In der anbrechenden Ära des Internet of Things (IoT, deutsch: „Internet der Dinge“) entsteht eine neue Gefahrenquelle für die Sicherheit von Systemen: Die Schnittstelle zwischen klassischer IT-Infrastruktur und der Steuerung von Geräten, der Operational Technology (OT), eröffnet Angreifer*innen neue Einfallstore und Manipulationsmöglichkeiten. In der aktuellen Folge unserer Serie „1×1 der IT-Sicherheit“ erklären wir, warum die Sicherheit des IoT immer wichtiger wird und wie sie gelingen kann.
Im Jahr 2020 gibt es kaum noch ein Unternehmen, das nicht auf das Internet of Things setzt – seien es mit dem Internet verbundene Smart Home-Geräte oder vernetzte Industriemaschinen. Laut der IoT-Studie 2020 von Computerwoche und dem CIO-Magazin haben etwa die Hälfte aller befragten Organisationen in der DACH-Region bereits ein IoT-Projekt umgesetzt, im Vorjahr lag der Wert noch bei 39 Prozent. Das Spektrum dieser Projekte reicht von der Verbesserung der Qualitätskontrolle über die vernetzte Produktion bis hin zu Smart Connected Products und Sales.
Doch nicht nur in der Industrie werden die Maschinen smarter: Statista zählt in 7,2 Millionen deutschen Haushalten mindestens eine Smart Home-Anwendung – wie etwa Lautsprecher mit Sprachassistenz, smarte Fernseher oder vernetzte Rollläden. Insgesamt wird es bis 2025 etwa 41,6 Milliarden vernetzte IoT-Geräte geben, schätzen die Marktforscher von IDC. Das wären mehr als fünf für jeden Menschen auf der Erde, rechnerisch betrachtet.
Die Vernetzung von Anlagen und Alltagsgegenständen schafft neue Angriffspunkte
Was früher getrennt war, wächst nun zusammen. IT, OT, IoT, in der Industrie wie bei Privatkund*innen: Die klassische IT-Business-Infrastruktur und Operational Technology, also Systeme zur Steuerung von Geräten, Maschinen und ganzen Anlagen, verschmelzen zu hybriden Systemen, in denen IT- und OT-Systeme miteinander verzahnt sind und bestenfalls nahtlos ineinandergreifen.
Die Chancen liegen auf der Hand: Vernetzte Systeme erhöhen in Unternehmen etwa die Effizienz durch den Austausch und die Analyse zusätzlicher Daten sowie die Kontrollfunktionen bei globaler Skalierungsmöglichkeit. Krankenhäuser, Verwaltungen, Fahrzeuge: Die potenziellen Anwendungsfelder für Unternehmen und andere Organisationen sind nahezu unbegrenzt. In Privathaushalten erleichtern sie den Alltag und können zum Beispiel mit automatischen Thermostaten und intelligenter Beleuchtung helfen, Energie zu sparen.
Was passiert, wenn Maschinen fremdgesteuert werden
Mit der Verschränkung der Systeme geht jedoch einher, dass die zu sichernden Einfallstore für Angriffe und Manipulationen mehr werden. OT-Systeme wurden lange fast ausnahmslos in geschlossenen Ökosystemen betrieben und waren nicht an das Internet angebunden. Ohne weitreichende Sicherheitsvorkehrungen können sie nun aber mit dem Zugang zum Netz von Angreifer*innen kontrolliert werden, sobald diese die Sicherheitshürden der IT-Systeme überwunden haben. Kritische Infrastrukturen wie etwa Kraftwerke könnten zu Zielscheiben werden, ganze Produktionsanlagen drohen auszufallen, es reicht ein einziger gehackter Laptop von Mitarbeiter*innen.
Eine weitere Gefahr besteht darin, dass Geräte unbemerkt von riesigen Bot-Netzen einverleibt werden. Um diese Netzwerke zu erstellen, manipulieren Cyberkriminelle einzelne Rechner, schließen die infizierten Computer zusammen und nutzen sie für ihre kriminellen Zwecke aus. Im vergangenen März gelang es Microsoft gemeinsam mit Partnern aus 35 Ländern eines der aktivsten Bot-Netze zu zerschlagen, Necurs. Die Zahlen zeigen das Ausmaß des Problems: Etwa neun Millionen Geräte umfasst das Netz, aus dem Verschlüsselungstrojaner und Spam-Mail verteilt werden. Innerhalb von zwei Monaten versendet ein einzelner Computer im Necurs-Netz fast vier Millionen Spam-Mails an über 40 Millionen potenzielle Opfer, beobachteten Microsoft-Expert*innen. Bot-Netze werden häufig auch genutzt, um mit sogenannten Distributed-Denial-of-Service-Attacken (DDoS) Netzwerke so zu belasten, dass sie zusammenbrechen. Hacker*innen nutzen diese Art der Cyberkriminalität, um von ungeschützten Organisationen beispielweise Lösegeld zu erpressen.
Die sieben Eigenschaften sicherer IoT-Geräte
Die Sicherheit von IoT-Geräten hängt maßgeblich von sieben Eigenschaften ab, das hat die Microsoft Research NExT Operating Systems Technologies Group in dem Whitepaper „The Seven Properties of Highly Secure Devices“ festgehalten: Hardware-basierte Kryptografie-Schlüssel und Geräteidentität, eine „Trusted Computing Base“, die alle sicherheitsrelevanten Funktionen des Geräts umfasst, mehrstufige Sicherheitsebenen, Abschottung, zertifikatbasierte Authentifizierung, regelmäßige Security-Updates und eine aussagekräftige Fehlerberichterstattung.
Jede Eigenschaft adressiert spezielle Risikoelemente vernetzter Geräte – insbesondere die Frage des Zusammenspiels zwischen Hard- und Software. Wie gefährdet ist die Hardware, sollte die Software angegriffen werden? Das Prinzip der Abschottung beschreibt etwa, dass Hardware-Barrieren zwischen Software-Komponenten verhindern, dass der Einbruch in eine dieser Komponenten das gesamte Gerät kompromittiert. Hardware-basierte Kryptografie-Schlüssel stellen sicher, dass ein Gerät eine einzigartige Identität hat, die nicht gefälscht werden kann.
Wir bieten mit Azure Sphere zum Beispiel ein vollständiges Sicherheitssystem für den dauerhaften Schutz von Geräten an, dass alle sieben Eigenschaften erfüllt, und trotzdem volle Konnektivität und Leistungsfähigkeit ermöglicht. So schützt Azure Sphere nicht nur Kundendaten oder die Privatsphäre, sondern auch die physische Sicherheit von Geräten und Infrastruktur. Der Dienst baut auf der jahrzehntelangen Erfahrung von Microsoft-Entwickler*innen in den Bereichen Hardware, Software und Cloud auf. Das Ergebnis ist eine Komplettlösung für IoT-Geräte. Unternehmen können so das volle Potenzial des Internet of Things ausschöpfen – ganz ohne Sicherheitsbedenken. Durch die nahtlose Integration unserer Lösung in das Azure Security Portfolio können sie sicherheitsrelevante Einblicke, Ereignisse und Vorfälle im IoT-Umfeld zentral über die gesamte Organisation hinweg betrachten.
Für Smart-Home-Anwendungen rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf aktuelle Software und Sicherheitsupdates zu achten, um die Geräte vor Fremdzugriffen zu schützen – das gilt auch für den Router. So kann verhindert werden, dass Hacker*innen in einer der 7,2 Millionen Wohnungen und Häuser mit smarten Geräten die Kontrolle über Backöfen oder Rollläden übernehmen.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.
Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos
