sicherheit im internet der dinge -...

Sicherheit im Internet der Dinge Welche Sicherheitsrisiken bestehen und wie Sie diese beseitigen

of 19

Sicherheit im Internet der Dinge

Inhalt

Sicherheitsrisiko: Internet der Dinge und Wearables

Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?

Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen

Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen

Das Internet der Dinge (Internet of Things / IoT) ist ein Gebilde, bei dem Objekte, Tiere oder Menschen mit einem einzigartigen Identifikator ausgestattet sind. Weiterhin ist damit die Möglichkeit verbunden, Daten über ein Netzwerk ohne Interaktionen Mensch-zu-Mensch oder Mensch-zu-Computer zu übertragen. Das Internet der Dinge hat sich aus der Konvergenz der drahtlosen (wireless) Technologie, MEMS (Micro-Electromechanical Systems) und dem Internet entwickelt. Lesen Sie hier alles über die Sicherheitsrisiken im Zusammenhang mit dem Internet der Dinge. Erfahren Sie hier außerdem, welche Vorbereitungen getroffen werden müssen, um die Sicherheit gewährleisten zu können.

Sicherheitsrisiko: Internet der Dinge und Wearables Lawrence Garwin

Ende letzten Jahres schrieb ich über das Internet der Dinge (Internet of

Things, IoT) und kam dabei auf die Jetsons zu sprechen. Diese alte

Zeichentrickserie handelt von einer Familie des späten 21. Jahrhunderts, die

in fliegenden Autos herumreist und alle möglichen Geräte nutzt, um ihren

Alltag zu bewältigen. Dabei kann die gesamte Technik miteinander

kommunizieren. Mit einem bestimmten Aspekt dieses Konzepts sehen uns

jetzt konfrontiert, in einem sehr einfachen Sinn schon seit längerer Zeit:

tragbare intelligente Hilfsmitteln und Accessoires, sogenannte Wearables.

Solcherlei Technik ist nicht notwendigerweise bequem und in den

allermeisten Fällen auch nicht zu externer Kommunikation fähig, aber wir

benutzen sie schon eine ganze Weile. Das einfachste und vielleicht älteste

Beispiel ist eine simple tragbare Uhr, entweder als Armband- oder

Taschenuhr. Aber auch die Medizin versorgt uns seit einiger Zeit mit den

verschiedensten Gerätschaften, die man zu dieser Kategorie zählen könnte.

Das Hörgerät gehört wohl zu den am weitesten verbreiteten Exemplaren.

of 19


Inhalt





Allerdings zählen auch medizinische Implantate, wie etwa Herzschrittmacher

oder CI-Systeme, im weitesten Sinne dazu.

Heute befinden wir uns gerade einmal noch 50 Jahre vor der Ära der Jetsons

und der direkte Datenaustausch zwischen solchen Wearables steht

unmittelbar bevor. In kleinem Maßstab ist dies bereits heute möglich,

allerdings nur in Form einer 1:1-Kommunikation. Bestimmte Geräte aus dem

Fitness- und Medizinbereich können Datensammlungen per Bluetooth-

Verbindung auf PCs, Tablets oder Smartphones übertragen, wo dann

zusätzliche Softwareprozesse für die Aufbereitung und Präsentation der

Informationen sorgen.

Im „Internet of Things“ ist der Austausch jedoch deutlich komplexer und vor

allem umfangreicher: Der biometrische Sensor an Ihrem Handgelenk stellt

fest, dass Sie beispielsweise aufgrund von Sport oder körperlicher Arbeit

leicht überhitzt sind und schwitzen. In Folge dessen wird eine Nachricht an

das Thermostat Ihrer Hausheizung gesendet, um die Temperatur

anzupassen. Das Thermostat gleicht diese Anweisung mit den Daten der

biometrischen Sensoren der anderen Hausbewohner (und eventuell sogar

Gästen) ab und bestimmt den optimalen Kompromiss zwischen den

Bedürfnissen aller involvierten Personen. Dabei werden außerdem das

Wetter und der jeweils steigende oder sinkende Energieverbrauch der

Heizung sowie eventuell vorher festgelegte Grenzwerte berücksichtigt.

Sicherheitsrisiko durch Missbrauch

All das zum Internet der Dinge und zu Wearables klingt sehr spannend.

Allerdings gibt es wie bei jeder Technologie leider auch hier

Missbrauchsfälle. So berichteten die Medien im Januar 2014 von einem

Botnetz, das bereits heute auf Wearables und anderen Geräten mit

Internetanschluss ausgeführt wird. In diesem Fall war der Zweck des Botnets

zwar hauptsächlich die Generierung von E-Mail-Spam durch missbräuchliche

Nutzung privater Geräte (einige Heim-PCs wurden schon vor Jahren ohne

jede Kenntnis Ihrer Besitzer auf diese Weise umfunktioniert).

Nichtsdestotrotz sollte schon die einfache Tatsache, dass eine solche

böswillige Fernsteuerung möglich ist, Anlass zu großer Sorge sein.

of 19


Inhalt





Wie weit kann man dem nicht mit Bewusstsein ausgestattetem Gerät „A“

vertrauen, dass es verantwortungsvolle Anfragen (oder vertrauliche Daten)

an das ebenso seelenlose Gerät „B“ überträgt? Und wie weit verschärft sich

das Problem, wenn es sich bei einem dieser Geräte um ein Wearable

handelt?

Klassifizierung von Wearables

Dabei können wir diese Art von „tragbaren“ Geräten in zwei funktionale

Gruppen einteilen.

1. Die erste Gruppe besteht aus Geräten, die der reinen Überwachung

dienen und erfasste Informationen mit anderen Geräten teilen

können. Das trifft beispielsweise auf das Erfassen von

Körperfunktionen, Standort, Richtung, Bewegung und so weiter zu.

2. In die zweite Gruppe fallen Geräte, die unsere Körperfunktionen

direkt unterstützen oder sogar steuern.

Beide Gruppen sind durch Eindring- und Übernahmeversuche gefährdet. Die

erste Gruppe kann zwar nicht direkt physische Schäden anrichten, indirekt

jedoch schon. Das Gerät könnte etwa fehlerhafte Daten liefern, die zu einer

unangemessenen Reaktion des Trägers oder eines anderen Geräts führen.

Lebensgefährliches Sicherheitsrisikoa

Weitaus kritischer ist hingegen die zweite Gruppe. Wir haben bereits

Hörgeräte und Herzschrittmacher erwähnt. Dabei ist es schon seit einiger

Zeit möglich, Geräte für die Herzstimulation oder auch Insulinpumpen per

Fernverbindung zu überwachen. Welche katastrophalen Folgen es haben

könnte, wenn ein solches physiologisches Steuerungsgerät mit Malware

infiziert oder widerrechtlich übernommen wird, und sei es auch nur zu dem

scheinbar harmlosen Zweck der Versendung von Spam-E-Mail, kann sich

jeder selbst vorstellen. So wurde bereits 2012 vom berühmten (und

mittlerweile verstorbenen) Hacker Barnaby Jack gezeigt, wie vergleichsweise

leicht es ist, eine Insulinpumpe dazu zu bringen, ihre gesamten

Insulineinheiten auf einmal abzugeben und so den Träger umzubringen. Und

ein Forscher der Universität Massachusetts in Amherst konnte per

Funkverbindung einen implantierten Defibrillator deaktivieren.

of 19


Inhalt





Sicherheitsrisiko für das Unternehmen

Ein weiteres Risiko, zwar nicht für Leib und Leben aber dafür für die

Geschäftsintegrität, stellt der BYOD-Trend dar (Bring your own Device).

Welche Verbindungsmöglichkeiten könnte es zwischen den mitgebrachten

Geräten, Wearables und dem Firmennetzwerk geben? Glücklicherweise

lässt sich ein Großteil dieses Szenarios zumindest derzeit noch nicht

verwirklichen. Denn die Kommunikationsmethoden von tragbaren

intelligenten Hilfsmitteln und Accessoires sind aktuell noch überwiegend auf

Bluetooth beschränkt. Allerdings ist auch Bluetooth nicht gerade für seine

Verbindungssicherheit bekannt. Anspruchsvollere Geräte wie etwa Google

Glass sind WLAN-fähig, was funktional so viel wie eine direkte

Internetverbindung bedeutet. Es könnte durchaus sein, dass die Branche

einen neuen Kommunikationskanal entwickeln muss, der den

Datenaustausch im „Internet der Dinge“ robuster und sicherer macht. Er

muss hinausgehen über die bisherige Technik von drahtlosen Netzen für den

Internetzugang und Bluetooth-Verbindungen für harmlosere Geräte wie

Tastaturen, Trackballs oder Headsets.

Fazit

Tragbare intelligente Hilfsmittel und das „Internet der Dinge“ stellen

womöglich eine der größten Zwickmühlen unserer Zeit dar. Auf der einen

Seite ist tragbare Technologie nur ein weiteres neues Konzept von vielen

(auch wenn sie im Grunde bereits seit Jahrzehnten vorhanden ist). Auf der

anderen Seite ist der gesamte Bereich der Kommunikation zwischen Geräten

völlig ungetestet und sollte daher als nicht vertrauenswürdig gelten. Das gilt

solange, wie keine angemessenen sicheren Kommunikationstechnologien

entwickelt werden, mit denen die Integrität der entsprechenden

Datenaustauschvorgänge gewährleistet ist.

Über den Autor: Lawrence Garvin ist ein „Head Geek“ und technischer

Product Marketing Manager bei Solarwinds und ein Microsoft Certified IT

Professional (MCITP). Er hat neun Mal in Folge die MVP-Auszeichnung von

Microsoft in Anerkennung für seine Beiträge zum Microsoft TechNet WSUS-

Forum erhalten. Vor seinem Wechsel zu EminentWare (jetzt Teil von

Solarwinds) im Jahr 2009, bot Lawrence Garvin Fachwissen für

of 19


Inhalt





Unternehmen zu Windows Server Update Services (WSUS), einschließlich

Bereitstellung, Implementierung und Troubleshooting Beratung.

Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar? Shamus McGillicuddy

Befürworter predigen, dass das Internet der Dinge (Internet of Things, IoT)

mit Business-Möglichkeiten in Milliardenhöhe winkt. Gleichzeitig ist es aber

möglicherweise ein Desaster für die Privatsphäre und die Sicherheit. Bevor

wir alles um uns herum mit dem Internet verbinden, sollten wir uns allerdings

zunächst einmal mit der Sicherheit beschäftigen.

