Das Internet of Things entwickelt sich rasend schnell – aber die Hacker halten Schritt. Deswegen muss jetzt das Engineering bei der IoT-Absicherung eng mit den Security-Experten der IT zusammenarbeiten. [...]
BEI DER IOT-ABSICHERUNG TRIFFT ENGINEERING AUF IT
All die potenziellen Lücken zeigen, wie groß die Herausforderungen bezüglich der Absicherung des IoT für die gesamte Industrie sind. «Wir haben jetzt die Konstellation Engineering meets Informatik», sagt Veit Siegenheim von Capgemini. Die klassischen Engineering-Bereiche, die Sensorik-getrieben sind und bislang in gewissem Umfang mit IT zu tun hatten, würden nun auf die klassische IT mit all ihren Vernetzungs- und Internetproblematiken treffen. Deshalb gebe es zunächst in der Sensorik eine ganze Menge Nachholbedarf.
Allerdings gibt es hier auch für die Security-Experten der IT noch jede Menge zu lernen, weil es nun um ganz andere Anwendungsszenarien geht als die, die sie aus der Welt der EDV kennen. „Security ist eine schwierige Disziplin, weil sie allumfassend ist“, sagt Siegenheim. „Angefangen von den am Prozess beteiligten Personen, die auch den größten Risikofaktor bilden, über den Prozess selbst bis hin zur eigentlichen Infrastruktur mit ihrer Applikationsarchitektur und den Anwendungen, stellen alle unterschiedliche Anforderungen an die Sicherheit.“ Dieses Spektrum werde nun durch die Vernetzung weiterer Bereiche, etwa Industrieanlagen und intelligente Geräte, erweitert.
Auch die Rolle des Menschen sei in der Industrie 4.0 anders. Bisher war der Mensch mit seinen Fehlern einerseits das größte Risiko für alle Systeme, andererseits konnte er immer eingreifen, etwa im Datacenter oder im Internet. „Die dezentralen Stellen in der klassischen Security sind Laptops oder Smartphones, die von Menschen bedient werden“, so Siegenheim. „Das ist im IoT und in Industrie 4.0 nicht mehr so. Wir haben es hier mit dezentralen, räumlich teilweise extrem verteilten Systemen zu tun, die über irgendwelche Funkmasten irgendwo kommunizieren.“
Davon abgesehen sind auch die Abwehrmechansimen, die man aus der EDV kennt, nicht eins zu eins aufs Internet der Dinge übertragbar, auch wenn der grundsätzliche Weg zu einem Sicherheitskonzept identisch ist. „Sowohl für ein Office-Produkt als auch für eine Industrieanlage, die beispielsweise Kotflügel produziert, müssen Sie zuerst eine Risikobewertung machen, in der man erfasst, welchen Risiken das jeweilige Gerät oder die Anlage ausgesetzt ist“, sagt Olaf Mischkovsky von Symantec. Auch die Basistechnologien wie Firewalling oder Authentifizierung seien vom Prinzip her dieselben. Tools und Maßnahmen müssten jedoch für den jeweiligen Anwendungszweck adaptiert werden.
„In der Office-Welt etwa ist es sinnvoll, dass jeder Rechner mit einem Antivirusprogramm geschützt wird“, so Mischkovsky. „Bei einem Fahrzeug ohne Internetanschluss ist dieses Konzept aber wenig sinnvoll, weil das Antivirusprogramm keine Updates empfangen kann, und ohne Updates ist ein Antivirusprodukt nutzlos. Andererseits hat auch die Anlage für die Produktion von Kotflügeln einen USB-Anschluss, über den Schadcode auf dieses System kommen kann. Ein Industriesystem ist aber kein Office-System. Die angreifenden Dateien können also eine andere Struktur haben als die aus der Office-Welt. Also muss auch die Maßnahme zur Absicherung anders aussehen als beim Office-System.“
Be the first to comment