Im Netz der unsicheren Dinge

Das Internet der Dinge ist für Unternehmen mittlerweile zu einer zentralen Komponente der Digitalisierung geworden. Überall wird mit Feuereifer an neuen Anwendungen und Lösungen gearbeitet, werden industrielle Prozesse auf die neuen technischen Möglichkeiten ausgerichtet und neue Geschäftsmodelle konzipiert. Es zeichnet sich ab, dass das IoT im gewerblichen Einsatz, weit mehr als im privaten Bereich, zu einer großen Erfolgsgeschichte wird.

Dabei sollte man jedoch eines nicht vergessen: IoT als Technologie ist noch ziemlich jung und dementsprechend noch lange nicht ausgereift. Viele der hier zum Einsatz kommenden Verfahren sind noch nicht so erprobt und gesichert, wie man das beispielsweise aus der industriellen Fertigung gewohnt ist. Noch läuft die Phase, in der man Know-how erst aufbaut, und es liegt in der Natur der noch immer neuen Sache, dass Erfahrung rar ist.

Dies trifft besonders auf das Thema Sicherheit und IoT zu. Wie bei fast jeder jungen Technologie steht bei der Entwicklung der jeweiligen Komponenten die Funktionalität im Vordergrund und ist oft Herausforderung genug. Sicherheitsaspekte bleiben außen vor oder werden nur am Rande behandelt; wichtig ist vielmehr, dass das Ding überhaupt zum Laufen kommt. Security by Design ist bei IoT-Komponenten noch die große Ausnahme. Das ist im Laufe einer technologischen Entwicklung keine Besonderheit von IoT. ABS und Airbag wurden auch erst entwickelt, als das Auto einen gewissen Reifegrad erreicht hatte und man sich einigermaßen darauf verlassen konnte, dass es fährt – trotzdem haben Fehler auch und gerade in diesem Reifestadium fatale Folgen, die frühe Technikgeschichte ist ja auch voll von Katastrophen.

Im Falle des Internets der Dinge liegt eine ganz grundsätzliche Problematik vor: IoT bringt zwei bislang getrennte Sphären zusammen, IT einerseits und mit den "Dingen" im weitesten Sinne Technik und Industrie. In beiden Sphären sind – bisher – sehr unterschiedliche Verfahren und Gepflogenheiten üblich. So hat sich in der IT ein recht kurzer Produktzyklus etabliert, nach zwei bis vier Jahren werden Systeme ausgetauscht, längere Lebensdauer ist selten nötig, weil die angewandten Technologien schon vorher obsolet werden. Ein sieben Jahre altes Notebook oder ein fünf Jahre altes Smartphone sind Auslaufmodelle.

Industrielle Komponenten haben dagegen schon mal fünfzehn oder auch zwanzig Jahre Bestand. So ist dann beispielsweise das in einer IoT-gesteuerten Turbine oder in einer Förderanlage verbaute Kommunikationssystem veraltet, lange bevor die Anlage selbst erneuert werden muss, und es ist fraglich, ob es innerhalb ihrer technischen Lebensdauer überhaupt noch Sicherheitsupdates oder Patches gibt. Und niemand kann garantieren, dass der Verschlüsselungsalgorithmus, der heute in einer IoT-gesteuerten Maschine implementiert wird, auch noch im Jahr 2035 sicher ist.

In diesem Zusammenhang ist ein weiterer Aspekt wichtig: Die Menschen, die mit der Installation, Wartung und Kontrolle von IoT-Systemen im industriellen und gewerblichen Umfeld befasst sind, sind in der Regel keine IT-Experten. Sie sind vielleicht Wartungs- oder Maschinentechniker, Logistiker, Gebäudetechniker oder Facilitymanager. Bei Störungen ist es für sie nur naheliegend, sich um ihre jeweilige Technik zu kümmern: Beim Ausfall einer Klimaanlage sucht der Gebäudetechniker aufgrund seiner bisherigen Erfahrung zunächst nach einem Fehler in der Klimaanlage selbst, und geht nicht von einem Web-Angriff auf die Anlage aus.

Vor diesem Hintergrund sind die Risiken zu bewerten, die IoT neu ins Unternehmen bringt. IoT verbindet technische (Produktions-)Systeme – mitunter auch Werkstücke oder sogar Rohstoffe – über standardisierte Kommunikationsschnittstellen mit dem Web; das eröffnet die Möglichkeit der Kontrolle und Steuerung. Allerdings nicht nur für berechtigte Nutzer, sondern im Prinzip auch für andere. Diese können entweder Informationen über die jeweiligen Systeme abgreifen – und daraus auch Rückschlüsse weit darüber hinaus ziehen – sie können aber auch die Steuerung der betreffenden Systeme übernehmen und beispielsweise Fehlfunktionen auslösen.