Über die Security in Bezug auf das Internet der Dinge zu diskutieren, ist

schwierig. Der Grund dafür ist, weil das Konzept so gewaltige Ausmaße hat.

Wenn Sie „alles“ mit einer IP-Adresse versehen, wie behalten Sie dabei den

Überblick und die Kontrolle? Verbundene Geräte können Autos, Kühe,

Bohrinseln, medizinische Geräte, Kühlschränke und so weiter sein. Es gibt

keinen Perimeter, der all diese Ziele umfassen kann.

Bret Hartman ist Vize-Präsident und CTO (Chief Technology Officer) für

Security und Government Group bei Cisco. Er sagte: „Die Herausforderung

ist, dass wir all diese Felder so separat wie möglich halten. Die in diesen

Bereichen verwendeten Technologien tendieren dazu, sich auf ein spezielles

Areal zu fokussieren. In Bezug auf Security und das Internet der Dinge wird

es kein Universalkonzept geben.“

Firmen und individuelle Personen werden außerdem feststellen, dass Sie die

Kontrolle über ihre Daten komplett verlieren. Sie wissen nicht mehr, wo die

Informationen sich befinden und wohin sie transferiert werden. Als Firmen

von Consumerization getroffen wurden, also der Vermischung von Privat-

und Geschäftsbereichen, hat sich die Kontrolle über die Daten von der IT-

Abteilung zum Anwender verlagert. Die IT-Abteilungen versuchen sich immer

noch von diesem Schock zu erholen. Nun steht die nächste Veränderung

bereits vor der Tür.

of 19


Inhalt





„Die Kontrolle verschiebt sich vom Anwender hin zu den Maschinen.“, sagte

Dipto Chakravarty. Er ist Vize-Präsident für Engineering und Products bei

ThreatTrack Security. „Wenn es sich in Richtung Maschinen verschiebt, ist

Konnektivität das Gegenteil von Sicherheit. Je mehr Verbindungen offen

sind, desto weniger Security bedeutet das. Das gilt zumindest, solange man

die Geschichte nicht angemessen in Schichten unterteilen kann.“, fügte er

an.

Sicherheit im Internet der Dinge: Es ist nicht einfach

Die „Dinge“ im Internet der Dinge zu dressieren ist eine gewaltige Aufgabe.

Security benötigt Rechenleistung und die meisten „Dinge“ sind nur mit einem

Minimum ausgestattet, wenn überhaupt.

„In der Regel sind diese Endgeräte nicht groß. Sie besitzen nicht viel

Rechenleistung und das wirkt sich im Speziellen auf den Bereich Security

aus.“, sagte Hartman. „Es gibt Glühbirnen, die sich mit IP-Adressen

ausstatten lassen. In diesen ist aber nicht viel Rechenleistung für die IT-

Sicherheit übrig.“, meinte er.

Weiterhin gibt es auch immer ein Betriebssystem, wenn wir von einem IP-

verbundenen „Ding“ sprechen. Betriebssysteme müssen sich aktualisieren

lassen. Ist das nicht der Fall, finden böswillige Hacker immer

Schwachstellen. Botnets freuen sich bereits auf Millionen an Neuzugängen in

Form von Zombie-Appliances und anderen „Dingen“.

Diese „Dinge“ kommunizieren und beeinflussen sich auch noch alle

gegenseitig.

„Wie viel kann schief gehen, wenn sich jemand in das Monitoring-System

einer Kuh hackt?“, fragte Erik Hanselman. Er ist leitender Analyst bei 451

Research. Es handle sich hier lediglich um passive Daten und da kann

eigentlich nicht viel passieren. Allerdings könnten die Daten über den

Gesundheitszustand der Kuh an ein anderes „Ding“ eines Bauernhofs

übertragen werden. Dieses verarbeitet die Daten und generiert somit wieder

of 19


Inhalt





neue. Diese Daten verbreiten sich ebenfalls wieder und das ganze geschieht

über IP-Netzwerke.

„Dies sind normalerweise Pfade, die schlecht geschützt sind. Das größere

Problem sind weniger die Endgeräte. Allerdings erschaffen die Pfade der

Daten eine neue Angriffsfläche.“

„Was passiert, wenn sich jemand die Kontrolle über die Mikrowelle ergaunert

hat und dem Kühlschrank ständig mitteilt, er soll sich abschalten?“, fragte

Chakravarty von ThreatTrack. „Sie würden niemals darauf kommen, dass

etwas an der Mikrowelle faul ist. Der Anwender wird immer mehr aus der

Rechnung genommen. Möglicherweise haben wir ein Smartphone an uns,

das allerdings nicht nur ein Telefon ist. Es ist ein Sender und Empfänger, das

Informationen genau wie ein Router im Netzwerk propagieren kann.“, fügte

er an.

Security für das Internet der Dinge: Wie geht man die Sache an?

Einige Experten sind der Meinung, dass Netzwerk-Monitoring die Lösung des

Problems ist.

