IoT – wie mit Sicherheits-Risiken umgehen?

Treiber und Business-Nutzen von IoT

Die Kombination verschiedener technologischer Fortschritte wie Miniaturisierung, Connectivity (LoRa, 5G), Energie-effizientes Design und nicht zu letzt auch «Big Data» spannen das grosse Wachstumsfeld der vernetzten Dinge, sprich des Internet of Things (IoT), auf. Gartner sagt voraus, dass im Jahr 2020 über 30 Milliareden IoT-Geräte in Gebrauch sein werden – sowohl im «Consumer» IoT Bereich (man denke an Amazon Alexa oder Philips Hue) wie auch im «Industrial» Umfeld. Hier ergeben sich durch IoT in allen Branchen inkl. Retail, Logistik, Produktion, Energie und Gesundheitswesen neue Anwendungs- und Geschäftsfelder.

Durch IoT lassen sich z.B. verbesserte Produkt- und Kundenerfahrungen erreichen (Produkt-Analytics, personalisierte Produkte), Effizienzsteigerungen umsetzen (Predictive Maintenance, Real-time Monitoring, Optimierungen, Automation) und auch komplett neue Service- und Geschäftsmodelle aufbauen.

Security-Challenges: Limitationen der Devices

Aus Security-Perspektive bringt IoT jedoch auch Risiken durch steigende Komplexität, eine erweiterte Angriffsoberfläche und neue Schwachstellen mit sich. Insbesondere stellen sich bei der Umsetzung von Sicherheits-Controls direkt auf IoT-Devices einige Herausforderungen:

• IoT-Devices sind in der Regel klein, günstig und bieten praktisch keine physische Security
• CPU-, Speicher- und Batterie-Leistung sind limitiert und erschweren oder verunmöglichen klassische Krypto-Mechanismen
• Install-, Upgrade- und Patching-Möglichkeiten sind sehr eingeschränkt
• Grosse Zahl und Heterogenität der Geräte (inkl. komplexer Lieferketten bei der Herstellung)

Security-Mechanismen auf dem Device sind deshalb bei vielen bestehenden Geräten sehr eingeschränkt oder gar nicht möglich. Für laufende und zukünftige Geräte-Entwicklungen ist deshalb essentiell, dass ein Umdenken von «Security as an afterthought» zu «Security by design» stattfindet. Dazu gehören z.B. die Umsetzung von Applikations-Sicherheit, Patch-Management und auch Identity-Management auf dem Endgerät.

Kompensation durch Netzwerk-Security

Der Netzwerk-Security kommt deshalb im Kontext von IoT eine sehr hohe Bedeutung zu, um die Limitationen der bestehenden IoT-Geräte zu kompensieren.

Als erste Massnahme kann über die klassische Netzwerk-Zonierung (z.B. mit Firewalls) und Mikro-Segmentierung von IoT-Geräte-Klassen eine stärkere Kontrolle der Datenströme erreicht werden. Hier stellt sich dann häufig die Frage des Trade-Offs wie weit «ins Feld hinaus» (d.h. zum Edge hin) man aus Kostengründen (Firewall-Kosten) sinnvollerweise segmentieren soll.

Die zweite wichtige Massnahme ist, Visibilität zu schaffen und die daraus gewonnene Sicht zu analysieren. Die Verbindungspfade und Netzwerk-Verhaltensmuster von IoT Geräten geben sehr viel Aufschluss darüber, ob sich ein Gerät gemäss den Erwartungen, also seinem Zweck folgend, verhält. Die Sammlung und Analyse von solchen Netzwerkdaten inklusive intelligente Einordnung von Verhaltensmuster kann heute weitgehend automatisiert erfolgen und somit Security-Analysten und SOC-Mitarbeitende entlasten.

Als dritte Massnahme können dedizierte Kontroll- und Orchestration-Lösungen eingesetzt werden, um IoT-Geräte zu klassifizieren, zu authentisieren oder deren Netzwerkzugang steuern. Da auf den IoT-Geräten selber keine Agents installiert werden können, müssen diese Lösungen «agentless» funktionieren.

Zum Schluss noch eine weitere Vorhersage von Gartner (FWIW): Das IoT-Security Budget eines CIOs wird von 1% (2018) auf 20% im 2020 steigen.