Das Internet of Things (IoT) bietet Herstellern von Maschinen, Geräten und Messtechnik enorme Chancen. Doch jedes IoT-Projekt birgt auch Risiken. IoT Security ist einer der grössten Stolpersteine bei der Entwicklung von smarten Lösungen für die Industrie 4.0. Die Komplexität und die Tragweite der Sicherheitsfragen werden häufig unterschätzt. Inwiefern IoT Security in jedem einzelnen Schritt des IoT-Entwicklungsprozesses einbezogen werden sollte, erfahren Sie in diesem Blogpost.

Bei der Entwicklung von Produkten für das Internet of Things (IoT) steht die Funktionalität im Vordergrund: Die vernetzte Lösung soll Kunden einen Mehrwert bieten. Die Produktsicherheit spielt dabei meist nur eine Nebenrolle. Das gilt sowohl für smarte Konsumgüter als auch für vernetzte Produkte und Maschinen, die im Industrial Internet of Things (IIoT) zum Einsatz kommen. Obwohl gerade im industriellen Kontext immer auch sensible Daten auf dem Spiel stehen, wird das Thema IoT Security bei Lösungen für die Industrie 4.0 oft vernachlässigt.

Das ist ein Stück weit verständlich. Schliesslich liegt der Fokus von Maschinenbauern und Ingenieuren auf der technischen Umsetzung fachlicher Anforderungen. So steht auch bei IoT-Projekten die Herausforderung der Vernetzung von Komponenten wie Sensoren, Aktoren und Controllern im Mittelpunkt. Die Technologie ist komplex, es gibt keine Standardlösungen und die Zeit drängt – schliesslich ist die Time-to-Market im Wachstumsmarkt IoT entscheidend. Aspekte der Cyber Security gehen dabei gerne vergessen. Diese spielen im Hinblick auf die vielen Angriffsflächen der verwundbaren Smart Industry jedoch eine immer zentralere Rolle.

Konsequente Sicherheitsmassnahmen

Die grundlegenden Prinzipien der Cyber Security gelten auch bei IoT-Projekten. Dennoch kommen in der Praxis oft Komponenten zum Einsatz, die über keine oder unzureichende Schutzmechanismen verfügen. So werden zum Beispiel vielfach unsichere Hard- und Software-Architekturen oder unsichere Kommunikationsprotokolle eingesetzt. Die Folge: IoT-Produkte werden von Cyber-Kriminellen als Einfallstor genutzt. Ein Szenario, mit dem immer mehr Industriebetriebe Erfahrungen machen müssen, sind Ransomware-Attacken. Sicherheit ist immer nur eine Momentaufnahme. Oft geht auch vergessen, dass die Sicherheit einer IoT Solution über den Lebenszyklus der Services gepflegt werden muss. Wer analysiert zum Beispiel potenzielle Schwachstellen? Wer stellt auf sichere Weise Updates für Software und Firmware zur Verfügung (CERT-Prozess)? Diese Fragen müssen bereits im Design-Prozess einfliessen.

Herstellern von IoT Devices drohen neben Haftungsrisiken auch Reputationsschäden. Mit folgenden, bewährten Sicherheitsmassnahmen lassen sich die Cyber-Risiken minimieren:

Least Privileges: Prozesse, Softwarekomponenten und Benutzer erhalten nur so viele Rechte wie nötig.
Access Control: Zugriffe durch Benutzer und Systemprozesse auf Dienste und Daten werden kontrolliert.
Minimization: Auf Geräten und Schnittstellen laufen nur jene Softwarekomponenten und Dienste, die auch benötigt werden.
Compartmentalization: Die einzelnen Dienste laufen voneinander abgeschottet und kommunizieren über klar definierte Schnittstellen.

Entsprechende Massnahmen werden bei IoT-Projekten erfahrungsgemäss jedoch oft erst kurz vor der Produkteinführung zum Thema. Zu spät taucht die Frage auf: Wie machen wir unsere innovative IoT-Lösung nun auch noch sicher?

Erfahren Sie im kostenlosen Wissen-Update «Sicherheit – ein Must für jedes IoT-Projekt», welches die Erfolgsfaktoren für IoT-Projekte sind.