„Es geht mehr darum, die Netzwerk-Komponenten zu verwenden, um den

Datenverkehr all dieser Geräte zu überwachen. Sobald man Missbrauch

oder einen potentiellen Angriff vermutet, limitiert man den Traffic.“, mein

Ciscos Hartman. „Bei einem industriellen Kontrollsystem ändern Sie die

Konfiguration eines Roboters vielleicht mit einer Management-Konsole. Sie

würden aber nicht erwarten, dass sich die beiden Roboter-Arme gegenseitig

neu programmieren. Genauso können Sie das auf den Traffic adaptieren und

feststellen, dass da gerade etwas schiefläuft. Sie können den Datenverkehr

der Roboter kontrollieren und limitieren.“, meinte Hartman.

Für die Sicherheit beim Internet der Dinge wird auch eine Infrastruktur für

das Schlüssel-Management benötigen. Das gilt auch für das Identitäts-

Management. Diese Systeme müssen laut Earl Perkins in der Lage sein, in

die Milliarden zu skalieren. Perkins ist Vize-Präsident im Bereich Research

bei Gartner.

http://de.wikipedia.org/wiki/Internet_der_Dinge

of 19


Inhalt





„Wir müssen Wege finden, um Daten in solchen Umgebungen zu schützen.

Dabei ist es egal, ob es sich um ein IoT-Ding oder eine Zwischenstelle

handelt.“, fügte er an. „Unsere Sichtweise bei Verschlüsselungs-, Schlüssel-

und Identitäts-Management hat sich anzupassen. Wir müssen die

Ressourcen von Identitäts- und Betriebsmittel-Management kombinieren,

weil die Anwender zu ihren eigenen und persönlichen Cloud-Netzwerken

werden. Das Internet der Dinge, das Sie mit sich herumtragen und das Sie

zu Hause haben ist wie eine Cloud an Geräten, die Sie umgibt. Sie besitzen

eine Identität und die Geräte ebenso. Wie aber halten Sie die Beziehungen

zwischen Ihnen und diese Dingen aufrecht?“, fragte Perkins.

Das Internet der Dinge verlangt auch nach einem anspruchsvolleren Ansatz

für das Risiko-Management. Nicht alle Geräte im Internet der Dinge werden

brandneu sein. Unternehmen versehen ältere Geräte und Systeme mit IP-

Verbindungen und extrahieren Daten. Diese Altlasten sind einem höheren

Risiko ausgesetzt als ein Gerät, das von Grund auf als IP-Endgerät

entwickelt wurde.

„Es muss zusätzliche Intelligenz involviert sein, damit man mit das von den

älteren Datenquellen ausgehendem Risiko richtig adressieren kann.“, sagte

Hanselman von 451 Research.

Sicherheit beim Internet der Dinge: Wer ist für die Probleme

verantwortlich?

Fest steht, dass beim Absichern des Internet der Dinge viel Arbeit ansteht.

Bevor man allerdings an die Problematik selbst herangeht, muss man

zunächst evaluieren, wer dafür überhaupt verantwortlich ist. Milliarden an

neuen Geräten werden Daten sammeln und diese teilen. Dafür sorgt eine

breite Palette an Unternehmen. Wer kümmert sich aber um die Probleme?

Hanselman sagt, dass dies im Moment nicht ganz klar sei. Es sei nicht

einmal klar, wer für durch das Internet der Dinge verursachte Schäden

haftbar ist, die durch Sicherheits-Verletzungen ausgelöst wurden. „Sieht man

sich die derzeitigen Gesetze an, hat der Verlust der Privatsphäre in den USA

bisher keinen besonderen Wert.“, fügte er an.

http://www.searchsecurity.de/antwort/Die-fuenf-wichtigsten-Punkte-bei-der-Risiko-Analyse

of 19


Inhalt





Noch düsterer sieht es aus, wenn es um die Haftbarkeit bezüglich Hacks

geht, die für Schäden an Personen oder Sachgütern verantwortlich sind,

meinte Hanselman. Das Gesetz ist unklar über die Haftbarkeit, wenn zum

Beispiel jemand das Bremssystem eines Autos hackt, was wiederum zu

Verletzungen, Sachschäden oder sogar zum Tode führt. Ist der

Autohersteller oder der Einbruch über eine Sicherheitslücke verantwortlich?

„Irgendwann wird ein Präzedenz-Fall diese Sachlage klären. Im Moment ist

es allerdings eine Grauzone.“, meint Hanselman.

In vielen Fällen werden die Hersteller der „Dinge“ für das Internet of Things

nicht für die Security verantwortlich sein. Stattdessen wird man Unternehmen

in die Pflicht nehmen, die die Anwendungen für die Verbindungen

bereitstellen.

„Das Problem beim Absichern der Geräte wird möglicherweise bei denen

hängen bleiben, die einen Service durch das jeweilige Gerät anbieten.“,

meint Gartners Perkins. „Vielleicht ist das derjenige, der die Anwendung und

den Service anbietet. Vielleicht ist es auch der Service-Provider des

Netzwerks. Unter Umständen sind es auch beide. Ein großes Problem ist die

Definition der rechtlichen Verantwortlichkeit, wenn diese Geräte verrückt

spielen.“, fügte er an.

Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen Tom Nolle

Die meisten Menschen benutzen das Internet, um sich über etwas zu

informieren oder zur Kommunikation. Der technische Fortschritt hat aber

auch ein weiteres Einsatzszenario für das Internet zum Vorschein gebracht:

Von der Heimvernetzung („Smart Home“) bis hin zur automatischen

Fahrzeugkontrolle ist über Sensoren, Controller und Software in einem M2M-

Web (Machine-to-Machine) alles möglich.

