IOT Security
Sicherheit im Fokus

IoT Security - Eine Weiterentwicklung ist dringend erforderlich

Das Internet of Things setzt sich immer weiter durch und spielt eine Schlüsselrolle, wenn es um die Digitalisierung von Angeboten und Produkten geht.

Doch bei der Digitalisierung geht auch immer der Aspekt der Sicherheit einher. Wir sprachen mit unseren Consultants Jens Neureither und Stephan Dufhues wie es darum bestellt ist.

Jens und Stephan in welchem Kontext zum Thema IoT-Security seid ihr unterwegs, wo trefft ihr im Kontext IoT auf Security-Aspekte?
Jens:
Bei Cassini verantworten wir ein breites Spektrum an Themen rund um den Bereich IT-Security, Informationssicherheit und Datenschutz. Einer der Schwerpunkte ist Securing Emerging Tech, der sich mit dem sicheren Design und Betrieb von aufstrebenden Technologien befasst; also mit den Technologien, an denen am Markt bereits ein Interesse besteht, aber wenige Lösungen und (Langzeit-)Erfahrungswerte zur Absicherung vorhanden sind. Hierzu gehört auch das Internet of Things.

Ich beschäftige mich besonders mit IoT-Endgeräten und der Aufgabe, diese sicher zu gestalten. Dabei müssen vielfältige Angriffsvektoren betrachtet werden, die sich je nach Anwendungsfall unterscheiden. Um die Geräte allgemein sicherer zu entwerfen, gibt es einige spannende Ansätze wie zum Beispiel Hardware-Security-Bausteine. Rund um diese Themen stehen wir unseren Kunden beratend zur Seite, um ein möglichst sicheres Gesamtprodukt zu gewährleisten.

Stephan: Nachdem sich das Trendthema IoT langsam aber stetig zu einem ernsten Projektumfeld entwickelt, kommen auch immer mehr Detailfragen auf. Aspekte, die in einem Proof-of-Concept gerne vernachlässig werden, schlagen bei einer Anforderungsanalyse für ein IoT-Serienprodukt auf einmal auf: Ist das Produkt eigentlich sicher? Sind die erzeugten Datenströme angreifbar? Was ist, wenn jemand ein Hardware-Angriff startet? Diese Fragen werden im Rahmen eines Technologiekonzepts genau betrachtet und Lösungen auf verschiedenen Ebenen gefunden. Im besten Fall wird mit dem Kunden ein Sicherheits- & Testkonzept entworfen, das die eingesetzten Sicherheitsmechanismen auch entsprechend prüft und sicherstellt, dass die konzipierten Maßnahmen auch greifen.

Wie kommt es aktuell zu erhöhter Aufmerksamkeit in der Berichterstattung zu IoT Security?
Jens:
Das IoT hat ein Image-Problem: Man sieht es allgemein in einem enorm schlechten sicherheitstechnischen Zustand. Dieser Eindruck ist nicht dadurch entstanden, dass es keine Möglichkeiten gibt, das IoT effektiv abzusichern, sondern ist eher auf das mangelnde Interesse von Geräteherstellern an diesem Themenbereich zurückzuführen.

Das wird deutlich, wenn man sich die häufigsten Schwachstellen in IoT-Geräten genauer ansieht: Die überwiegende Mehrzahl der Angriffe ist auf simple Konfigurationsfehler oder Bequemlichkeit der Hersteller zurückzuführen (z. B. die großflächige Verwendung von Standardpasswörtern). Ein solch desolater Zustand öffnet Tür und Tor für Angreifer, die beispielsweise mit IoT-Botnetzen einen hochgefährlichen Mechanismus für die massenhafte Infektion von Geräten geschaffen haben.
Daher ist es wenig verwunderlich, dass sich mittlerweile Meldungen zu Angriffen, an denen IoT-Geräte beteiligt sind, in der Berichterstattung häufen.

