infoguard-cyber-security-iot-projekte-aufgleisen

IoT-Projekte auf sichere Geleise führen

Veröffentlicht am 03. Feb 2017 | von Andreas Koelliker | Cyber Security | IoT-Sicherheit

Das Internet der Dinge (IoT), der derzeit vermutlich grösste Hype in der IT-Welt, macht auch vor Unternehmen und Energiedienstleistern nicht Halt. Aktuelle Cyber-Bedrohungen stellen für IoT-Projekte jedoch eine grosse Herausforderung dar. Unterschiedlich hoher Schutzbedarf trifft auf eine Vielzahl von Lösungsansätzen und Komponenten. Hier ist es ratsam, sich den unterschiedlichen Risiken und kritischen Schwachstellen bewusst zu werden. Und dann zu handeln. Wie Sie gezielt vorgehen können, erfahren Sie hier in unserem eigens für Sie angefertigten - und kostenlosen - Whitepaper «IoT & Industrie 4.0 Security». Aber erst der Reihe nach...

Die Energiebranche zeigt sich vorbildlich, was Safety- und Verfügbarkeitsanforderungen anbetrifft. Mit IoT entwickeln sich die Branchenlösungen jedoch in eine ‒ in weiten Teilen ‒ offene «OT» (Operational Technology) Welt, in der kritische Systeme nicht mehr ausreichend isoliert sind. IoT ist zwar nichts Neues, aber die heutigen Möglichkeiten sind verlockend und eine Chance für den zukünftigen Geschäftserfolg. Bereits realisierte IoT-Projekte in der Schweiz zeigen dies eindrucksvoll auf. So steuern beispielsweise intelligente Systeme einen Park von Warmwasserboilern für die Bereitstellung von Regelenergie. Systeme automatisieren dabei ganze Meter-to-Cash-Prozesse oder komplexe Smart Grid-Komponenten übernehmen kritische Funktionen im Stromnetz. Dabei gilt es, nicht nur die Integrität und die Verfügbarkeit der einzelnen Systeme zu schützen, sondern auch die Daten. Der Business Case von IoT-Systemen liegt längst nicht mehr nur in der Automatisierung von Prozessen, sondern auch in der Individualisierung und Personalisierung von Energieprodukten und den dazugehörigen Dienstleistungen. Vertrauenswürdige Dienstleister müssen den Schutz dieser personenbezogenen Daten ernst nehmen. Umso mehr, weil die Daten in der Cloud bearbeitet und über unsichere Netze zwischen Objekten, Menschen und Services übertragen werden. Der Schutzbedarf von IoT-Projekten verlangt also Kompetenzen aus den beiden Welten IT und OT.

Risiken erkennen, bevor das Licht ausgeht

Aber in welcher Entwicklungsphase und mit welchen Massnahmen soll dieser Schutzbedarf in den IoT-Systemen angegangen werden? IoT-Projekte sind zwar keine komplexe Wissenschaft mehr, weisen jedoch trotzdem einige Besonderheiten auf: Security by Design heisst das Mantra in der Security Branche. In der Realität ist dies aus Innovationssicht jedoch meist nur bei kritischen Projekten oder IoT- spezifischen Anforderungen möglich. Um den Schutzbedarf eines IoT-Projektes abschätzen zu können, bedarf es zu Beginn eine entsprechende Risikoanalyse. Dabei sind die Auswirkungen von Vorfällen im Kontext des Einsatzes der IoT-Systeme und Use Cases zu hinterfragen. Was heisst das nun für Sie konkret? Folgende Fragestellungen sollten Sie berücksichtigen:

  • Hat ein Vorfall Auswirkungen auf kritische Services?
  • Ist die Reputation Ihres Unternehmens gefährdet?
  • Entsteht ein finanzieller Schaden durch nicht erbrachte Dienstleistungen oder durch das Nichteinhalten von gesetzlichen Anforderungen?

Auf dieser Basis können Sie erstmals eine Kritikalität abschätzen und eine Herangehensweise ableiten. Dies kann bedeuten, dass Security by Design tatsächlich zwingend notwendig wird. Oder aber auch, dass erst einzelne Sicherheitsmassnahmen implementiert werden müssen. In IoT-Vorhaben mit höherem Schutzbedarf sollte im nächsten Schritt die Eintrittswahrscheinlichkeit von Vorfällen eruiert und Prioritäten abgeleitet werden. Dies gelingt durch eine Abschätzung der potentiellen organisatorischen und technischen Verletzbarkeiten im Gesamtsystem sowie für die einzelnen Komponenten.

