Chancen und Herausforderungen im Internet der Dinge
Sicher vernetzt
Die Vernetzung von Produktionsanlagen im Internet der Dinge bietet nicht nur Unternehmen neue Möglichkeiten. Auch Hacker profitieren. Dabei wird deren Arbeit mit nur wenigen Schritten um ein vielfaches schwieriger und das Ziel damit in vielen Fällen uninteressant.
IT-Sicherheit wird im industriellen Bereich immer wichtiger. Viele Firmen folgen dem Trend hin zum Internet der Dinge und möchten beispielsweise Nutzungsdaten ihrer Roboter über das Internet an den Hersteller übermitteln. Doch mit der Vernetzung der Geräte bauen Unternehmen quasi Türen in ihre Maschinen ein, die unerwünschte Besucher potentiell erreichen können. Die Herausforderung muss nun darin liegen, ein möglichst sicheres Schloss in diese Türen einzubauen. Um die vernetzte Industrie vor Eindringlingen zu schützen, sind IP-Schutz (Intellectual-Property), Software-Lizenzierung und Zugangsmanagement notwendig. Eine weitere Notwendigkeit im Internet of Things (IoT) ist es, einen sogenannten Interpretation Hub einzurichten - einen Server, der als Wissensdatenbank und Übersetzer für die Kommunikation zwischen unterschiedlichen Gerätesprachen fungiert. Dieser stellt wiederum einen zentralen Angriffspunkt für Hacker dar.
IP-Schutz in fünf Schritten
Software-Schutz im IoT ist von großer Bedeutung, weil sich Hacker weniger für die Hardware der Geräte interessieren, sondern die darauf laufende Software angreifen. Hier liegt also das Know-how, das es zu schützen gilt. Der Schutz von Software im Internet der Dinge umfasst Elemente, die vom Umgang mit einem gewöhnlichen PC bekannt sind und sich in fünf Stufen unterteilen lassen.
- • Die erste Stufe ist die Firewall: Dieser Abwehrwall schützt vor Eindringlingen, indem zuvor definiert wurde, wer auf das Netzwerk zugreifen darf und wer nicht. Hier besteht jedoch noch Nachbesserungsbedarf: Es gibt zwar spezialisierte Anbieter für Firewalls im IoT, aber diese Lösungen müssen noch besser auf die spezifischen Anforderungen ausgerichtet werden.
- • Die zweite Stufe ist Intrusion Detection. Ein solches Angriffserkennungssystem identifiziert Attacken gegen ein Rechnernetz. Dieses System funktioniert wie eine Polizei, die Eindringlinge im Netz erkennt.
- • Die dritte Stufe ist der Geräteschutz, das heißt der Eindringling bewegt sich jetzt nicht mehr nur im Netzwerk sondern versucht sich Zugriff zu den vernetzten Geräten zu verschaffen. Davor schützt wiederum eine Firewall auf den einzelnen Maschinen.
- • Die vierte Stufe kommt dann zum Tragen wenn der Hacker bereits alle anderen Sicherheitsstufen überwunden hat und sich auf dem Gerät befindet - Secure Boot und Whitelisting. Durch die Whitelist wird im Voraus festgelegt welche Programme auf dem Gerät laufen dürfen und welche nicht. Alles andere wird als nicht autorisierte Software identifiziert, die nicht auf dem Gerät laufen darf. In Kombination mit Secure Boot wird das Whitelisting bereits beim Starten des Geräts aktiviert. So ist die Maschine bereits zu diesem Zeitpunkt vor Gefahren geschützt.
- • Software-Verschlüsselung ist die fünfte Stufe: Unternehmen sollten ihre Programme verschlüsseln, um das Know-how auf der eigenen Maschine zu schützen. So kann ein Eindringling den Code der Embedded-Applikations-Software selbst bei Diebstahl nicht anderweitig nutzen bzw. lesen kann.
Zugänglicher Code im Internet
Noch gravierender wäre es allerdings, wenn der Angreifer den Code frei verfügbar im Internet zugänglich macht, so dass ihn jeder kopieren und nutzen kann. Für Firmen, die von ihrem Software-Produkt leben, wäre dies der gefährlichste Fall. Zum einen bricht die Geschäftsgrundlage weg, weil die Software frei zugänglich im Internet zu finden ist. Zum anderen werden Fehler in der Software publik und schädigen nicht nur die Reputation des Unternehmens sondern bieten gleichzeitig ein neues Einfalltor für Cyber-Attacken. Cyber-Kriminelle können dann leicht alle Systeme angreifen, auf denen die betroffene Software läuft. Unternehmen benötigen im IoT zudem eine umfassende Software-Lizenzierungslösung, die regelt auf welcher Maschine welches Programm laufen darf. Diese Art des Schutzes ist besonders wichtig, weil sie den Ernstfall absichert. SafeNet hat das Tool Sentinel LDK Embedded speziell für den Embedded-Markt und dessen spezielle Anforderungen entwickelt. Die Lösung verhindert, dass ein Angreifer den Code kopiert, vervielfältigt, aktiviert und auf seiner eigenen Maschine oder bei der Konkurrenz der gehackten Firma einsetzen kann.