Wie seht ihr die aktuelle Entwicklung im Bereich Botnetze?
Jens: Wie eben erwähnt, basierten die ersten IoT-Botnetze hauptsächlich auf sehr trivialen Schwachstellen der Geräte. Das hat sich im Lauf der letzten Jahre deutlich gewandelt, mittlerweile nutzen die Angreifer sehr perfide Methoden, um die Ausbreitung ihrer Botnetze noch erfolgreicher und schneller voranzutreiben. Auch die Ziele, die mit dem Angriff erreicht werden sollen, haben sich verändert. Ging es zu Beginn der Botnetz-Entwicklung hauptsächlich um Distributed-Denial-of-Service (DDoS) Angriffe, also um die Nutzung der gemeinsamen Ressourcen, um die Verfügbarkeit von Angriffszielen zu unterbrechen, geht es mittlerweile auch um Daten-Exfiltration und Cyber-Spionage. Ich verfolge diese Gesamtentwicklung äußerst besorgt, da die Bedrohung durch derartige Angriffe global stark zunimmt. In vielen Fällen ist es noch nicht einmal gelungen, die Angriffe einfacher Botnetze effektiv zu unterbinden. Durch die rasante Weiterentwicklung wird es zunehmend schwerer für Hersteller, mit dieser Entwicklung Schritt zu halten.

Was kann man tun, um dem frühzeitig in der Produktentwicklung entgegenzuwirken?
Stephan:
Ein Produktentwicklungsprozess muss auch Antworten auf sicherheitsrelevante Fragestellungen bereithalten. Genau wie die Sicherstellung der Kernfunktionalitäten für den Endanwender, müssen auch die konzipierten und implementierten Sicherheitsmechanismen überprüft werden. Aktuell werden die eingesetzten Mechanismen sehr individuell für jede IoT Produktentwicklung ausgewählt, da es kaum verbreitete Frameworks oder Standards in diesem Bereich gibt.

Jens: Es ist fundamental wichtig, dass die Hersteller von IoT-Geräten die sicherheitstechnische Herausforderung anerkennen und dann aktiv verfolgen. Dazu zählt beispielsweise, dass ein entsprechendes Budget in der Softwareentwicklung für Sicherheit eingeräumt wird. Aktuell ist der hohe Druck der Hersteller zu sehen, neue Geräte möglichst schnell und günstig auf den Markt zu bringen. An dieser Stelle ist auch der Verbraucher gefragt, durch seine Kaufentscheidung diese Entwicklung aktiv mit zu beeinflussen.

Welche Sicherheitsframeworks kann man für IoT Entwicklung heranziehen, die einen aktuellen Stand der Technik abdecken?
Stephan:
Die Standardwerke, die es auf jeden Fall zu beachten gilt, gibt es Stand heute einfach nicht. Wenn man genauer hinschaut, gibt es erste Ansätze z. B. vom ETSI. Der europäische Standard EN 303 645 definiert erste Basisanforderungen an IoT Produkte im Konsumerumfeld. Der Standard wurde im Juni 2020 veröffentlicht - ist somit sehr neu und wenig verbreitet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreitet ähnliche Wege und hat den TR 03148 für die Absicherung von Breitbandroutern veröffentlicht. Somit soll das Einfallstor für den Befall von IoT Produkten besser geschützt werden. Ein konkreter TR im Bereich IoT Mindeststandards ist bereits in Arbeit, aber Stand heute noch nicht veröffentlicht. Auch die Hersteller von IoT Produkten sind nicht untätig und haben sich im Rahmen der IoXt Allianze die Aufgabe auferlegt, „das Vertrauen in die Produkte des Internet der Dinge zu stärken“ und hierfür entsprechende Maßnahmen zu harmonisieren. Die aktuellen Entwicklungen zeigen aber auch, dass es noch viele Weiterentwicklungsmöglichkeiten in diesem Bereich gibt und durch die stetige Verbreitung von IoT Produkten hier noch einiges mehr geschehen muss.

Interview mit
Stephan Dufhues, Senior Management Consultant, Cassini Consulting AG
Stephan Dufhues
Senior Management Consultant

Weitere Inhalte zum Thema Internet of Things

Video

...

Video

...

Video

...