Stand der Sicherheit im IoT IoT-Sicherheit – Land in Sicht oder Land unter?

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Nico Litzel

Die Sicherheitsrisiken im und durch das Internet of Things (IoT) nehmen unaufhörlich zu, die IoT-Sicherheit tritt auf der Stelle, so scheint es. Doch ist es wirklich so? Kommt die IoT-Sicherheit nicht doch voran?

Firmen zum Thema

Das Ziel lautet Security by Design im IoT, doch der Weg ist lang.
Das Ziel lautet Security by Design im IoT, doch der Weg ist lang.
(Bild: ©ZinetroN - stock.adobe.com)

Über 80 Prozent der Unternehmen haben das Internet der Dinge (Internet of Things, IoT) implementiert, und fast 20 Prozent der Unternehmen haben in den vergangenen drei Jahren einen IoT-basierten Angriff entdeckt, so die Marktforscher von Gartner. Weniger als ein Drittel der CISOs ist davon überzeugt, dass ihre Security-Abteilung das IoT-Risiko zuverlässig bewerten und mindern kann. Steht es also nicht gut um die IoT-Sicherheit?

Auf diese Frage, wie es um die Sicherheit im Internet of Things steht, gibt es mehr als eine Antwort. Einerseits nehmen die Cyberattacken zu, die Schwachstellen im IoT ausnutzen, um IoT-Daten auszuspähen und IoT-Systeme zu manipulieren. Das Angriffsziele reichen von Fitness-Trackern bis hin zu vernetzten Wasserwerken. Daneben werden unzureichend geschützte IoT-Geräte weiterhin zu Angriffszwecken missbraucht, zum Beispiel für die Ausführung von DDoS-Attacken.

Andererseits gibt es viele Initiativen und Bestrebungen, die IoT-Sicherheit deutlich voranzubringen. Dazu gehört in jedem Fall das Vorhaben, die IoT-Sicherheit transparenter werden zu lassen, zum Beispiel durch die Sicherheitszertifizierung bei IoT-Geräten.

Die Mitgliedsstaaten der Europäischen Union wollen die Cybersicherheit von vernetzten Geräten voranbringen, so eine Mitteilung des Bundesinnenministeriums im Dezember 2020. Künftig sollen möglichst alle vernetzbaren Geräte ein noch zu identifizierendes Mindestmaß an Sicherheitseigenschaften aufweisen müssen. Die EU-Mitgliedsstaaten unterstreichen, dass hierfür das europäische Rahmenwerk für Cybersicherheitszertifizierung herangezogen werden soll. Der Weg hin zu IoT-Sicherheitszertifikaten wird also langsam, aber sicher beschritten.

Komplexität in der IoT-Sicherheit berücksichtigen

Leicht wird aber eine solche Zertifizierung im IoT nicht, denn Sicherheit kann immer nur in der gesamten Lieferkette entstehen, sie betrifft alle Komponenten und beteiligten Hersteller. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) veröffentlichte entsprechend Richtlinien zur Sicherung des Internet der Dinge (IoT), die die gesamte Lieferkette im Internet of Things, Hardware, Software und Dienste, abdecken sollen.

Lieferketten sind derzeit einer breiten Palette von Bedrohungen ausgesetzt, von physischen Bedrohungen bis hin zu Cybersicherheitsbedrohungen, so ENISA. Organisationen werden mehr denn je von Dritten abhängig. Da Unternehmen die Sicherheitsmaßnahmen ihrer Lieferkettenpartner nicht immer kontrollieren können, sind IoT-Lieferketten zu einem schwachen Glied für die Cybersicherheit geworden. Unternehmen haben heute weniger Sichtbarkeit, wie die von ihnen erworbene Technologie entwickelt, integriert und bereitgestellt wird, als jemals zuvor, wie ENISA klarstellt.

Sicherheitsempfehlungen und Leitlinien für das IoT nutzen

Die Komplexität im IoT führt auch dazu, dass es nicht die eine IoT-Sicherheit gibt. So macht es Sinn, sich jeweils mit dem genauen IoT Use Case zu befassen. So hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Sicherheit in Smart Cities betrachtet, eine Prüfspezifikation zur Technischen Richtlinie für Breitband-Router veröffentlicht und die Cyber-Sicherheit an Bord von Schiffen behandelt. Auch ENISA hat sich mit der Sicherheit bei vernetzten Fahrzeugen und in vernetzten Häfen befasst, um nur einige Beispiele zu nennen.

Den verschiedenen IoT-Anwendungen und -Szenarien sind aber bestimmte Bedrohungen gemein und entsprechend auch dafür erforderliche Abwehrmaßnahmen. Deshalb empfiehlt es sich zum Beispiel, das MITRE Framework for Cyber Attacks on Industrial Control Systems anzusehen, da man hier viel über Schwachstellen, Bedrohungen und Gegenmaßnahmen lernen kann.

Security by Design im IoT als Ziel, Embedded Security als Unterstützung

Die Vielfalt der Bedrohungen und Angriffsmöglichkeiten im IoT macht zudem sehr deutlich, dass die Security auch und gerade im IoT mehr zum Bestandteil werden muss, weniger zur Ergänzung einer IoT-Lösung. Security by Design ist das Ziel, der Weg dahin weiterhin steinig.

Umso erfreulicher ist es, wenn nach Wegen gesucht wird, die Security in die IoT-Lösungen selbst zu bringen, im Sinne von Embedded-Security-Funktionen. Dann hat man zwar noch kein Security by Design, aber eine tiefe Integration von Security und IoT.

Die Trusted Computing Group (TCG) hat Richtlinien und Best Practices für Software- und Firmware-Updates veröffentlicht und Möglichkeiten für die Sicherheit von IoT-Geräten durch eingebettete Sicherheitssoftware sowie die Verwendung verschiedener Schutztechnologien und deren Funktionsweise behandelt.

Offensichtlich gibt es weiterhin große Herausforderungen bei der Absicherung im IoT, doch nicht nur die IoT-Attacken nehmen zu, auch die IoT-Sicherheit kann Fortschritte verzeichnen. Gute Ansätze wie die IoT-Sicherheitszertifizierung können diese Fortschritte noch beschleunigen. Dann haben wir mehr Land in Sicht bei der IoT-Sicherheit.

(ID:47318199)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research