Auch wenn die Vielfalt der Produkte erschreckend ist, sie haben oft etwas gemeinsam:
IoT-Geräte werden über das Internet typischerweise an eine spezifische Cloud des jeweiligen Herstellers des IoT-Geräts angebunden, um Daten in die Cloud zu senden, Daten aus der Cloud zu beziehen und, um je nach Anwendung auch direkt aus der Cloud angesprochen werden zu können. Nicht selten werden die entsprechenden Cloud-Dienste dabei nicht oder nur teilweise in den Rechenzentren des IoT-Geräte-Herstellers realisiert, sondern auf Basis von Infrastructure as a Service (IaaS) oder Platform as a Service (PaaS) aus Public-Cloud-Plattformen wie z.B. Amazon Web Services oder Microsoft Azure implementiert.
Der Zugriff der Nutzer auf IoT-Geräte bzw. die Daten der Geräte erfolgt per App oder Browser über Smartphone, Tablet oder PC ebenfalls über die jeweilige Cloud des Herstellers. Je nach IoT-Gerät bzw. Anwendung erfolgt auch eine direkte Kommunikation zwischen IoT-Gerät und einem Smartphone über WLAN, Bluetooth oder Near Field Communication (NFC). Die Wartung und Betriebsunterstützung der IoT-Geräte erfolgt ebenfalls meist Cloud-basiert (z.B. die Übertragung von Software-Updates und Gerätekonfigurationen).
Die so gesammelten Daten einer großen Zahl von IoT-Geräte werden dann nicht selten auch mit den Mitteln von künstlicher Intelligenz (KI) und Big Data (natürlich ebenfalls per Cloud-Dienst) analysiert. Eine typische Anwendung ist Predictive Maintenance. Hierbei wird aus Messwerten (z.B. über Sensoren im IoT) die Wahrscheinlichkeit geschätzt, mit der ein Gerät in der nächsten Zeit ausfällt. Wenn die Wahrscheinlichkeit einen Schwellwert überschreitet, könnte ein Gerät auf Verdacht ausgetauscht werden, selbst wenn es noch funktionieren sollte.
Dass solche Infrastrukturen erhebliche Anforderungen an die Informationssicherheit stellen, ist eigentlich selbstverständlich. Leider muss immer wieder festgestellt werden, dass nicht nur im Consumer-Bereich von recht vielen Herstellern und Nutzern fundamentale Grundlagen der Informationssicherheit nicht oder nur unzureichend berücksichtigt werden.
Ungesicherte Erreichbarkeit im Internet inklusive nicht geänderter Standard-Passworte, ungesicherte Übertragung von Nutzerdaten und sonstiger interessanter Daten zu einem auch nicht weiter abgesicherten Cloud-Dienst: All das hat es schon gegeben [1]. Oft sind es aber auf den ersten Blick scheinbar harmlose Dinge, die aus dem privaten Umfeld übertagen werden, wie z.B. bei einem Staubsaugerroboter, der beim Saugen einen Grundriss der Räumlichkeiten ermittelt und in eine Hersteller-Cloud überträgt. Außerdem haben auch vermeintlich abgesicherte Produkte ihre Schwachstellen, z.B. durch unzureichende Authentisierung oder mangelnde Input Validation, die für Lausch- oder Injection-Attacken oder sonstige Angriffe missbraucht werden können, wie im März 2018 wieder einmal im Bereich der Überwachungskameras aufgefallen ist [2]. Auch Smart-TVs scheinen ein attraktives Angriffsziel im IoT zu sein, wie eine kürzlich herausgegebene Warnung des BSI zeigt [3].
Nun macht das IoT selbstverständlich auch nicht vor der Enterprise-IT halt. Zunächst finden sich in Besprechungsräumen selbstverständlich smarte Beamer sowie Smart-TVs und die moderne Gebäudetechnik ist ohne IoT auch nicht mehr denkbar. Der Trend setzt sich jedoch konsequent fort. Der IT-Arbeitsplatz der Zukunft wird letztendlich aus Geräten im IoT bestehen. PCs, Smartphones, Tablets, Desktop-Telefone und Drucker, alles wird über Cloud-Infrastrukturen betrieben. Außerdem werden neue Geräte in den IT-Arbeitsplatz integriert, z.B. Smart Watches. Auch für andere IT-Komponenten wie z.B. Switches erfolgen Administration und Monitoring künftig immer häufiger per Cloud-Dienst und am Ende ist jegliche Hardware in unserer IT im IoT.
Die Informationssicherheit im Unternehmen muss sich an diese geänderten Rahmenbedingungen anpassen. Es ist für Institutionen zwingend erforderlich Sicherheitsrichtlinien und umfassende Sicherheitskonzepte für den Umgang mit IoT-Anwendungen und Cloud-Diensten zu erstellen und nachhaltig zu pflegen. Sicherheitsanforderungen (z.B. angemessene Authentisierung von IoT-Geräten und Nutzern der IoT-Cloud gegenüber, Absicherung von Web-Anwendungen und Web-Services, Absicherung der Daten in der Cloud) müssen dabei insbesondere bei der Planung und Beschaffung von IoT- und Cloud-Diensten berücksichtigt werden. Außerdem müssen IoT- und Cloud-Dienste in das Schwachstellenmanagement eingebunden und Schnittstellen für die Behandlung von Sicherheitsvorfällen geschaffen werden. IoT- und Cloud-Nutzung müssen daher integraler Bestandteil des Information Security Management System (ISMS) sein.
Andernfalls droht die Enterprise IT im Sumpf der Gefahren des IoT unterzugehen.
Verweise
[1] Siehe z.B. folgende Meldung vom März 2018, die zeigt, wie einfach dank mangelhafter Sicherheit eine Smartwatch ohne Expertenwissen als Abhörwanze missbraucht werden kann: https://www.heise.de/newsticker/meldung/Abhoer-Alptraum-GPS-Smartwatch-fuer-Kinder-und-Senioren-laesst-sich-von-Fremden-belauschen-4007259.html
[2] Siehe https://ics-cert.us-cert.gov/advisories/ICSA-18-079-01
[3] und http://www.tagesschau.de/wirtschaft/bsi-smart-tv-101.html
Teile diesen Eintrag