Security by Design in der Entwicklung – IoT-Sicherheit von Anfang an
13.10.2023
Abwägung zwischen Risiko und Nutzen des IoT
Der Boom des Internets der Dinge (Internet of Things, IoT) hat zu erheblichen Investitionen in Projekte geführt, die smarte Geräte, Big Data, Analytik und andere Werkzeuge der Digitalisierung umfassen.
Im Industriebereich ist das IoT eine Schlüsseltechnologie und Motor digitaler Transformation. Bis Ende 2023 wird es weltweit geschätzt 15 Milliarden IoT-Geräte, Sensoren und Aktoren geben, bis Ende 2025 könnten es sogar 30 Milliarden werden. Das IoT-Datenvolumen wird dann Prognosen zufolge auf 79,4 Zettabyte wachsen. Mit zunehmender Leistungsfähigkeit eingebetteter Systeme wandert zudem die intelligente Konnektivität bis zur Steuerungsebene mit smarten Sensoren und Aktoren und somit bis in die unteren Ebenen der Automatisierungshierarchie.
Cyberkriminelle haben früh erkannt: Ein exponentiell wachsendes IoT verspricht auch eine exponentiell wachsende Angriffsfläche und vor allem viel Profit. Cyberkriminalität ist zu einem hochorganisierten Wirtschaftszweig geworden, der mit professionellen "Crime-ware as a Service"-Modellen jährlich 1,5 Billionen US-Dollar erwirtschaftet, wäscht und reinvestiert.
Dies wirft erhebliche Sicherheitsprobleme auf. Schon eine kleine Lücke kann zum Einfallstor für Angreifer werden. Security by Design ist ein Ansatz, der die Sicherheitsanforderungen eines Hard- und/oder Softwareprodukts über den gesamten Produktlebenszyklus, von der Planungsphase bis zum End of Live berücksichtigt.
Warum stellen IoT-Geräte eine Gefahr für die Cybersicherheit dar?
Analysen zeigen, dass die meisten Unternehmen eine Mischung aus vernetzten IT-, OT-, IoT- und manchmal auch IoMT-Geräten in ihren Netzwerken betreiben. Ein solcher Aufbau erhöht das Risiko von Cyberattacken in Bereichen, die zuvor kein Risiko darstellten. Denn: Selbst scheinbar harmlose IoT-Geräte können aufgrund ihrer Internetfähigkeit oder ihrer Überwachungsfunktionen in Abhängigkeit von der Umgebung, in die sie netzwerktechnisch eingebunden sind, große Auswirkungen haben. Da viele IoT-Geräte außerdem in der Lage sind, mit den Daten zu arbeiten, die sie von ihrer jeweiligen Umgebung erhalten, verkürzt sich die Distanz zwischen der digitalen und der physischen Welt, wodurch sich Cyberangriffe schneller in physischen Konsequenzen niederschlagen und damit eine größere Wirkung entfalten können.
Welche Angriffsfläche bieten IoT-Geräte?
Für Cyberkriminelle bietet das IoT nicht nur aufgrund der steigenden Zahl an smarten Geräten zahlreiche Einfallstore, sondern auch aufgrund der Eigenschaften dieser Geräte:
- Missbrauch von Wartungszugängen zur Netzwerkinfiltration
IoT-Geräte verfügen in der Regel über Wartungszugänge, um im Störungsfall einen schnellen Zugriff zu ermöglichen, die aber leider oft schlecht oder gar nicht gesichert sind. - Missbrauch von Monitoring-Funktionen für gezielte Überwachung
Vernetzte Alltagsgeräte mit Kamera-, Mikrofon- oder Assistenzfunktionen können missbraucht werden, um Daten auszuspähen oder Bewegungsprofile zu erstellen. - Missbrauch der Internetfähigkeit für DDoS-Attacken
Ungesicherte IoT-Geräte können in illegale Botnetze integriert für groß angelegte DDoS-Angriffe genutzt werden.
Die risikoreichsten IoT-Geräte
Obwohl klassische IT-Geräte wie PCs, Server oder Router nach wie vor die meisten Schwachstellen aufweisen, ist der Schweregrad dieser Schwachstellen nur selten kritisch. In OT- und IoT-Geräten sind mehr als die Hälfte der Schwachstellen kritisch. IoMT-Geräte haben im Vergleich zwar nur wenige Schwachstellen, dafür sind diese überwiegend kritisch, ermöglichen also die vollständige Übernahme des Geräts.
Damit zählt das Gesundheitswesen zu den Branchen mit den höchsten Sicherheitsrisiken. Regierungseinrichtungen und Bundesbehörden konnten im Gegenzug ihre Sicherheitsrisiken am stärksten reduzieren.