Dieses Internet der Dinge („Internet of Things“, IoT) ist der nächste große

Innovationstreiber für cloudbasierte Applikationen und Services. Das Internet

http://www.searchnetworking.de/definition/Internet-der-Dinge-Internet-of-Things-IoT

of 19


Inhalt





der Dinge kann man sich dabei rein organisatorisch aufgeteilt in drei Cloud-

Bereiche vorstellen: Sensoren zur Aufnahme von Informationen, Controller

zur Beeinflussung der Umgebung sowie darauf aufbauende

Analysefunktionen.

Es ist ein interessanter Gedanke, sich die Welt so vorzustellen, als wäre sie

mit Milliarden Sensoren überzogen, die von Anwendungen und Anwendern

ausgelesen und verwertet werden können. Gleichzeitig wachsen damit aber

natürlich auch Bedenken zur Privatsphäre und alleine das schiere Ausmaß

so umfangreicher Sensordaten würde das Finden bestimmter Informationen

oder deren Interpretation sicherlich erschweren.

Anwender würden so auch potenziell zum Ziel unerwünschter Überwachung

und viele Aktivitäten wären plötzlich nicht mehr ganz so privat wie bisher.

Zudem könnten die Sensoren selbst das Ziel böswilliger DDoS-Angriffe

(Distributed Denial of Service) werden oder ganz einfach durch den Zugriff

zu vieler Nutzer überlastet werden.

Cloud-Computing kann für kritische IoT-Elemente einen Puffer schaffen, um

direkte Zugriffe darauf unnötig zu machen. Genauso könnte man sie auch

nutzen, um Anwendern Informationen und Kontrollmöglichkeiten in einfach

zu erreichenden Cloud-Services anzubieten.

Das Internet der Dinge kann nicht als chaotische Cloud aus Sensoren

bestehen, auf die jeder unkontrolliert Zugriff hat. Vielmehr muss das Internet

der Dinge als Ansammlung von Cloud-Services gedacht werden.

Wir haben inzwischen viel Wissen darüber, wie man Cloud-Infrastrukturen

bereitstellt, nutzt und auch absichert. Die Cloud wird das Internet der Dinge

nicht ersetzen, sondern verbessern.

IoT-Sensordaten in der Cloud

Informationen von IoT-Sensoren in der Cloud zu nutzen ist für Software-as-a-

Service (SaaS) wohl die attraktivste Möglichkeit. Jeder größere Cloud-

Provider könnte aufgrund dieser Sensordaten Cloud-Services anbieten.

http://www.searchsecurity.de/definition/Distributed-Denial-of-Service-DDoS-Angriff

http://www.searchsecurity.de/definition/Distributed-Denial-of-Service-DDoS-Angriff

http://www.searchenterprisesoftware.de/definition/Software-as-a-Service-SaaS

http://www.searchenterprisesoftware.de/definition/Software-as-a-Service-SaaS

of 19


Inhalt





Dabei dürften Internetanbieter und Telekommunikationsunternehmen in

diesem Bereich die größte Glaubwürdigkeit besitzen.

SaaS-Angebote auf Basis dieser Sensordaten könnten zudem der Startpunkt

für weitere Cloud-Services rund um das Internet der Dinge sein. Damit würde

die Konkurrenz wachsen und die Zuwachsrate im Internet der Dinge dürfte

stark steigen.

In einem realistischen IoT-Modell lesen verteilte Cloud-Apps Sensoren aus

und speichern die Informationen in Datenbanken, auf die Anwender

wiederum sicher zugreifen können. Hadoop gehört sicherlich zur ersten

Wahl, wenn wir über Daten-Storage für das Internet der Dinge sprechen, wo

Daten Orten zugeordnet werden und Sensortyp und andere Informationen

aufgenommen und interpretiert werden.

Aus Gründen der Latenz eignet sich dieses Datenbankmodell aber nicht für

alle Anwendungsfälle, vor allem wenn es um Zugriffe in Echtzeit geht. Flow

Services, wie zum Beispiel Amazons Flow Framework, könnten allerdings

eine Quelle für entsprechend rohe Sensordaten und damit ein

Anwendungsfall für Datenbanken sein.

Sicherheit von IoT-Controllern gewährleisten

IoT-Controller sind Netzwerkelemente, die das Verhalten von physischen

Systemen beeinflussen können. Schickt man einem Controller einen Befehl,

könnte die Ampel von Rot auf Grün umspringen. Möglich ist auch das Öffnen

eines Tors, das Auslösen eines Alarms und so weiter. Natürlich muss man

diese Controller noch besser absichern als die Sensoren.

Auf die meisten davon sollte man wohl öffentlich besser nie zugreifen

können, alle übrigen müssen auf höchstem Niveau abgesichert werden, da

es hierbei immerhin potenziell um die öffentliche Sicherheit geht.

