Sicherheit im IoT: „Das größte Risiko ist der Mensch“

Durch das Internet der Dinge vervielfachen sich die Risiken von Hackerangriffen, denn jedes mit dem Netz verbundene Gerät ist ein potenzielles Einfallstor. Peter Siwon, Business Development Manager bei MicroConsult, und Michael Schnelle, Consultant bei Mixed Mode, schildern im Interview die größten Risiken und erläutern Schutzstrategien.

Wird die Gefahr durch Bedrohungen im IoT aus Ihrer Sicht unterschätzt?

Peter Siwon: Das subjektive Risikoempfinden der Menschen weicht leider oft erheblich von einer objektiven Bewertung ab. Selbst bei großem objektivem und statistisch belegbarem Risiko, etwa im Straßenverkehr, fühlen wir uns sicher, wenn wir selber oder unsere unmittelbare Umgebung noch nicht betroffen waren. Das ändert sich schlagartig, wenn wir selbst oder uns bekannte Menschen betroffen sind (z.B. Verkehrsunfall) oder Katastrophen (z.B. Terroranschläge) in den Medien starke Aufmerksamkeit erregen.

So gesehen kann man davon ausgehen, dass in der Regel die subjektive Einschätzung sehr häufig in der einen oder anderen Richtung falsch liegt. Deshalb ist es wichtig, dass wir Risiken objektiv anhand nachvollziehbarer Daten bewerten, z.B. die Anzahl der Eindringversuche in ein Computernetzwerk pro Tag, die Anzahl potentiell bedrohlicher E-Mails oder mittels statistischer Daten aus seriösen Quellen.

Michael Schnelle: Angesichts der derzeit gemachten Erfahrungen bei den unterschiedlichsten Projekten muss ich diese Frage mit Ja beantworten.

Dies ist aber auch nicht verwunderlich, denn IT-Systeme werden im Allgemeinen immer vernetzter und komplexer. Im IoT-Bereich ist das besonders ausgeprägt. Durch die gestiegene Komplexität wird es immer schwieriger, Software sicher zu entwickeln. Jede Systemschnittstelle ist ein potentielles Einfallstor für einen Angreifer. Zusätzlich sind im IoT oft heterogene Hardwarekomponenten mit heterogener Software im Einsatz.

Jede Komponente muss separat betrachtet werden. Ein kleiner Sensor muss anders abgesichert werden als der verwaltende Gateway, der sich aber auch komplett von einer Client-Applikation unterscheidet.

Was ist aus Ihrer Sicht die schlimmste Bedrohung?

Peter Siwon: Wie bereits oben beschrieben neigt der Mensch dazu, Risiken falsch zu bewerten. Hinzu kommt seine Neigung zu Bequemlichkeit (kein Passwortwechsel, ein und dasselbe Passwort für mehrere Accounts, zu simple Passworte) und seine Abneigung gegen Reglementierungen und Vorschriften.

Eine weitere Bedrohung stellt die Vermischung beruflicher und privater Kommunikation und Systemnutzung dar. So werden beispielsweise Smartphones, die auch privat genutzt werden, im Firmennetz eingesetzt. Schließlich ist es schlicht und ergreifend Unwissenheit, so etwa über Voreinstellungen der Hersteller, die geändert werden sollten, bevor ein System online geht.

Kurz: Das größte Risiko stellt der Mensch selbst dar. Ein weiteres Risiko sehe ich in der mangelnden Verfügbarkeit effektiver Prozesse und Infrastrukturen, die bei einem Notfall sicherstellen, dass die Funktionen ausgefallener Systeme übernommen werden und die betroffenen Systeme schnell neu installiert werden. Die größte Bedrohung sehe ich, wenn durch diese individuellen Sicherheitslücken wichtige Infrastrukturen wie zentrale Server oder andere Anlagen über eine nicht tolerierbare Ausfallzeit oder Ausfallhäufigkeit lahmgelegt werden können.