Es ist nicht schwer, sich entsprechende Schadens- oder Schreckensszenarien auszumalen, zumal IoT dabei ist, sich auch in kritischen Infrastrukturen, beispielsweise im Gesundheitswesen oder in der Strom- und Wasserversorgung, zu etablieren. Mittlerweile ist bereits jede vierte Maschine in der Industrie "smart", und man kann davon ausgehen, dass Smart auch die Kommunikationsfähigkeit einschließt.

Der einfachste konkrete Angriffspunkt ist der direkte Zugriff auf Anlagen. Vielfach erhalten externe Service-Unternehmen für Wartungsarbeiten einen unkontrollierten Zugriff auf die Steuerung von Anlagen, mitunter verschaffen sie ihn sich auch selbst, indem entsprechende Bauteile implementiert werden, die bei Bedarf dann "mit zuhause telefonieren". Einmal im Firmen-Netz heimisch lässt sich von diesen Bauteilen natürlich auch ein "Hopping" zu anderen Systemen betreiben, so dass dem Service-Dienstleister schließlich das gesamte Netz offensteht.

Solange die Kommunikation althergebracht per Modem erfolgt, ist das durch die IT noch einigermaßen kontrollierbar, wird aber eine LTE-Komponente im IoT-Gerät verbaut, hat das Unternehmen kaum eine Möglichkeit, die Kommunikation nach außen zu unterbinden. Das gezielte Scannen und Stören von Funkverbindungen ist jedenfalls klar verboten.

Die rasante Entwicklung der Drohnentechnologie erweitert die Möglichkeiten von Angriffen auf firmeninterne Funknetze. Angreifer können Drohnen stundenlang in Höhen positionieren, in denen sie kaum mehr zu erkennen sind; von dort können sie dann zum Beispiel die Kommunikation zwischen IoT-Systemen und dem jeweiligen MES (Manufacturing Execution System) mitschneiden oder auch beeinflussen – ein Angriffsvektor, den derzeit noch die wenigsten Unternehmen auf ihrem Schirm haben. Abwehrmöglichkeiten gegen das Ausspähen durch Drohnen sind begrenzt, denn auch hier ist das Stören von Frequenzen ebenso wenig erlaubt wie das Abschießen.

Neben Industrieanlagen bilden bisher besonders Logistik und Gebäudetechnik Schwerpunkte von Angriffen auf IoT-Systeme. Es liegt in der Natur der Sache, dass in der Logistik bevorzugt mobile Verbindungen eingesetzt werden. Mittlerweile werden nicht nur LKWs mit entsprechenden Systemen ausgestattet, sondern auch Container oder sogar einzelne Paletten. Die Logistiker können auf diese Weise eine Lieferkette sehr genau automatisiert verfolgen, eröffnen damit aber Angreifern die Möglichkeit, Daten abzufangen und zu verändern.

Im Unterschied zu Industrieanlagen befinden sich LKWs oder Container nicht in einem gesicherten Umfeld; man benötigt also nicht einmal eine Drohne, sondern muss nur mit einem Lesegerät am richtigen Ort spazieren gehen. Auf diese Weise kann man nicht nur detaillierte Informationen über Lieferketten erhalten, sondern kann sie bei Bedarf auch lahmlegen.

Auch die Möglichkeiten von Angriffen auf die Gebäudetechnik werden von Unternehmen meist unterschätzt. Die relevanten Bauteile, beispielsweise Klimatechnik oder Brandmeldeanlagen, sind meist nicht geschützt, lassen sich nur selten updaten und bieten Angreifern vielfältige Betätigungsmöglichkeiten: das kann vom Verändern der Raumtemperatur – was in einem Rechenzentrum katastrophale Folgen haben kann – bis zum Auslösen einer Sprinkleranlage reichen. Drohnen, die die Kommunikation etwa eines Rauchmelders abfangen, sind ein überaus effizientes Angriffsmittel – Angreifer können hier mit sehr überschaubarem Aufwand in kurzer Zeit ganze Unternehmen ruinieren.

Die direkten Abwehrmöglichkeiten gegen derartige Angriffe sind wie erwähnt begrenzt und die meisten Unternehmen können sich ja auch nicht in Hochsicherheitszonen verwandeln. Wichtig ist aber vor allem, sich der durch IoT-Systeme entstehenden Risiken überhaupt erst einmal bewusst zu werden und sich nicht nur an deren Funktionalität zu erfreuen. Unternehmen sollten dabei folgende Fragen beantworten können:

Die Sicherung der IoT-Welt ist keine einmalige Aufgabe, erst recht nicht angesichts einer Technologie, die selbst noch im Werden ist. Umso wichtiger ist es, dass IoT fester Bestandteil einer unternehmensweiten Cyber-Defense-Strategie wird.