Die Kombination aus Sensoren und Controllern bildet eine Management

Information Base (MIB), die häufig dazu verwendet wird, Status- und

Parameter-Kontrolle von Routern und Servern zu repräsentieren. Cloud-

http://www.searchenterprisesoftware.de/definition/Datenbank-Managementsystem-DBMS

http://www.searchenterprisesoftware.de/definition/Hadoop

http://aws.amazon.com/de/swf/details/flow/

http://www.searchsecurity.de/sonderbeitrag/Internet-der-Dinge-IoT-Wer-sorgt-fuer-Sicherheit-und-ist-haftbar

http://whatis.techtarget.com/definition/management-information-base-MIB

http://whatis.techtarget.com/definition/management-information-base-MIB

http://www.searchnetworking.de/definition/Router

http://www.searchnetworking.de/definition/Client-Server

of 19


Inhalt





Applikationen könnten damit in eine Variable schreiben, mit der man den

Status des Kontrollmechanismus ändert.

I2aex (Infrastructure-to-Application-Exposure) ist ein Vorschlag der Internet

Engineering Task Force (IETF) für ein auf Repositories basierendes

Framework, um die Netzwerkgeräte durch Applikationen kontrollieren zu

können. Netzwerk-Applikationen, die MIB-Daten lesen und manipulieren,

könnte man wiederum mit dem Internet der Dinge nutzen.

Sollten Cloud-Services direkten Zugriff auf die Controller haben? Oder sollte

es aus Sicherheitsgründen dazwischen einen Software-Gateway-Knoten

geben? Die letztgenannte Lösung könnte zugleich die logische

Transformation der benötigten Formate für Sensorereignisse übernehmen,

um Controller für industrielle oder andere Echtzeitprozesse zu adressieren.

Flow-basierte Mechanismen für die Verarbeitung von Sensorereignissen, die

man in der Cloud anwendet, könnte man erweitern, damit sich

Softwarekomponenten mit den Flows verknüpfen lassen. Viele Experten sind

aber der Meinung, dass Cloud-Services eher für die Analyse als für die

Kontrolle ausgelegt sein sollten.

Daten des Internets der Dinge in der Cloud analysieren

Die Analyse all der IoT-Daten erfolgt über einen Satz an Services, die diese

Informationen in Zusammenhang bringen, um jenseits der bloßen

Datenverarbeitung weitere nützliche Schlussfolgerungen daraus zu ziehen.

Verwendet man zum Beispiel das Internet der Dinge im Zusammenhang mit

Verkehrssignalen und Einsatzfahrzeugen, könnte man so die beste Route für

Rettungswagen oder die Feuerwehr herausfinden.

Das Ganze würde auf Sensordaten und verfügbare Signal-Kontroll-Punkte

basieren. Diese Analysen lassen sich zum Beispiel aber auch verwenden,

um zu vermeiden, dass persönliche Informationen ausgegeben werden. So

könnte ein Cloud-Service einen Treffpunkt für Freunde vorschlagen, ohne

deren momentanen Standort preiszugeben.

http://www.searchnetworking.de/definition/Gateway

of 19


Inhalt





Entsprechende Analysen wären aus der Natur der Sache heraus Software-

as-a-Service und ließen sich als SOA-Prozesse (Serviceorientierte

Architektur) oder über REST-Ressourcen (Representational State Transfer)

nutzen. Zudem wären auch REST-basierte Cloud-Services für Controller

oder Datenbanken denkbar.

Das Internet der Dinge kann man sich so als eine Sammlung von Cloud-

Services vorstellen, die eine neue Generation an Sensoren und Controllern

repräsentieren. Zusätzlich zur besseren, schnelleren und konsistenteren

Implementierung könnte dieses „IoT-Cloud-Modell“ das Internet der Dinge

und Sicherheitsmechanismen der Cloud unter einen Hut bringen, um die

Sicherheit in beiden Bereichen zu verbessern.

Über den Autor:

Tom Nolle ist Präsident von CIMI, einem strategischen

Beratungsunternehmen im Bereich Tele- und Datenkommunikation.

Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen Angela Orebaugh

Die Informations-Technologie entwickelt sich schnell weiter und die Security

kann nicht Schritt halten. Computing nimmt in unserem täglichen Leben

einen immer höheren Stellenwert ein. Von Autos über Industrie-Anlagen bis

hin zu Kühlschränken ist alles miteinander vernetzt und schickt oder

empfängt Daten von mobilen Applikationen und Cloud-Services. Wir

brauchen ganzheitliche Security-Ansätze, um das schnell wachsende

Internet der Dinge (IoT/Internet of Things) zu adressieren.

Ein Angriff auf ein intelligentes Thermostat scheint unwesentlich zu sein. Die

Datensicherheitsverletzung bei Target war allerdings das Resultat von

schlechter Security beim Klimatisierungs-, Lüftungs-Management- und

Kontroll-Systemen in den Geschäften des Einzelhändlers. Mehr als 70

Millionen Kunden wurden bei dem Einbruch kompromittiert. Andere IoT-

Angriffe mit hohem Stellenwert kamen ans Tageslicht, wie zum Beispiel das

http://www.searchenterprisesoftware.de/definition/Serviceorientierte-Architektur-SOA

http://www.searchenterprisesoftware.de/definition/Representational-State-Transfer-REST

of 19


Inhalt





Carna-Embedded-Device-Botnet, TRENDnets Web-Kamera-Exploit, den

Linux.Darlloz-Wurm und der Thingsbot-Angriff, den der Security-as-a-

Service-Provider Proofpoint entdeckt hat.