IT | IoT | OT | IoMT |
Computer | Network Attached Storage (NAS) | Unterbrechungsfreie Stromversorgung (USV) | Medizinische Workstations |
Server | Drucker | Speicherprogrammierbare Steuerungen | Bildgebende Geräte |
Router | IP-Kameras | Technik-Workstations | Nuklearmedizinische Systeme |
VPN-Gateways | Out-of-Band-Management (OOMB) | Gebäudeautomationssysteme | Blutzuckermessgeräte |
Sicherheitssysteme | VoIP | Fernbedienungsterminal (RTU) | Patientenmonitor |
Die hieraus zu ziehende Lehre: Cyberabwehrmechanismen müssen besser werden, vor allem muss IoT-Sicherheit deutlich früher ansetzen als bisher.
Security by Design: Ein umfassender Ansatz für IoT-Sicherheit
Was versteht man unter Security by Design in der Hard- und Softwaretechnik?
Um Schäden durch sicherheitsrelevante Vorfälle gar nicht erst entstehen zu lassen, muss der Gedanke der Sicherheit von Anfang an in die Überlegungen mit einbezogen werden und in jeder Phase des Software Development Lifecycle (SDLC) implementiert werden – vom Design über die Entwicklung, die Verteilung, im laufenden Betrieb bis zur Außerbetriebnahme. Security by Design ist ein Ansatz, der die Sicherheitsanforderungen an ein Softwareprodukt über diesen kompletten Lebenszyklus berücksichtigt und implementiert.
10 Designprinzipien für ein sicheres IoT
Es ist unmöglich, vollkommen sichere Hard- oder Software zu entwickeln. Fehler werden sich einschleichen, und wenn sie es tun, werden Angreifer sie auch finden. Es ist aber möglich, Hard- und Softwareprodukte so zu gestalten, dass der Schaden im Falle einer Cyberattacke so gering wie möglich gehalten wird.
Die gute Nachricht ist: Die Entwicklung sicherer Hard- und Software ist kein Hexenwerk! Das A und O von Security by Design besteht darin, während der Designphase eine Handvoll Grundsätze zu beachten:
1. | Prinzip der minimalen Rechtevergabe |
2. | Prinzip der Rechtetrennung |
3. | Prinzip der geringsten gemeinsamen Ressource |
4. | Prinzip der Funktionstrennung |
5. | Prinzip der ausfallsicheren Standards |
6. | Verteidigung in der Tiefe |
7. | Prinzip des Minimalismus |
8. | Prinzip der vollständigen Zugriffskontrolle |
9. | Prinzip des transparenten Designs |
10. | Prinzip der psychologischen Akzeptanz |
Security by Design in der Praxis
Aus den Designprinzipien lassen sich Implementierungsvorgaben für die Praxis ableiten:
- Sichere Hardware als Grundlage
Umfassende Sicherheit kann nur erreicht werden, wenn auch die Sicherheit der Hardware gewährleistet ist. Eine sichere Hardware schützt die darauf laufende Software durch hardwarebasierte Verschlüsselung, Manipulationserkennung und andere Mechanismen, die den physikalischen Zugriff absichern.
- Continuous Integration, Continuous Delivery, Continuous Security
CI/CD-Ansätze automatisieren nicht nur das Testen der Funktionalität und die Verteilung der Software, sondern erlauben auch, Softwarefunktionen durch kontinuierliches Sicherheitstesting wie z.B. statische und dynamische Code-Analyse frühzeitig auf bekannte Probleme (z.B. Buffer Overflows), die zu Sicherheitslücken führen, gezielt und automatisiert zu überprüfen.
- Supply Chain Monitoring
In der Software-Entwicklung kann nicht jede Programmzeile eigenhändig entwickelt werden, daher wird auch oft Software von Drittanbietern verwendet.
Aufgrund der Komplexität der Abhängigkeiten kann Drittsoftware Fehler enthalten oder verursachen und so zu Sicherheitsproblemen führen. Es ist daher wichtig, diese Abhängigkeiten sicherheitstechnisch zu bewerten, um die Schwachstellen noch im Entwicklungsprozess zu identifizieren und zu beheben.
- Selbstschutz
Hard- und Software müssen sich selbst schützen können, denn IoT-Geräte laufen meist in einer ungeschützten Umgebung, in der nur bedingter Verlass auf externe Schutzmaßnahmen ist.
Eine erste zentrale Maßnahme ist das Code Signing, um sicherzustellen, dass Manipulationen an der Software rechtzeitig erkannt oder ausgeschlossen werden.
Von außen kommende Daten, z.B. von Sensoren, dürfen außerdem nicht ungeprüft eingelesen werden. Die Software auf dem IoT-Gerät muss daher jeden Eingabewert validieren und darf auch bei ungültigen oder unvorhergesehenen Werten nicht unkontrolliert reagieren.
