Zum Hauptinhalt springen

Security by Design in der Entwicklung – IoT-Sicherheit von Anfang an

13.10.2023

Abwägung zwischen Risiko und Nutzen des IoT

Der Boom des Internets der Dinge (Internet of Things, IoT) hat zu erheblichen Investitionen in Projekte geführt, die smarte Geräte, Big Data, Analytik und andere Werkzeuge der Digitalisierung umfassen.

Im Industriebereich ist das IoT eine Schlüsseltechnologie und Motor digitaler Transformation. Bis Ende 2023 wird es weltweit geschätzt 15 Milliarden IoT-Geräte, Sensoren und Aktoren geben, bis Ende 2025 könnten es sogar 30 Milliarden werden. Das IoT-Datenvolumen wird dann Prognosen zufolge auf 79,4 Zettabyte wachsen. Mit zunehmender Leistungsfähigkeit eingebetteter Systeme wandert zudem die intelligente Konnektivität bis zur Steuerungsebene mit smarten Sensoren und Aktoren und somit bis in die unteren Ebenen der Automatisierungshierarchie.

Cyberkriminelle haben früh erkannt: Ein exponentiell wachsendes IoT verspricht auch eine exponentiell wachsende Angriffsfläche und vor allem viel Profit. Cyberkriminalität ist zu einem hochorganisierten Wirtschaftszweig geworden, der mit professionellen "Crime-ware as a Service"-Modellen jährlich 1,5 Billionen US-Dollar erwirtschaftet, wäscht und reinvestiert.

Dies wirft erhebliche Sicherheitsprobleme auf. Schon eine kleine Lücke kann zum Einfallstor für Angreifer werden. Security by Design ist ein Ansatz, der die Sicherheitsanforderungen eines Hard- und/oder Softwareprodukts über den gesamten Produktlebenszyklus, von der Planungsphase bis zum End of Live berücksichtigt.

Warum stellen IoT-Geräte eine Gefahr für die Cybersicherheit dar?

Analysen zeigen, dass die meisten Unternehmen eine Mischung aus vernetzten IT-, OT-, IoT- und manchmal auch IoMT-Geräten in ihren Netzwerken betreiben. Ein solcher Aufbau erhöht das Risiko von Cyberattacken in Bereichen, die zuvor kein Risiko darstellten. Denn: Selbst scheinbar harmlose IoT-Geräte können aufgrund ihrer Internetfähigkeit oder ihrer Überwachungsfunktionen in Abhängigkeit von der Umgebung, in die sie netzwerktechnisch eingebunden sind, große Auswirkungen haben. Da viele IoT-Geräte außerdem in der Lage sind, mit den Daten zu arbeiten, die sie von ihrer jeweiligen Umgebung erhalten, verkürzt sich die Distanz zwischen der digitalen und der physischen Welt, wodurch sich Cyberangriffe schneller in physischen Konsequenzen niederschlagen und damit eine größere Wirkung entfalten können.

Welche Angriffsfläche bieten IoT-Geräte?

Für Cyberkriminelle bietet das IoT nicht nur aufgrund der steigenden Zahl an smarten Geräten zahlreiche Einfallstore, sondern auch aufgrund der Eigenschaften dieser Geräte:

  • Missbrauch von Wartungszugängen zur Netzwerkinfiltration
    IoT-Geräte verfügen in der Regel über Wartungszugänge, um im Störungsfall einen schnellen Zugriff zu ermöglichen, die aber leider oft schlecht oder gar nicht gesichert sind.
  • Missbrauch von Monitoring-Funktionen für gezielte Überwachung
    Vernetzte Alltagsgeräte mit Kamera-, Mikrofon- oder Assistenzfunktionen können missbraucht werden, um Daten auszuspähen oder Bewegungsprofile zu erstellen.
  • Missbrauch der Internetfähigkeit für DDoS-Attacken
    Ungesicherte IoT-Geräte können in illegale Botnetze integriert für groß angelegte DDoS-Angriffe genutzt werden.