Testen, testen und nochmals testen

Im nächsten Schritt sollten Sie Ihre IT-Security sowie teilweise auch die physische Resilienz der Komponenten  untersuchen und testen. Aber auch die Kommunikation zwischen den Komponenten, die zentralen Datenverarbeitungssysteme und die Interaktion zwischen Anwender und Betreiber müssen berücksichtigt werden. Nicht zu vergessen ist zudem die Prüfung der Gesamtorganisation mitsamt den dazugehörigen Prozessen.

Für die Tests kommen je nach Fragestellung unterschiedliche Methoden zur Anwendung:

  • Netzwerk-Scans der IoT-Infrastruktur
  • Penetration Tests der verarbeitenden Netzwerke, der Applikationsinfrastruktur und der Fernwartungszugänge
  • Prüfung der IT-Sicherheitskomponenten wie Firewalls, SIEM-Systeme und Authentisierungsmechanismen
  • Penetration Tests von Webapplikationen wie beispielsweise Kundenportale
  • Source Code Reviews der eingesetzten IoT-Komponenten und Applikationen
  • Hardware Reverse Engineering der IoT-Komponenten
  • Organisatorische Audits nach gewünschtem oder gefordertem Standard
  • Social Engineering Tests der Betreiber von IoT-Systemen

In der Praxis sind häufig Applikationen ein einfaches Ziel für Angriffe. Die Mehrheit der IoT-Anwendungen setzt auf Open Source Software, Drittkomponente sowie Eigenentwicklungen. Zudem sind sie häufig exponiert, was die Applikationen besonders verletzlich macht. Ein Applikationstest nach OWASP IoT Top 10 kann hier ein geeignetes Mittel sein, um verwundbare Stellen ausfindig zu machen. Sicherheitstests können und sollten in jeder Phase der IoT-Lösungsentwicklung durchgeführt werden. Dabei kann es hilfreich sein, mit Testautomatisierungen zu arbeiten. So können Sie neue oder wiederkehrende Fehler in der Weiterentwicklung der Applikation verhindern.

Unsere Empfehlung

Um den individuellen Schutzbedarf von IoT-Projekten zu gewährleisten, empfehlen wir die Analyse anhand realistischer Risikoszenarien. Diese helfen Ihnen, ein besseres Verständnis für die Sicherheitsbemühungen zu erhalten sowie Transparenz und Vertrauen zu schaffen. Zudem können diese Szenarien später auch für die Modellierung von Bedrohungen beim Testing genutzt werden. Dies schafft zusätzliche Awareness im Projekt und hilft Ihnen, Schwachstellen kontinuierlich zu beseitigen. Um diese beheben zu können ist es unerlässlich, ein stabiles, verschlüsseltes und authentisiertes Update-System aufzubauen.

In 5 Schritten zur IoT & Industrie 4.0 Security - mit dem Security Barometer von InfoGuard

Unsere Spezialisten sind überzeugt: Es braucht ein systematisches Vorgehen und einen ganzheitlichen Ansatz, um Cyber Security im schnell wachsenden Internet der Dinge und der Industrie 4.0 zu etablieren. Wie Sie dies erfolgreich meistern, zeigen wir Ihnen in unserem kostenlosen Whitepaper anhand von 5 einfachen Schritten. Dazu haben wir eigens für Sie das ultimative IoT & Industrie 4.0 Security Barometer entwickelt. Sind Sie bereit? Jetzt downloaden und Sie erhalten kostenlos wertvolle Experten-Tipps!

Download Whitepaper

 

Dieser Artikel erschien in der EnergieRundschau 02/2016. Lesen Sie hier den ganzen Artikel!
<< >>

Cyber Security , IoT-Sicherheit

Andreas Koelliker
Über den Autor / Andreas Koelliker

InfoGuard AG - Andreas Kölliker, Senior Cyber Security Consultant

Weitere Artikel von Andreas Koelliker

Ähnliche Artikel

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.
Blog Updates abonnieren
Social Media
Gratis Download
infoguard-cyber-security-ratgeber-2
Kategorien