- Sichere Updates
Updates erweitern nicht nur Softwarefunktionen, sondern schließen auch mögliche Schwachstellen und passen die Software während der Lebensdauer des Geräts an den technologischen Fortschritt an. Dies gilt insbesondere für IoT-Geräte mit langer Lebensdauer, denn während dieses Zeitraums werden mit hoher Wahrscheinlichkeit Fehler entdeckt, die früher oder später auch ausgenutzt werden.
Kommunikationskanäle sollten daher immer verschlüsselt sein, die gegenseitige Authentifizierung von Update-Server und Gerät sichergestellt, die Authentizität und Integrität von Update-Quelle und Update stets überprüft werden.
- Sichere Kommunikation
Der Sinn und Zweck von IoT-Geräten ist es, zu kommunizieren, die gegenseitige Authentifizierung sollte daher ebenso selbstverständlich sein, wie die Absicherung der Kommunikationskanäle mit bewährten Kryptomethoden und ggf. per VPN.
Sicheres Design ist unternehmenskritisch
IoT-Sicherheit gilt oft erstmal als Kostenfaktor und die Versuchung hier zu sparen ist groß – schließlich funktioniert das IoT-Gerät auch ohne Sicherheit. IoT-Sicherheit hat außerdem ein Sichtbarkeitsproblem: Ist sie vorhanden, fällt sie kaum auf. Die Tragweite vernachlässigter IoT-Sicherheit wird erst sichtbar, wenn nach einem Cyberangriff der Schaden groß und guter Rat buchstäblich teuer ist.
Es bedarf eines viel schärferen Blicks dafür, dass Cyberkriminalität weltweit große wirtschaftliche Schäden verursacht. Sicherheitsvorfälle schaden nicht nur dem Image und dem Vertrauen der Kunden in ein Unternehmen, sie gefährden auch die öffentliche Versorgung und die Sicherheit ganzer Industriezweige. Im schlimmsten Fall können sie Menschenleben gefährden.
Längst sind nicht mehr nur Global Player betroffen. Der Mittelstand wird für Cyberkriminelle immer attraktiver, da hier die Erfolgsaussichten am größten sind.
Durch das IoT entfallen frühere physische Grenzen: Eine Fabrikhalle war ein abgeschirmter, leicht kontrollierbarer Raum, daher galten alle Ressourcen innerhalb der Fabrik als gesichert und vertrauenswürdig. Mit der exponentiell wachsenden Vernetzung entfallen diese Grenzen. Alles wird zum nicht vertrauenswürdigen Außen.
Dieser Tatsache kann nur mit einer Zero-Trust-Strategie begegnet werden: Keiner Entität wird vertraut, bis sie ihre Identität zweifelsfrei nachgewiesen hat. Erst danach erfolgt die Autorisierung des Zugriffs auf die für diese Identität freigegebenen Ressourcen.
Für die Anwendung einer Zero-Trust-Strategie muss jedes IoT-Gerät eine digitale Identität besitzen, deren Echtheit mithilfe von Zertifikaten und Schlüsseln zweifelsfrei überprüft werden kann.
Fazit
Mit der zunehmenden Vernetzung und der steigenden Anzahl von Geräten im Internet der Dinge entstehen auch neue Bedrohungen und Angriffsvektoren. Gleichzeitig werden die Technologien und Strategien zur Bekämpfung dieser Bedrohungen immer ausgefeilter.
IoT-Sicherheit erfordert heute Maßnahmen, die bereits bei der Entwicklung von Hardware und Software ansetzen, um Schäden durch Cyberangriffe so gering wie möglich zu halten und Schwachstellen konsequent auszuschalten. Dies umfasst die Entwicklung sicherer Protokolle und Architekturen, den weiteren Ausbau der Verschlüsselungstechnologien und verbesserte Methoden zur Authentifizierung und Autorisierung.
Wirklich sichere Systeme können nur erreicht werden, wenn Sicherheit von Anfang an mitgedacht wird. Es ist daher unerlässlich, dass wir weiterhin Best Practices teilen, Forschung und Entwicklung in diesem Bereich fördern und ein hohes Maß an Bewusstsein für die Bedeutung der IoT-Sicherheit schaffen.
Quellenangaben
Dos Santos, Daniel (13. Juli 2023). The Riskiest Connected Devices in 2023, Vedere Labs / Forescout Research, Stand: 10/2023.
Bundesamt für Sicherheit in der Informationstechnik (16. Januar 2023). Cyber-Sicherheit für KMU, Stand: 10/2023.
Haben Sie spezifische Fragen oder benötigen Sie eine maßgeschneiderte Beratung? Wir freuen uns auf Ihre Anfrage!