Die risikoreichsten IoT-Geräte

Obwohl klassische IT-Geräte wie PCs, Server oder Router nach wie vor die meisten Schwachstellen aufweisen, ist der Schweregrad dieser Schwachstellen nur selten kritisch. In OT- und IoT-Geräten sind mehr als die Hälfte der Schwachstellen kritisch. IoMT-Geräte haben im Vergleich zwar nur wenige Schwachstellen, dafür sind diese überwiegend kritisch, ermöglichen also die vollständige Übernahme des Geräts.

Damit zählt das Gesundheitswesen zu den Branchen mit den höchsten Sicherheitsrisiken. Regierungseinrichtungen und Bundesbehörden konnten im Gegenzug ihre Sicherheitsrisiken am stärksten reduzieren.

IoT-Geräte mit den höchsten Sicherheitsrisiken laut Forescout Report 2023
ITIoTOTIoMT
ComputerNetwork Attached Storage (NAS)Unterbrechungsfreie Stromversorgung (USV)Medizinische Workstations
ServerDruckerSpeicherprogrammierbare SteuerungenBildgebende Geräte
RouterIP-KamerasTechnik-WorkstationsNuklearmedizinische Systeme
VPN-GatewaysOut-of-Band-Management (OOMB)GebäudeautomationssystemeBlutzuckermessgeräte
SicherheitssystemeVoIPFernbedienungsterminal (RTU)Patientenmonitor

Die hieraus zu ziehende Lehre: Cyberabwehrmechanismen müssen besser werden, vor allem muss IoT-Sicherheit deutlich früher ansetzen als bisher.

Security by Design: Ein umfassender Ansatz für IoT-Sicherheit

Was versteht man unter Security by Design in der Hard- und Softwaretechnik?

Um Schäden durch sicherheitsrelevante Vorfälle gar nicht erst entstehen zu lassen, muss der Gedanke der Sicherheit von Anfang an in die Überlegungen mit einbezogen werden und in jeder Phase des Software Development Lifecycle (SDLC) implementiert werden – vom Design über die Entwicklung, die Verteilung, im laufenden Betrieb bis zur Außerbetriebnahme. Security by Design ist ein Ansatz, der die Sicherheitsanforderungen an ein Softwareprodukt über diesen kompletten Lebenszyklus berücksichtigt und implementiert.

10 Designprinzipien für ein sicheres IoT

Es ist unmöglich, vollkommen sichere Hard- oder Software zu entwickeln. Fehler werden sich einschleichen, und wenn sie es tun, werden Angreifer sie auch finden. Es ist aber möglich, Hard- und Softwareprodukte so zu gestalten, dass der Schaden im Falle einer Cyberattacke so gering wie möglich gehalten wird.

Die gute Nachricht ist: Die Entwicklung sicherer Hard- und Software ist kein Hexenwerk! Das A und O von Security by Design besteht darin, während der Designphase eine Handvoll Grundsätze zu beachten:

1.

Prinzip der minimalen Rechtevergabe
Least Privilege
Eine Entität darf zu jedem Zeitpunkt nur auf diejenigen Daten, Netzwerke, Anwendungen oder andere Ressourcen zugreifen, die zur Ausführung ihrer jeweiligen Aufgabe strikt erforderlich sind.

2.

Prinzip der Rechtetrennung
Separation of Privilege
Die Gewährung eines Rechts muss stets an mehrere Bedingungen geknüpft werden.

3.

Prinzip der geringsten gemeinsamen Ressource
Least Common Mechanism
Der Zugriff auf gemeinsam genutzte Ressourcen muss auf das strikte Minimum begrenzt werden, da jede gemeinsam genutzte Ressource zu einem unerwünschten Informationsfluss führen kann.

4.

Prinzip der Funktionstrennung
Separation of Duties
Sicherheitsrelevante Aufgaben dürfen nicht von einer einzigen Entität durchgeführt werden, sondern erfordern das Zusammenwirken mehrerer Entitäten mit rollenspezifischen Rechten.

5.

Prinzip der ausfallsicheren Standards
Fail-safe Defaults
Wenn eine Entität nicht explizit Zugriff auf eine Ressource bekommt, ist der Zugriff auf diese Ressource standardmäßig verboten.