Fehlende Security

Die Vielfalt der IoT-Geräte erhöht die Angriffsfläche für Exploits und Malware

enorm. Ein Bericht von HP Security Research hat Resultate zu

Untersuchungen der Top-Ten-Verbraucher-Geräte zur Verfügung gestellt

und auf unglaublich viele gefundene Schwachstellen hingewiesen. Darunter

befanden sich keine Transport-Verschlüsselung, unsichere Web-

Schnittstellen, Autorisierungs- und Software-Schutz-Probleme, sowie

Datenschutz-Bedenken.

Schlechte IoT-Security ist das Resultat von zwei hauptsächlichen

Problemen:

Jeder will so schnell wie möglich neue Geräte auf den Markt bringen.

Deswegen ist Security nicht Teil des Designs. Zumindest gibt es hier

enorme Einschränkungen oder die Implementierung ist armselig.

Die Entwickler herkömmlicher Embedded-Systeme aus Bereichen

wie Herstellung oder Transport haben sich keine Gedanken über

Security-Kontrollmechanismen gemacht. Diese Systeme waren

ursprünglich von IP-Netzwerken isoliert (Air-Gap). Diese Air-Gaps

verschwinden nun sehr schnell und immer mehr industrielle Kontroll-

Systeme werden mit dem Netzwerk verbunden und entfernt

verwaltet.

Die HP-Studie hat aufgezeigt, dass es selbst einfache Security-Prinzipien,

die man seit mehr als 20 Jahren predigt, nicht in den Entwicklungs-Zyklus

des Produkts schaffen. Dazu gehören zum Beispiel starke Passwörter. Was

können wir also tun, um die IoT-Security zu verbessern?

Der Schutz des IoT hängt an einem neuen Security-Modell und -Standards.

Unsere derzeitigen Security-Modelle für PCs und Smartphones lassen sich

nicht auf IoT-Geräte abbilden.

of 19


Inhalt





Die meisten dieser Geräte sind in Sachen Prozessor- und Storage-Kapazität

limitiert. Industrielle Kontroll-Mechanismen installiert man häufig in wichtigen,

betrieblichen Umgebungen. Viele „intelligente“ Produkte fallen bei den

Kunden in die Rubrik „installieren und dann aus dem Sinn“. Unser derzeitiges

Security-Modell lässt sich nicht auf diesen Arten an IoT-Geräten umsetzen.

Wir sprechen hier von Updates, dem Einspielen von Security-Patches, dem

Installieren und Aktualisieren von Antiviren-Software und dem Konfigurieren

von Host-basierten Firewalls.

Zusätzlich zu einem neuen Security-Modell benötigt man unbedingt neue

Standards. Nur so garantiert man sichere und kompatible IoT-Geräte. Der

Verbraucher-Markt bei IoT ist halbherzig reguliert. Standards für Security und

Sicherheit sind eigentlich nicht vorhanden.

Andere Märkte wie zum Beispiel Medizin, Fertigung, Automotive und

Transport haben Security- und Sicherheits-Standards. Diese muss man

allerdings aktualisieren und IoT-Geräte aufnehmen. Einige Gruppen

befassen sich mit IoT-Standards. Dazu gehören Industrial Internet

Consortium, Thread, AllJoyn und das Open Interconnect Consortium.

Letzteres wurde im Juli 2014 von Broadcom, Dell, Intel, Samsung und

anderen Firmen gegründet. Es wird interessant, welcher Standard sich im

Endeffekt durchsetzt und die breiteste Akzeptanz findet.

Security-Maßnahmen für IoT

Bis neue Security-Modelle und -Standards entwickelt sind, sollten IoT-Geräte

mindestens die nachfolgenden Security-Praktiken implementiert haben.

Verwendung sicherer Entwicklungs-Praktiken. Die OWASP

Internet of Things Top Ten stellen eine gute Grundlage für Security-

Kontrollmechanismen zur Verfügung. Dabei geht es um

grundlegende Kontrollen wie zum Beispiel starke Authentifizierung

und sichere Web-Schnittstellen. Damit würden schon viele der

Security-Probleme adressiert, die von HP Fortify in IoT-Geräten für

Endverbraucher gefunden wurden.

Schutz der Daten. Bei IoT wandern Daten und die Netzwerk-

Grenzen sind vage. Um den Datenschutz zu garantieren, muss man

of 19


Inhalt





die Daten sowohl bei der Übertragung als auch im ruhenden Zustand

angemessen absichern.

Offenlegung, wie PII (Persönlich identifizierbare Informationen)

behandelt werden. Die Produkt-Anbieter sollten klare Auskunft

geben, welche persönlichen Informationen gesammelt und geteilt

werden und wie man diese schützt.

Verschlüsseln, verschlüsseln und verschlüsseln.

Verschlüsselung ist eine entscheidende Komponente für IoT-

Security. Die Daten müssen zwischen der Übertragung von einem

Gerät auf ein anderes verschlüsselt sein. Das gilt auch zwischen

dem Gerät und den mobilen Apps, sowie anderen Netzwerken wie

zum Beispiel der Cloud. Zusätzlich sollten Software-Updates für das

Gerät verschlüsselt sein.

Führen Sie eine Security-Bewertung durch. Das IT-Security-Team

sollte eine eigene Security-Bewertung für das jeweilige Produkt

durchführen, um das Gerät, die Applikationen und Kommunikations-

Kanäle einschätzen zu können.

