. Auf der anderen Seite steigen dadurch aber auch die Gefahren. „Jede neu aufgemachte Verbindung fungiert als möglicher Eintrittspunkt ins Netzwerk, als versteckter Pfad oder sogar als Mechanismus, um automatisierte physikalische Systeme zu manipulieren“, erklärt der Nozomi-Manager.

„Ein wichtiger erster Schritt für die Entwickler von IoT-Geräten ist es, Sicherheit durch den gesamten vertikalen IoT-Plattform-Stack zu gewährleisten“, fordert Nisarg Desai, Leiter Produktmanagement IoT beim Zertifikatsanbieter Global­Sign. „Das erreicht man, indem man beim Transport der Daten durch die unterschiedlichen Schichten bei jedem einzelnen Schritt die Identität und Authentizität der betreffenden Partei kommuniziert.“

Mit einer PKI-Infrastruktur (Public Key Infrastructure) könne man die Daten schützen und ihre Integrität bewahren. Die Anbieter von IoT-Ge­räten sollten Authentifizierung und Autorisierung über die sichere Bereitstellung eines Zertifikats bereits in den Herstellungsprozess des jeweiligen Produkts integrieren.

Will Stefan Roth von Nozomi Networks weist noch auf eine weitere Gefahr hin. Die erst vor Kurzem entdeckte Malware Triton richte sich gegen sogenannte Safety Instrumented Systems (SIS). Diese Industriesysteme werden zum Beispiel in der Öl- und Gasindustrie eingesetzt, um gefährliche Ereignisse zu erkennen und geeignete Maßnahmen einzuleiten. Auf diese Weise kann ein Prozess wieder in einen sicheren Zustand versetzt werden.

Triton eignet sich laut Roth dazu, falsche Positivmeldungen im SIS auszulösen, sodass ein Angreifer damit etwa eine Anlage oder ein verteiltes Leitsystem (DCS) abschalten kann. Außerdem kann die Schad-Software die Funktionsweise des Sicherheitssystems so weit schädigen, dass es kritische Zustände nicht mehr erkennen und beenden kann. Auch ein Totalausfall könne damit ausgelöst werden, warnt Roth.

Will Stefan Roth zufolge sind Angreifer von außen und zielgerichtete Attacken aber nicht die einzigen Risiken, mit denen sich Industrieunternehmen auseinandersetzen müssen. Lücken bestünden auch durch schwache Passwörter und offene Ports.

Dabei spiele es keine Rolle, ob die Lücken absichtlich oder durch einen Fehler verursacht wurden. Roth: „So oder so wirken sie sich negativ auf die Produktivität aus.“

Für Martin Grauel von One Identity könnte die Abkürzung IoT deswegen auch für „Internet of Threats“ stehen. Die Hersteller würden vollmundig industrielle Clouds, vernetzte Geräte und Sensoren bewerben, um angeblich effizientere Prozesse zu unterstützen. „Nur Cybersicherheit kommt selten vor und wenn, dann eher allgemein“, so Grauel.

Interessierten Unternehmen rät er, sich unter anderem mit der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen, der sogenannten NIS-Richtlinie (Security of Network and Information System), zu beschäftigen. Sie enthält Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union und soll einen einheitlichen Rechtsrahmen bieten.

Darüber hinaus empfiehlt der One-Identity-Manager den Unternehmen unbedingt ein „umgehendes Patchen, mehr Netzwerksicherheit sowie bessere Zugriffskontrollen, insbesondere im Fall von Remote-Nutzern mit erweiterten Rechten“.