Das Internet of Things (IoT) eröffnet neue Geschäftsmöglichkeiten. Gleichzeitig bietet ein IoT-Ökosystem aber auch diverse Einfallstore für Cyber-Kriminelle, denn die IoT Security lässt vielfach zu wünschen übrig. Wie bringen Hersteller Funktionalität und Sicherheit unter einen Hut? Der Schlüssel zum Erfolg liegt in der Formel «Security by Design» – erfahren Sie mehr im Blogbeitrag.
Ist von disruptiven Geschäftsmodellen und Big Data die Rede, fällt früher oder später auch der Begriff Internet of Things (IoT). Die Vision: Mit dem Internet verbundene Geräte, Maschinen und Fahrzeuge wachsen zu einem branchenübergreifenden IoT-Ökosystem zusammen, das die gesamte Wertschöpfungskette in Echtzeit abbildet.
Unternehmen aus verschiedensten Branchen versprechen sich durch IoT-basierte Produkte und daran gekoppelte Dienstleistungen einen Nutzen auf verschiedensten Ebenen:
Hinter allen IoT-basierten Produkten und Services steckt dasselbe Prinzip: Daten werden mithilfe von Sensoren erhoben, aggregiert und analysiert. So können in Echtzeit verschiedenste Zustände erhoben werden. Bei Bedarf lassen sich mithilfe von entsprechenden Aktoren teil- oder vollautomatisiert Anpassungen am System vernehmen. Dies erlaubt es zum Beispiel einer Smart Factory, ihre Lagerhaltung zu automatisieren und die Warenbestände optimal zu koordinieren. Ebenso kann ein Maschinenhersteller die Systeme seiner Kunden in Echtzeit überwachen und Wartungsbedarf rechtzeitig erkennen.
Im IoT-Lifecycle verschmelzen die physische und die digitale Welt. Die IoT Devices und die IoT-Infrastruktur auf der einen Seite; die Speicherung und Verarbeitung der Daten auf der anderen. Die intelligente Auswertung der Daten liefert dem Anwender der IoT-Lösung Anhaltspunkte, um die physischen Systeme laufend zu optimieren. Die Schnittstelle zwischen den beiden Welten ist der «Digital Twin»: ein digitaler Zwilling, der die physischen Prozesse – zum Beispiel eine Produktionsumgebung – virtuell abbildet.
IoT-Lifecycle: Verschmelzung der physischen und der digitalen Welt
Ein IoT-Netzwerk ist deutlich komplexer als ein herkömmliches IT-Netzwerk. Betrachtet man die Produktionspyramide, so reicht die Vernetzung vom Manufacturing Execution System (MES) über Controller wie Programmable Logic Controller (PLC) bis hin zu einzelnen Sensoren und Aktoren. Dabei haben eine Vielzahl von Akteuren Zugriff auf die IoT-Umgebung: Mitarbeitende, externe Partner wie Zulieferer und Kunden, aber auch die Maschinen selbst, die untereinander oder mit der Cloud kommunizieren.
Die zahlreichen Schnittstellen sind eine Herausforderung für die IoT Security und die hohe Komplexität der IoT-Ökosysteme erschwert die Gewährleistung der Sicherheit. Das dafür notwendige spezifische Fachwissen fehlt jedoch bei vielen Anbietern von IoT-Lösungen. Aufgrund der oft mangelhaften IoT Security und der stetig wachsenden Anzahl IoT-Geräte werden Cyber-Angriffe immer zahlreicher. Eine erfolgreiche Attacke kann fatale Folgen haben – die Palette reicht von Spionage bis hin zu Sabotage. Cyber-Kriminelle können Daten entwenden oder gar die Steuerung von Anlagen übernehmen. Den Herstellern der betroffenen IoT-Devices drohen Haftungsrisiken und Reputationsschäden.
Die weitreichende Vernetzung stellt hohe Anforderungen an die Sicherheit. In einem IoT-Ökosystem gibt es zahlreiche Schlupflöcher für Cyber-Kriminelle. Mögliche Angriffspunkte sind unsichere Mobilgeräte, Cloud Interfaces mit Sicherheitslücken oder ungenügend gesicherte administrative Interfaces. Die IoT-Devices selbst bieten weitere Einfallstore wie Interfaces zu Netzwerk- und Webdiensten, Update-Mechanismen und Firmware.
Sicherheitslücken bei IoT-Devices und IoT-Plattformen sind ideale Einfallstore für Cyber-Kriminelle, um an die IT-Infrastrukturen von Unternehmen oder Produktionsanlagen zu gelangen.
Über die vielschichtigen Angriffsflächen im IoT-Ökosystem können sich Cyber-Kriminelle Zugriff auf sämtliche IoT Layer verschaffen und dadurch sowohl auf die IT-Infrastruktur des Unternehmens als auch auf die smarten Geräte, Maschinen und Anlagen im jeweiligen Anwendungsfeld zugreifen. In vielen Branchen stehen dabei auch Menschenleben auf dem Spiel, insbesondere bei kritischen Infrastrukturen wie dem Gesundheitswesen oder der Verkehrssteuerung.
Wie lassen sich die vielfältigen Cyber-Risiken im IoT-Umfeld minimieren? Der Schlüssel zu einer lückenlosen IoT Security heisst «Security by Design»: Sicherheit sollte bei der Entwicklung von IoT-Produkten von Anfang an mitgedacht werden. Müssen Sicherheitskomponenten nachgerüstet werden, kostet dies nämlich viel Zeit und Geld. Zudem fehlt die nötige Agilität bei der Weiterentwicklung, und weitere Innovationen werden erschwert.
Mit der CyOne Security setzen Sie den Ansatz «Security by Design» konsequent um – mit sicheren Architekturen für Hard- und Software, bewährten Update-Mechanismen und verifizierbaren Audit-Prozesse für Ihre spezifische IoT-Lösung. Die IoT Security-Experten kümmern sich um die Orchestrierung der Zugriffsrechte und die Kontrolle der Zugriffe. Dabei stellen wir sicher, dass die einzelnen Dienste im IoT-Ökosystem voneinander abgeschottet laufen und über klar definierte Schnittstellen miteinander kommunizieren. Dieses Prinzip der «Compartmentalization» gilt auch für Daten.
Die CyOne Security verfügt über einzigartige Kompetenzen in proprietärer Hard- und Software, aber auch in der Umsetzung von Standards. Dabei kann jede Lösung unabhängig vom Hersteller sicher ins IoT-Netzwerk integriert werden. Dank konsequentem Monitoring und kontinuierlicher Verbesserung der IoT Security profitieren Sie von einer sicheren IoT-Umgebung über den ganzen Produktlebenszyklus hinweg.
«Make or Buy»: Lohnt es sich, die IoT-Security-Kompetenz intern aufzubauen oder ist es sinnvoller, das Know-how bei einem externen Anbieter einzukaufen? Die Entscheidungs-Checklisten «IoT Security Make or Buy?» schaffen Klarheit und helfen Ihnen bei der Entscheidung.
Beitrag teilen