Wie können Unternehmen die IoT-Security verbessern? Während neue

Standards, Security-Modelle und sichere Geräte entwickelt werden, können

Security-Profis die nachfolgenden Schritte durchführen, um die Security bei

derzeitigen IoT-Geräten zu verbessern:

Schließen Sie IoT-Geräte in das Risiko-Management und in die

Monitoring-Strategien mit ein.

Machen Sie sich beim Internet der Dinge die gleichen Security-

Methoden zunutze, mit denen Sie auch Netzwerke und mobile

Geräte beschützen.

Erstellen Sie ein Betriebsmittel-Inventar aller Geräte und ein

segmentiertes Netzwerk, das von einer Firewall geschützt ist und

von einem IPS (Intrusion Prevention System) überwacht wird.

Aktivieren Sie so viel Endpunkt-Security wie möglich. Ändern Sie

dafür die Standard-Einstellungen und erschaffen Sie starke

Passwörter.

Führen Sie bei neuen Geräten aktive Scans durch.

Erstellen Sie eine Patching-Strategie für IoT-Geräte.

of 19


Inhalt





Benutzen Mitarbeiter Verbraucher-IoT-Geräte, sollten Sie verfügbare

Security-Funktionen wie zum Beispiel Verschlüsselung aktivieren, die

Standard-Einstellungen ändern und starke Passwörter kreieren.

Unternehmen könnten Produkte mit eingebauter Security kaufen. Hier sind

solche gemeint, die Daten verschlüsseln und verschlüsselte Software-

Updates zur Verfügung stellen. Unsere Anforderungen an Computing ändern

sich. Die Security muss daher pro-aktiv statt reaktiv sein. Einige IoT-Geräte

sind neu, viele andere hingegen entscheidend für die Sicherheit von

Menschen, Eigentum und Ressourcen. Sobald es eine

Datensicherheitsverletzung gibt, bei der Leben und Sicherheit in Gefahr sind,

ist es bereits zu spät.

Über die Autorin:

Angela Orebaugh, Ph.D., ist eine Technologie-Futuristin und eine

Vordenkerin mit 20 Jahren Erfahrung im Bereich Cybersecurity. Sie ist

leitende Wissenschaftlerin bei Booz Allen Hamilton. Dort führt sie Security-

Forschung bei physischen Cyber-Systemen und dem IoT (Internet of Things)

durch. Dr. Orebaugh hat außerdem den Kurs „Securing the Internet of

Things“ für die Universität von Virginia entwickelt, den sie dort auch

unterrichtet. Derzeit arbeitet Sie an Cybersecurity und Datenschutz für

intelligente Städte, Umwelt und Energieversorgung, sowie Verbraucher-

Elektronik.

of 19


Inhalt





Kostenlose Onlineressourcen für IT-Experten TechTarget publiziert qualifizierte Medieninhalte im IT-Bereich, die Ihren

Informationsbedarf bei der Suche nach neuen IT-Produkten und

Technologien decken und Ihr Unternehmen somit gezielt in der

Strategieentwicklung unterstützen. Es ist unser Ziel, Ihnen durch die

Bereitstellung von Onlineressourcen zu den aktuellsten Themen der IT-

Branche die Kaufentscheidungen für IT-Produkte zu erleichtern und

kostengünstiger zu gestalten.

Unser Netzwerk an technologiespezifischen Webseiten erlaubt es Ihnen, auf

eine der weltweit größten Onlinebibliotheken zum Thema IT zuzugreifen und

anhand von unabhängigen Expertenmeinungen und Analysen, zahlreichen

Whitepapern, Webcasts, Podcasts, Videos, virtuellen Messen und

Forschungsberichten zu ausgewogeneren Kaufentscheidungen zu gelangen.

Unsere Onlineressourcen berufen sich auf die umfangreichen Forschungs-

und Entwicklungskompetenzen führender Technologieanbieter und

ermöglichen es Ihnen somit, Ihr Unternehmen für künftige

Marktentwicklungen und –herausforderungen zu rüsten. Unsere Live-

Informationsveranstaltungen und virtuellen Seminare geben Ihnen die

Möglichkeit, Ihre täglichen individuellen Herausforderungen im Bereich IT mit

herstellerunabhängigen Experten zu diskutieren.

Desweiteren können Sie in unserem Social Network, dem IT Knowledge

Exchange, praxisnahe Erfahrungsberichte mit Fachkollegen und Experten in

Echtzeit austauschen.

Was macht TechTarget so einzigartig? Bei TechTarget steht die Unternehmens-IT im Mittelpunkt. Unser

Redaktions- und Autorenteam und unser breites Netzwerk an

Industrieexperten bietet Ihnen Zugriff auf die neuesten Entwicklungen und

relevantesten Themen der Branche.

of 19


Inhalt





TechTarget liefert klare und überzeugende Inhalte und umsetzbare

Informationen für die Profis und Entscheidungsträger der IT-Branche. Wir

nutzen die Schnelligkeit und Unmittelbarkeit des Internets um Ihnen in realen

und virtuellen Kommunikationsräumen hervorragende Networking-

Möglichkeiten mit Fachkollegen zur Verfügung zu stellen.

Weitere deutsche TechTarget Webseiten:

sicherheit im internet der dinge -...

Documents