Zugangsmanagement für verschiedene Personengruppen
Zugangsmanagement kommt dann ins Spiel, wenn es um verschiedene Berechtigungen für unterschiedliche Gruppen von Angestellten geht: Benötigt ein Mitarbeiter die Daten von einem Gerät für seine tägliche Arbeit, erhält er nur die Berechtigung diese auszulesen, jedoch beispielsweise nicht die Möglichkeit, Einstellungen der Maschine zu verändern. Ein Servicetechniker hingegen kann auch das Gerät konfigurieren. Wichtig ist, dass Unternehmen diese Zugangsberechtigungen sorgfältig verwalten. Ein Beispiel: Wechselt ein Servicetechniker von einem Aufzughersteller zu einem anderen, muss er den Zugang zu den Funktionen des alten Arbeitgebers verlieren. Eine Lösung hierfür ist, dass die Aktivierung der Gerätefunktionen für Servicetechniker monatlich abläuft. Hierfür erhält der Servicetechniker einmal im Monat beispielsweise über einen Dongle automatisch wieder die notwendigen Berechtigungen, solange er für das Unternehmen arbeitet. Verlässt er die Firma, wird die Berechtigung nicht neu erteilt und erlischt damit automatisch.
Ohne Software-Schutz kein Datenschutz
Oft liegen sensible Daten hinter gesicherten Schnittstellen, die Unternehmen durch die Integration ihrer Maschinen in das Internet der Dinge öffnen. Durch Verschlüsselung können diese Daten für den Ernstfall abgesichert werden. Unternehmen sollten neben dem Software-Code auch die Daten verschlüsseln, um sie für Dritte unbrauchbar zu machen. Gerade im IoT spielt Datenverschlüsselung eine wichtige Rolle, da Firmen wichtige Prozess- und Produktinformationen über das Netz verschicken. So verschlüsselt ist der Transfer doppelt abgesichert, wenn man die Daten über VPN versendet. Vernetzte Maschinen erzeugen ganz unterschiedliche Arten von Informationen. Diese Diversität der Daten stellt eine weitere Herausforderung im IoT dar, die bisher größtenteils ungelöst ist. Noch immer sind die Standardisierung von Protokollen und ein Interpretation Hub - eine Kommunikationsplattform, die die Daten deuten kann - ein großes Thema im IoT. Ein Sensor, der beispielsweise Gewichtsangaben in Kilogramm erzeugt, muss dem Interpretation Hub verständlich machen können, dass es sich um Kilogramm handelt. Interpretiert die Kommunikationsplattform die Zahl in Pfund, führt dies zu Fehlern in der weiteren Verarbeitung der Daten. Diese Wissensdatenbank für unterschiedliche Geräte kann ein Server sein, der mit verschiedenen Sicherheitsniveaus und Zugriffsrechten ausgestattet sein muss. Es wird also definiert, welches Gerät auf welche Daten zugreifen darf, beispielsweise anonymisierte oder personalisierte Informationen inklusive E-Mail-Adresse. Es gibt bereits einen Standard, der versucht, Interoperabilität zwischen Anwendungen unterschiedlicher Hersteller in der Automatisierungstechnik herzustellen: OLE for Process Controll (OPC). Dieser Standard funktioniert als eine Art Übersetzungsmaschine.