Michael Schnelle: Die Frage nach der schlimmsten Bedrohung lässt sich nicht allgemein beantworten, da sie sehr vom Use-Case und der Einsatzumgebung eines Systems abhängt. Eine Bedrohung wird nach den Gesichtspunkten der Ausnutzbarkeit und des potentiellen Schadens betrachtet. Man spricht hier auch vom potentiellen Risiko einer Bedrohung. Wird durch das Ausnutzen einer Bedrohung ein vergleichsweise hoher Schaden verursacht, kann das Risiko trotzdem gering sein, wenn diese praktisch fast unmöglich ist auszunutzen.

Auf der anderen Seite kann das Risiko für eine Bedrohung auch hoch sein, wenn der zu erwartende Schaden niedrig ist, aber die Ausnutzbarkeit sehr einfach ist. Gegen Bedrohungen, die sehr einfach auszunutzen sind, kann man sich in der Regel auch einfach schützen. Ein beliebtes Einfallstor im IoT ist – da meist unterschätzt – das Web-Interface eines Gateways. Dies lässt sich meist durch wenig Konfiguration und den Einsatz geprüfter Standardsoftware absichern.

Wie kann man sich erfolgreich wehren?

Peter Siwon: Das Wichtigste ist Aufklärung, und zwar nicht nur einmal, sondern immer wieder (aus den oben genannten Gründen). Es sollte wenigstens eine kompetente Person in der Firma geben, die in der Lage ist, das Risiko objektiv zu bewerten und die notwendigen und angemessenen Sicherheitsmaßnahmen laiengerecht und möglichst leicht umsetzbar vorzubereiten.

Diese Person benötigt genügend Zeit, um sich mit dem Thema kontinuierlich zu befassen, denn Sicherheit im Internet ist ein kontinuierlicher Prozess. Schließlich sollte die Einhaltung der Sicherheitsmaßnahmen regelmäßig und möglichst automatisch erfolgen. Sollte es diese Person nicht geben, ist externe Unterstützung ratsam. Das ist jetzt nichts neues, nur, dass sich der Kreis der von solchen Bedrohungen betroffener Systeme und Personen durch das IoT explosionsartig erweitert.

Michael Schnelle: Sicherheit ist ein Prozess, der idealerweise von Beginn an Bestandteil eines Projekts ist. Sehr schwierig ist es, ein fertiges Produkt oder System sicher zu machen. Schon bei der Planung sollten Sicherheitsaspekte berücksichtigt werden. Idealerweise haben auch die Entwickler ein Verständnis für Sicherheit und wissen, was beachtet werden muss, um sichere System zu entwickeln. Durch Bedrohungs- und Risikoanalysen kann das optimale Verhältnis zwischen benötigter Sicherheit und den aufzuwendenden Kosten ermittelt werden.

Ein System kann auch meist nicht hundertprozentig abgesichert werden, denn solange mit der Außenwelt interagiert wird, besteht ein Restrisiko. Ziel ist es, dieses Risiko soweit möglich zu minimieren.

Die MicroConsult Seminare und Workshops geben Ihnen das notwendige Rüstzeug an die Hand, mit dem Sie effiziente Lösungsansätze zum Schutz Ihrer Systeme entwickeln und umsetzen können.

Weiterführende Informationen

MicroConsult Training & Coaching zum Thema Safety & Security

MicroConsult Fachwissen zum Thema  Sicherheit & Qualität

MicroConsult Training & Coaching zum Thema IoT

MicroConsult Fachwissen zum Thema IoT

 

(Interview veröffentlicht auf Elektronikpraxis)

Veröffentlicht von

Peter Siwon

Peter Siwon

Peter Siwon ist für das Business Development bei MicroConsult verantwortlich. Die Embedded-Branche kennt er aus vielen Perspektiven: Forschung, Entwicklung, Projektleitung, Schulung und Beratung, Vertrieb, Marketing und Geschäftsführung. Er ist Mitgründer des Embedded Software Engineering Kongress sowie Kolumnen- und Buchautor und lehrt an der University of Applied Science in Regensburg und Braunschweig.