Herausforderung Internet of Things

Das Internet of Things (IoT) und die Operational Technology (OT) haben unsere Risikolandschaft stark verändert. SWITCH-CERT verfügt über dediziertes Security Know-how und unterstützt damit ihre Kunden.

Text: Martin Scheu, publiziert am 05.10.2020

IoT- und OT-Geräte sind auch aus der Hochschullandschaft nicht mehr wegzudenken. Hier ein Raspberry Pi, der kleine Aufgaben abarbeitet, dort ein Oszillograph, der über das Netzwerk Messwerte an einen PC weitergibt. Daneben finden sich OT-Geräte typischerweise in der Gebäudeautomation, wie der Regulierung von Klima und Licht oder zur Steuerung und Überwachung der Stromversorgung im Rechenzentrum.

Aus Security-Sicht geniessen IoT-Geräte nicht den besten Ruf. Dürftige Umsetzung von Security Features und meist fehlende Update-Möglichkeit, um nur zwei Punkte zu erwähnen.

Security by Design

Die Gründe sind vielschichtig, weshalb Security by Design im IoT-Bereich noch ein langer Weg vor sich hat. Höhere Produktions- oder Betriebskosten werden vielfach an erster Stelle erwähnt. Dass die Hersteller nur langsam oder gar nicht vorwärts machen, hängt auch mit den fehlenden gesetzlichen Vorgaben zusammen. Mehr Sicherheit könnte damit durchaus erreicht werden. Das zeigt ein Blick auf den Personenschutz. Jedes Gerät, das elektrisch mit Energie versorgt wird, muss so gebaut werden, dass bei korrektem Betrieb keine Gefahr für den Benutzer besteht. Ein weiteres Beispiel ist der Airbag. Bei dessen Einführung hatte der Gesetzgeber keine Vorgaben gemacht, es war die Technik, die den Einbau vorantrieb. Mit der Zeit wurde der Airbag «Stand der Technik». Durch kontinuierliche Verbesserungen ist er zu einem Massenprodukt geworden.

Fehlende Standardisierung

Handlungsbedarf besteht auch bezüglich Standards und Normen. Die ISO Norm 27400.2, Cybersecurity – IoT security and privacy, ist erst am Entstehen. ETSI, das European Telecommunications Standards Institute, stellt zwar die wichtigen Punkte der IoT Security mit der technischen Spezifikation ETSI TS 103 645 bereit. Sie hat jedoch in der EU keinen verpflichtenden Charakter.

Delegierte Verantwortung

Die grosse Anzahl OT- und IoT-Geräte stellt hohe Anforderungen an die IT-Sicherheitsabteilungen der Hochschulen. Die meist mit knappen Ressourcen arbeitenden Teams gehen den Weg der Eigenverantwortung. Das heisst, für die Security der Geräte ist der Betreiber verantwortlich. Er muss Sicherheitsupdates einspielen, Backups erstellen und dafür sorgen, dass nur die notwendigen Dienste von aussen erreichbar sind. Doch nur selten sind Betreiber auch Security-Experten. In der Folge bleiben veraltete Softwareversionen, Standard-Passwörter oder nicht benötigte Dienste in Betrieb.

Etwas Abhilfe schaffen zentral gemanagte Services, die Webserver oder Datenbanken zur Verfügung stellen. Zentral gemanagte Dienste sind aber nicht immer und überall möglich, das zeigt das Tech/Art-Lab «Immersive Arts Space» an der ZHdK. Dort wird die technologisch gestützte, künstlerische Auseinandersetzung mit Immersion, Virtualität und Simulation in verschiedenen Arbeiten umgesetzt. Audio, Video, virtuelle Realität und Drohnen bilden ein Ganzes. Die Zusammenarbeit der Geräte erfolgt digital. Aus Sicht der Security dürfen im Falle eines Angriffes auf IoT-Geräte weder das Netzwerk noch die Server der Schule beeinträchtigt werden.

Fazit

Für Studierende und Forschende bringen das IoT und die OT neue Möglichkeiten und Flexibilität. Beides führt aus Sicht der Security jedoch zu einer grösseren Angriffsfläche. SWITCH-CERT setzt sich mit diesen Themen auseinander und unterstützt ihre Kunden.

Über den Autor
Martin   Scheu

Martin Scheu

Martin Scheu arbeitet seit 2019 bei SWITCH. Er befasst sich mit der Sicherheit von OT und Industriesteuerungen und engagiert sich für eine sichere Industrie in der Schweiz.

E-Mail

ntop

SWITCH-CERT engagiert sich im Bereich OT-Netzwerk-Monitoring. OT-Netzwerke sind meist «blinde Flecken» auf der Netzwerkkarte, da sie nicht überwacht werden. Ein Grund dafür ist die Wirtschaftlichkeit. KMUs können sich die teure, kommerziell erhältliche OT Monitoring Software nicht leisten. Zusammen mit ntop entwickelte SWITCH-CERT ein Plug-In für die Open Source Monitoring Software «ntopng» zur Überwachung des OT Netzwerkverkehrs.

Tags
Security
Weitere Beiträge