6.

Verteidigung in der Tiefe
Defense in Depth
Der Schutz vor Angriffen muss durch mehrere, voneinander unabhängige Sicherheitsmechanismen gewährleistet werden, welche die Risiken auf unterschiedliche Weise angehen.

7.

Prinzip des Minimalismus
Economy of Mechanism
Sicherheitsmechanismen sollten so einfach wie möglich gehalten werden.

8.

Prinzip der vollständigen Zugriffskontrolle
Complete Mediation
Ausnahmslos jeder Zugriff auf eine Ressource muss geprüft werden, bevor er erlaubt wird.

9.

Prinzip des transparenten Designs
No Security by Obscurity
Die Sicherheit eines Mechanismus darf nicht von der Geheimhaltung seiner Funktionsweise oder seiner Implementierung abhängen.

10.

Prinzip der psychologischen Akzeptanz
Psychological Acceptability
Sicherheitsmechanismen sollten so gestaltet werden, dass der Einfluss auf die Bedienbarkeit möglichst gering ist bzw. durch den Benutzer möglichst einfach zu bedienen ist.

Security by Design in der Praxis

Aus den Designprinzipien lassen sich Implementierungsvorgaben für die Praxis ableiten:

  • Sichere Hardware als Grundlage
    Umfassende Sicherheit kann nur erreicht werden, wenn auch die Sicherheit der Hardware gewährleistet ist. Eine sichere Hardware schützt die darauf laufende Software durch hardwarebasierte Verschlüsselung, Manipulationserkennung und andere Mechanismen, die den physikalischen Zugriff absichern.
     
  • Continuous Integration, Continuous Delivery, Continuous Security
    CI/CD-Ansätze automatisieren nicht nur das Testen der Funktionalität und die Verteilung der Software, sondern erlauben auch, Softwarefunktionen durch kontinuierliches Sicherheitstesting wie z.B. statische und dynamische Code-Analyse frühzeitig auf bekannte Probleme (z.B. Buffer Overflows), die zu Sicherheitslücken führen, gezielt und automatisiert zu überprüfen.
     
  • Supply Chain Monitoring
    In der Software-Entwicklung kann nicht jede Programmzeile eigenhändig entwickelt werden, daher wird auch oft Software von Drittanbietern verwendet.
    Aufgrund der Komplexität der Abhängigkeiten kann Drittsoftware Fehler enthalten oder verursachen und so zu Sicherheitsproblemen führen. Es ist daher wichtig, diese Abhängigkeiten sicherheitstechnisch zu bewerten, um die Schwachstellen noch im Entwicklungsprozess zu identifizieren und zu beheben.
     
  • Selbstschutz
    Hard- und Software müssen sich selbst schützen können, denn IoT-Geräte laufen meist in einer ungeschützten Umgebung, in der nur bedingter Verlass auf externe Schutzmaßnahmen ist.
    Eine erste zentrale Maßnahme ist das Code Signing, um sicherzustellen, dass Manipulationen an der Software rechtzeitig erkannt oder ausgeschlossen werden.
    Von außen kommende Daten, z.B. von Sensoren, dürfen außerdem nicht ungeprüft eingelesen werden. Die Software auf dem IoT-Gerät muss daher jeden Eingabewert validieren und darf auch bei ungültigen oder unvorhergesehenen Werten nicht unkontrolliert reagieren.
     
  • Sichere Updates
    Updates erweitern nicht nur Softwarefunktionen, sondern schließen auch mögliche Schwachstellen und passen die Software während der Lebensdauer des Geräts an den technologischen Fortschritt an. Dies gilt insbesondere für IoT-Geräte mit langer Lebensdauer, denn während dieses Zeitraums werden mit hoher Wahrscheinlichkeit Fehler entdeckt, die früher oder später auch ausgenutzt werden.
    Kommunikationskanäle sollten daher immer verschlüsselt sein, die gegenseitige Authentifizierung von Update-Server und Gerät sichergestellt, die Authentizität und Integrität von Update-Quelle und Update stets überprüft werden.
     
