IoT ist omnipräsent und bietet (auch in der Energiebranche) immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten sind (leider) allgegenwärtig und die Anzahl der Malware und Exploits steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meisten unterschätzten Bedrohungen. Unterschiedlich hoher Schutzbedarf trifft dabei auf eine Vielzahl von Lösungsansätzen und Komponenten. Hier ist es ratsam, sich den unterschiedlichen Risiken und kritischen Schwachstellen bewusst zu werden. Daher braucht es ganzheitliche Ansätze, um Cyber Security im schnell wachsenden Internet der Dinge zu etablieren.
Das Potenzial von IoT ist immens und hält überall Einzug. So ist es nicht verwunderlich, dass laut Experten in wenigen Jahren 8 von 10 Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Damit dringt die Konnektivität in Bereiche vor, welche bislang voneinander getrennt waren. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden. Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Mit dem Einsatz von Kryptowährungen als M2M-Bezahlsystem wird das Angriffsrisiko zusätzlich erhöht und zwar ohne, dass der User direkt involviert ist.
Smart – Aber nicht ohne Risiken
IoT ist allgegenwärtig. Die Anzahl der Geräte, die mit Unternehmensnetzwerken verbunden sind, wird weiter ansteigen. IoT birgt aber auch ein (oft vernachlässigtes) Risiko: Cyberkriminalität. Die immer häufigeren IoT-basierten Hackerangriffe, zum Beispiel Mirai oder Botnet, oder auch Hacks von IoT-Geräten führen uns diese Risiken immer wieder vor Augen. Obschon dies keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in den Entwicklungs-Zyklus solcher Geräte mit ein. Und das wiederum kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten, oder wenn der Wartungszugang zur Hintertüre eines Angreifers wird. Vor diesem Hintergrund ist es unerlässlich, mehr in die Sicherheit von IoT zu investieren. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cyber Security. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden.
IoT fordert die Sicherheit heraus
Die Energiebranche ist vorbildlich, wenn es um Safety- und Verfügbarkeitsanforderungen geht. Mit IoT entwickeln sich die Branchenlösungen jedoch in eine offene «OT-Welt» (Operational Technology), in der kritische Systeme nicht mehr isoliert sind. IoT ist zwar nichts Neues, aber die heutigen Möglichkeiten sind verlockend und eine Chance für den zukünftigen Geschäftserfolg. Bereits realisierte IoT-Projekte in der Schweiz zeigen dies eindrucksvoll auf. So steuern beispielsweise intelligente Systeme einen Park von Warmwasserboilern für die Bereitstellung von Regelenergie. Systeme automatisieren dabei ganze Meter-to-CashProzesse oder komplexe Smart Grid-Komponenten übernehmen kritische Funktionen im Stromnetz. Dabei gilt es, nicht nur die Integrität und die Verfügbarkeit der einzelnen Systeme zu schützen, sondern auch die Daten. Der Business Case von IoT-Systemen liegt längst nicht mehr nur in der Automatisierung von Prozessen, sondern auch in der Individualisierung und Personalisierung von Energieprodukten und den dazugehörigen Dienstleistungen. Vertrauenswürdige Dienstleister müssen den Schutz dieser personenbezogenen Daten ernst nehmen. Umso mehr, weil die Daten in der Cloud bearbeitet und über unsichere Netze zwischen Objekten, Menschen und Services übertragen werden.
Risiken erkennen, bevor das Licht ausgeht
Der Schutzbedarf von IoT-Projekten verlangt also Kompetenzen aus den beiden Welten IT und OT. IoT-Projekte sind grundsätzlich keine komplexe Wissenschaft, weisen jedoch trotzdem einige Besonderheiten auf: «Security by Design» heisst das Zauberwort. In der Realität ist dies aus Innovationssicht jedoch meist nur bei kritischen Projekten oder IoT-spezifischen Anforderungen möglich. Um den Schutzbedarf eines IoT-Projektes abschätzen zu können, bedarf es zu Beginn eine entsprechende Risikoanalyse. Dabei sind die Auswirkungen von Vorfällen im Kontext des Einsatzes der IoT-Systeme und Use Cases zu hinterfragen. Auf dieser Basis kann die Kritikalität abgeschätzt und eine Herangehensweise abgeleitet werden. Dies kann bedeuten, dass «Security by Design» tatsächlich zwingend notwendig wird, oder aber, dass zunächst nur einzelne Sicherheitsmassnahmen implementiert werden müssen. In IoT-Vorhaben mit höherem Schutzbedarf sollte im nächsten Schritt die Eintrittswahrscheinlichkeit von Vorfällen eruiert und Prioritäten abgeleitet werden. Dies gelingt durch eine Abschätzung der potentiellen organisatorischen und technischen Verletzbarkeiten im Gesamtsystem sowie für die einzelnen Komponenten.
IoT als fester Bestandteil der Cyber Security
Cyber Security muss bei IoT-Vorhaben ganz oben auf der Agenda stehen. Technologisch liegt der Schlüssel zur Sicherheit in einer geeigneten Architektur und der entsprechenden Zonierung bei IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten; ebenso die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen und diese mit entsprechenden Sicherheitsmassnahmen zu versehen. «Best-Practice»-Ansätze dienen hier zur Orientierung. Natürlich darf das regelmässige Update- und Patch-Management (auch von IoT-Geräten) nicht vergessen werden. Cyber Security geht aber noch viel weiter. Der Trend geht klar in Richtung einer intensiveren Überwachung der Sicherheitssysteme und der Erkennung von Vorfällen.
Weil sich Cyberattacken nicht verhindern lassen, braucht es neue Sicherheitsansätze, bei welchen die Detektion im Vordergrund steht und die Reaktion auf Angriffe entscheidend ist. Ein Incident Response-Team in einem Cyber Defence Center hilft, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren sowie den Business Impact drastisch zu reduzieren. Da sich die Risikosituation stetig ändert, ist Cyber Security keine einmalige Angelegenheit. Unternehmen müssen die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv optimieren und kontinuierlich verbessern. Wichtige Elemente einer Security Governance beinhalten deshalb Risk Assessments, organisatorische Audits, System Security Testing, Penetration Tests und Vulnerability Scans. Energiedienstleiter und Unternehmen sollten zudem jederzeit in der Lage sein, Sicherheitsvorkommnisse zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Sicherheit darf deshalb kein Thema sein, dem man sich irgendwann hinterher widmet – womöglich erst, wenn ein Vorfall eingetreten ist. Deshalb gilt: Wer sich mit IoT beschäftigt, muss sich auch intensiv mit Cyber Security und Cyber Defence auseinandersetzen.
www.infoguard.ch
