Wie sicher ist das Internet der Dinge?

Das Internet of Things entwickelt sich rasend schnell – aber die Hacker halten Schritt. Deswegen muss jetzt das Engineering bei der IoT-Absicherung eng mit den Security-Experten der IT zusammenarbeiten. [...]

BEI DER IOT-ABSICHERUNG TRIFFT ENGINEERING AUF IT
All die potenziellen Lücken zeigen, wie groß die Herausforderungen bezüglich der Absicherung des IoT für die gesamte Industrie sind. «Wir haben jetzt die Konstellation Engineering meets Informatik», sagt Veit Siegenheim von Capgemini. Die klassischen Engineering-Bereiche, die Sensorik-getrieben sind und bislang in gewissem Umfang mit IT zu tun hatten, würden nun auf die klassische IT mit all ihren Vernetzungs- und Internetproblematiken treffen. Deshalb gebe es zunächst in der Sensorik eine ganze Menge Nachholbedarf.

Veit Siegenheim, Leiter des Bereichs CIO Advisory Services bei Capgemini:

Allerdings gibt es hier auch für die Security-Experten der IT noch jede Menge zu lernen, weil es nun um ganz andere Anwendungsszenarien geht als die, die sie aus der Welt der EDV kennen. „Security ist eine schwierige Disziplin, weil sie allumfassend ist“, sagt Siegenheim. „Angefangen von den am Prozess beteiligten Personen, die auch den größten Risikofaktor bilden, über den Prozess selbst bis hin zur eigentlichen Infrastruktur mit ihrer Applikationsarchitektur und den Anwendungen, stellen alle unterschiedliche Anforderungen an die Sicherheit.“ Dieses Spektrum werde nun durch die Vernetzung weiterer Bereiche, etwa Industrieanlagen und intelligente Geräte, erweitert.
Auch die Rolle des Menschen sei in der Industrie 4.0 anders. Bisher war der Mensch mit seinen Fehlern einerseits das größte Risiko für alle Systeme, andererseits konnte er immer eingreifen, etwa im Datacenter oder im Internet. „Die dezentralen Stellen in der klassischen Security sind Laptops oder Smartphones, die von Menschen bedient werden“, so Siegenheim. „Das ist im IoT und in Industrie 4.0 nicht mehr so. Wir haben es hier mit dezentralen, räumlich teilweise extrem verteilten Systemen zu tun, die über irgendwelche Funkmasten irgendwo kommunizieren.“

Davon abgesehen sind auch die Abwehrmechansimen, die man aus der EDV kennt, nicht eins zu eins aufs Internet der Dinge übertragbar, auch wenn der grundsätzliche Weg zu einem Sicherheitskonzept identisch ist. „Sowohl für ein Office-Produkt als auch für eine Industrieanlage, die beispielsweise Kotflügel produziert, müssen Sie zuerst eine Risikobewertung machen, in der man erfasst, welchen Risiken das jeweilige Gerät oder die Anlage ausgesetzt ist“, sagt Olaf Mischkovsky von Symantec. Auch die Basistechnologien wie Firewalling oder Authentifizierung seien vom Prinzip her dieselben. Tools und Maßnahmen müssten jedoch für den jeweiligen Anwendungszweck adaptiert werden.

„In der Office-Welt etwa ist es sinnvoll, dass jeder Rechner mit einem Anti­virusprogramm geschützt wird“, so Mischkovsky. „Bei einem Fahrzeug ohne Internetanschluss ist dieses Konzept aber wenig sinnvoll, weil das Antivirusprogramm keine Updates empfangen kann, und ohne Updates ist ein Antivirusprodukt nutzlos. Andererseits hat auch die Anlage für die Produktion von Kotflügeln einen USB-Anschluss, über den Schadcode auf dieses System kommen kann. Ein Industriesystem ist aber kein Office-System. Die angreifenden Dateien können also eine andere Struktur haben als die aus der Office-Welt. Also muss auch die Maßnahme zur Absicherung anders aussehen als beim Office-System.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*