  • Sichere Kommunikation
    Der Sinn und Zweck von IoT-Geräten ist es, zu kommunizieren, die gegenseitige Authentifizierung sollte daher ebenso selbstverständlich sein, wie die Absicherung der Kommunikationskanäle mit bewährten Kryptomethoden und ggf. per VPN.

Sicheres Design ist unternehmenskritisch

IoT-Sicherheit gilt oft erstmal als Kostenfaktor und die Versuchung hier zu sparen ist groß – schließlich funktioniert das IoT-Gerät auch ohne Sicherheit. IoT-Sicherheit hat außerdem ein Sichtbarkeitsproblem: Ist sie vorhanden, fällt sie kaum auf. Die Tragweite vernachlässigter IoT-Sicherheit wird erst sichtbar, wenn nach einem Cyberangriff der Schaden groß und guter Rat buchstäblich teuer ist.

Es bedarf eines viel schärferen Blicks dafür, dass Cyberkriminalität weltweit große wirtschaftliche Schäden verursacht. Sicherheitsvorfälle schaden nicht nur dem Image und dem Vertrauen der Kunden in ein Unternehmen, sie gefährden auch die öffentliche Versorgung und die Sicherheit ganzer Industriezweige. Im schlimmsten Fall können sie Menschenleben gefährden.

Längst sind nicht mehr nur Global Player betroffen. Der Mittelstand wird für Cyberkriminelle immer attraktiver, da hier die Erfolgsaussichten am größten sind.

Durch das IoT entfallen frühere physische Grenzen: Eine Fabrikhalle war ein abgeschirmter, leicht kontrollierbarer Raum, daher galten alle Ressourcen innerhalb der Fabrik als gesichert und vertrauenswürdig. Mit der exponentiell wachsenden Vernetzung entfallen diese Grenzen. Alles wird zum nicht vertrauenswürdigen Außen.

Dieser Tatsache kann nur mit einer Zero-Trust-Strategie begegnet werden: Keiner Entität wird vertraut, bis sie ihre Identität zweifelsfrei nachgewiesen hat. Erst danach erfolgt die Autorisierung des Zugriffs auf die für diese Identität freigegebenen Ressourcen. 

Für die Anwendung einer Zero-Trust-Strategie muss jedes IoT-Gerät eine digitale Identität besitzen, deren Echtheit mithilfe von Zertifikaten und Schlüsseln zweifelsfrei überprüft werden kann.
 

Fazit

Mit der zunehmenden Vernetzung und der steigenden Anzahl von Geräten im Internet der Dinge entstehen auch neue Bedrohungen und Angriffsvektoren. Gleichzeitig werden die Technologien und Strategien zur Bekämpfung dieser Bedrohungen immer ausgefeilter.

IoT-Sicherheit erfordert heute Maßnahmen, die bereits bei der Entwicklung von Hardware und Software ansetzen, um Schäden durch Cyberangriffe so gering wie möglich zu halten und Schwachstellen konsequent auszuschalten. Dies umfasst die Entwicklung sicherer Protokolle und Architekturen, den weiteren Ausbau der Verschlüsselungstechnologien und verbesserte Methoden zur Authentifizierung und Autorisierung. 

Wirklich sichere Systeme können nur erreicht werden, wenn Sicherheit von Anfang an mitgedacht wird. Es ist daher unerlässlich, dass wir weiterhin Best Practices teilen, Forschung und Entwicklung in diesem Bereich fördern und ein hohes Maß an Bewusstsein für die Bedeutung der IoT-Sicherheit schaffen.

Quellenangaben

Dos Santos, Daniel (13. Juli 2023). The Riskiest Connected Devices in 2023, Vedere Labs / Forescout Research, Stand: 10/2023.

Bundesamt für Sicherheit in der Informationstechnik (16. Januar 2023). Cyber-Sicherheit für KMU, Stand: 10/2023.

ECOS Newsletter

Abonnieren Sie unseren Newsletter für mehr Informationen zur IT-Sicherheit!

Haben Sie spezifische Fragen oder benötigen Sie eine maßgeschneiderte Beratung? Wir freuen uns auf Ihre Anfrage!

Kontakt