Echtzeit im Internet der Dinge
Viele der im IoT generierten Daten unterliegen außerdem zeitlichen Begrenzungen. Temperaturdaten können beispielsweise schnell veraltet sein und müssen in Echtzeit übertragen werden. Daher muss der Hub die Daten mit Zusatzinformationen versehen, wie zum Beispiel das Datum der Erhebung. Des Weiteren muss er in der Lage sein zu prüfen, welche Informationen die Maschinen benötigen: beispielsweise ob die Maschine Temperaturdaten vom vergangenen Tag oder aktuellere Daten verlangt. Der Hub muss Maschinen, die auf solche Informationen zugreifen, mitteilen, wie lange sie gültig sind. Es haben sich bereits viele Experten über eine gemeinsame Sprache für die Kommunikation zwischen den Geräten Gedanken gemacht. Maschinen und Sensoren brauchen eine Art Meta-Sprache, die ähnlich funktioniert wie eine Universalsprache für Menschen aus vielen verschiedenen Ländern. Nicht nur der Server und die einzelnen Geräte müssen sich fehlerfrei austauschen können, auch die Maschinen untereinander. In dieser M2M-Kommunikation treffen Geräte unterschiedlicher Hersteller und Anwendungsfelder aufeinander. Dies führt zu zwei weiteren Herausforderungen: Zum einen müssten sich viele Firmen an einen Tisch setzen, um eine gemeinsame Sprache für ihre Maschinen zu entwickeln. Oft konkurrieren diese Unternehmen jedoch miteinander und stehen deshalb einer Zusammenarbeit zurückhaltend gegenüber. Ein Interpretation Hub hat die Aufgabe technische Informationen und Aufgaben in andere Sprachen umzuwandeln und zu interpretieren. Hierbei muss - wie in einer menschlichen Sprache auch - beachtet werden, dass Begriffe beziehungsweise Begriffskombinationen mit mehreren Bedeutungen versehen sein können, was gegebenenfalls zu Übersetzungsfehlern führen kann. Zum anderen können Begriffe, die nur in einer technischen Sprache existieren, nicht eins zu eins übersetzt werden. Der Interpretation Hub müsste sie in anderen Sprachen umschreiben.
Kritische Kommunikationsmasse
Eine weiteres Sicherheitsrisiko liegt in der Masse der Kommunikation, die über den Interpretation Hub läuft: Über die Server würden möglicherweise nicht nur zwei, sondern tausende Geräte miteinander kommunizieren. Auch ist eine Kaskadierung von Interpretation Hubs denkbar. Ein potentieller Angreifer könnte über den Zugriff auf einen Hub sehr viele Informationen abgreifen. Beispielsweise in einer Smart City wären hier Szenarien mit schwerwiegenden Folgen denkbar. Deshalb müssen solche Hubs einem zusätzlichen Sicherheitslevel unterworfen sein. Hier kommt wieder der Aspekt des IP-Schutzes und Verschlüsselung zum Tragen.
Fazit
Das IoT bietet Unternehmen ganz neue Möglichkeiten, die jedoch auch mit vielen noch zu lösenden Herausforderungen einhergehen. Im IoT sind die Sicherheitsanforderungen aufgrund der Art der Anwendungen im Vergleich zu Standard-IT-Systemen noch höher. Wenn ein PC im Büro ausfällt, betrifft dies nicht die Sicherheit von Menschen. Bei einer Ampelschaltung, die ans Internet angebunden ist, hingegen schon. Besonders die großen, führenden Unternehmen sollten sich zusammenschließen und gemeinsam an weit gefächert einsetzbaren, praktikablen Sicherheitslösungen arbeiten, denen sich andere anschließen können. In diesen starken Kooperationen sind riesige Umsatzpotentiale versteckt. Auch der Gesetzgeber und der Versicherungssektor sind gefragt, Regelungen für Sicherheitsstandards und finanzielle Absicherungskonzepte für eine vernetzte Industrie zu entwickeln.
Die Vernetzung von Produktionsanlagen im Internet der Dinge bietet nicht nur Unternehmen neue Möglichkeiten. Auch Hacker profitieren. Dabei wird deren Arbeit mit nur wenigen Schritten um ein vielfaches schwieriger und das Ziel damit in vielen Fällen uninteressant.
IT-Sicherheit wird im industriellen Bereich immer wichtiger. Viele Firmen folgen dem Trend hin zum Internet der Dinge und möchten beispielsweise Nutzungsdaten ihrer Roboter über das Internet an den Hersteller übermitteln. Doch mit der Vernetzung der Geräte bauen Unternehmen quasi Türen in ihre Maschinen ein, die unerwünschte Besucher potentiell erreichen können. Die Herausforderung muss nun darin liegen, ein möglichst sicheres Schloss in diese Türen einzubauen. Um die vernetzte Industrie vor Eindringlingen zu schützen, sind IP-Schutz (Intellectual-Property), Software-Lizenzierung und Zugangsmanagement notwendig. Eine weitere Notwendigkeit im Internet of Things (IoT) ist es, einen sogenannten Interpretation Hub einzurichten - einen Server, der als Wissensdatenbank und Übersetzer für die Kommunikation zwischen unterschiedlichen Gerätesprachen fungiert. Dieser stellt wiederum einen zentralen Angriffspunkt für Hacker dar.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
Gemalto M2M
Dieser Artikel erschien in SPS-MAGAZIN ETH2 2015 - 27.05.15.Für weitere Artikel besuchen Sie www.sps-magazin.de