Wissens-Update herunterladen und mehr zu erfolgreichen  IoT-Entwicklungsprojekten erfahren

IoT-Entwicklungsprozess: Schritt für Schritt zur umfassenden IoT Security

Die Betrachtung der Sicherheit als «Add-on» für Anwendungen wie Cloud Access, Remote Access oder Edge Gateway greift zu kurz. Je später im Entwicklungsprozess IoT Security zum Thema wird, desto aufwändiger wird die seriöse Produkteinführung. Nachrüsten kostet viel und so manche Sicherheitslücken lassen sich im Nachhinein nicht mehr optimal absichern.

Hersteller müssen IoT Security deshalb von Anfang an mitdenken. Die Erfolgsformel bei der Entwicklung von IoT Devices heisst «Security by Design», sprich: Sicherheitsfragen werden bereits in der Konzeptionsphase und beim Prototyping hoch gewichtet. Einerseits geht es dabei um die Ermittlung von Angriffsvektoren, gegen die das smarte Produkt geschützt werden soll. Andererseits müssen sich Entwickler bereits frühzeitig mit den potenziellen Angriffspunkten im weiteren Produktlebenszyklus befassen. Nach der Markteinführung sind deshalb auch die laufende Analyse und die kontinuierliche Verbesserung der IoT Security zentral.

Animation-IoT-Security-Development

 

Bei jedem IoT-Entwicklungsschritt sollte die Cyber Security mitberücksichtigt werden.

Wird der Ansatz «Security by Design» konsequent verfolgt, spielt Sicherheit in jedem Schritt des IoT-Entwicklungsprojekts eine zentrale Rolle:

  1. Idee & Strategie: IoT Security vorausschauend planen
    Bereits bei der Konzepterstellung und Strategieentwicklung muss die IoT Security eingeplant werden. Nur so lässt sich die umfassende Produktsicherheit gewährleisten. Zudem: Je frühzeitiger die IoT Security berücksichtigt wird, desto besser werden die Investitionen kompensiert.
  2. Use Case & Prototyp: Sicherheitsmassnahmen konsequent umsetzen
    Bei der Definition der Use Cases und der Realisierung des Prototyps werden die Sicherheitsmassnahmen umgesetzt. Diese folgen den oben genannten Prinzipien: Least Privileges, Access Control, Minimization und Compartmentalization.
  3. Implementierung: Software und Updates gründlich testen
    Die Integrität von Software und Updates wird vor deren Verwendung überprüft. Audit-Trails, Konfigurationen, Logs und Daten müssen zwecks Nachvollziehbarkeit bei der Speicherung, in Transitprozessen oder bei der Archivierung kryptografisch gesichert werden.
  4. Analyse: Sicherheitsmassnahmen systematisch überwachen
    Die implementierten IoT Security-Massnahmen werden nach der Markteinführung des Produkts systematisch auf Schwachstellen überwacht.
  5. Betrieb: IoT Security laufend verbessern
    Die Sicherheitsmassnahmen werden laufend aktualisiert. Dies verbessert die Gerätesicherheit und stellt sicher, dass mögliche Schwachstellen rasch aufgedeckt werden.

Langfristiger Erfolg auf dem IoT-Markt

Hersteller, welche die relevanten, aktuellen Bedrohungen im Bereich der IoT Security und die daraus resultierenden Sicherheitsanforderungen auf dem Radar haben, bleiben langfristig erfolgreich: Sie minimieren Risiken und schaffen sich Wettbewerbsvorteile, denn sie sind in der Lage, Cyber-Angriffe auf ihre Produkte rechtzeitig zu verhindern und schützen dadurch nicht nur das eigene Unternehmen, sondern vor allem auch die Kunden.

Die CyOne Security unterstützt Sie über den gesamten Entwicklungsprozess hinweg mit projektspezifischen IoT Security Services. Unsere IoT Security-Experten verfügen über fundiertes Fachwissen in Product Cyber Security für Hard- und Software. Sie profitieren im Hinblick auf den ganzen Produktlebenszyklus von sicheren Architekturen und regelmässigen Updates, kontinuierlichen Sicherheitsmassnahmen und verifizierbaren Audit-Prozessen.