NISTIR 8228: Sicherheitsrisiken für IoT-Geräte verstehen, abschätzen und mindern

Inhaltsverzeichnis

    Ein ganz normaler Nachmittag im Unternehmensgebäude. Plötzlich löst der Rauchmelder ohne einen ersichtlichen Grund aus. Ein Fehlalarm? Muss evakuiert werden? Ist das nicht vor einer Woche schon einmal passiert? Ist vielleicht ein Angreifer im System?

    Für die verbauten IoT-Geräte sollten Unternehmen eine umfassende Sicherheitsbetrachtung durchführen. Gibt es dafür praktikable Orientierungshilfen?

    Warum der Einsatz von IoT-Geräten abgesichert werden muss

    Im Internet of Things (IoT) werden physische Objekte mit Sensoren ausgestattet, so dass sie in einem Netzwerk mit anderen Systemen über das Internet kommunizieren können.

    In vielen Unternehmen ist IoT mittlerweile weit verbreitet, aber es fehlt ein vollständiger Überblick darüber, wie viele IoT-Geräte im Einsatz sind, welche das sind und wo sie eingesetzt werden. Oder wie man überprüfen kann, was eigentlich gerade passiert ist.

    IoT-Geräte sind ein blinder Fleck, aber sie haben weitreichende Auswirkungen auf die Security in Ihrem Unternehmen. Und da sie nicht immer mit umfangreichen Sicherheitseinstellungen vom Hersteller geliefert werden, ist es umso wichtiger, sie im Einsatz abzusichern.

    NISTIR 8228: Orientierung für die Sicherheitsbetrachtung von IoT

    Der Bericht NISTIR 8228: Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks der amerikanischen Behörde NIST (National Institute of Standard and Technology) liefert eine Grundlage für Sicherheitsbetrachtungen von IoT-Geräten. Weil mit dem Industrial Internet of Things (IIoT) IoT-Technologien in die Industrie kommen, ist eine Anwendung der NISTIR 8228 auch für Produktionsumgebungen schlüssig.

    Die NISTIR 8228 beinhaltet eine wichtige Kernaussage: Cybersicherheit für IoT-Geräte funktioniert anders als für herkömmliche IT-Systeme. IoT-Geräte sind cyberphysische Systeme, die aus Software-Komponenten und mechanischen Teilen bestehen. Ein ungeplantes Anhalten oder Stoppen, das durch eine Störung beispielsweise bei einem Förderband oder einer Schleuse ausgelöst wird, kann weitreichende Folgen auch für die Safety haben. Es sind bei IoT-Geräten grundsätzlich andere Risiken zu berücksichtigen als bei IT-Systemen, daher gibt es andere Herausforderungen bei deren Absicherung.

    Wir fassen zusammen, was Sie wissen sollten, um den Einsatz von IoT in Ihren Gebäuden und Anlagen abzusichern und erläutern, warum die Empfehlungen der NISTIR 8228 auch für deutsche Unternehmen eine praktikable Orientierung bieten.

    Betrachten wir zunächst die besonderen Rahmenbedingungen von IoT-Geräten.

    Warum brauchen IoT-Geräte eine spezifische Sicherheits-betrachtung?

    IoT-Geräte sind an der Schnittstelle von IT und OT entstanden und vereinen nicht nur die Funktionalität beider Welten, sondern auch deren Risiken. Dabei unterscheiden sie sich von herkömmlichen IT-Systemen in drei Gesichtspunkten, die aus Sicherheitsperspektive besonders relevant sind.

    IoT-Geräte interagieren mit der physischen Welt

    IoT-Geräte empfangen und senden nicht einfach nur Daten, wie es IT-Systeme tun, sie können die Außenwelt über Sensoren wahrnehmen und über Aktoren beeinflussen. Sicherheitsaspekte gehen daher über die reine Datensicherheit hinaus:

    • Auf Basis von Sensorwerten werden Entscheidung getroffen. Wird der Fehlerbereich der Werte falsch angenommen oder nicht beachtet, oder werden Sensoren manipuliert, so dass sie falsche Werte liefern, kann das zu falschen oder versäumten Entscheidungen führen.
    • Die Manipulation von Aktoren ist Safety-relevant und kann im schlimmsten Fall Sach- und Personenschaden anrichten. Zum Beispiel kann durch die Manipulation von Türsteuerungen der Zugang zu Bereichen verhindert oder Notausgänge blockiert werden. Genauso kann die Manipulation der Umweltsteuerung in einer Produktionsanlage zu einer Störung des Betriebs oder zu einem Anlagenausfall führen.
    • Bei IoT-Geräten wie z.B. Kameras im privaten oder öffentlichen Bereich können außerdem erhebliche Mengen personenbezogener Daten anfallen, die bei Kompromittierung negative Konsequenzen für die betroffenen Personen haben können.

    Hinzu kommt, dass Anforderungen an die Verfügbarkeit von IoT-Geräten manchmal im Konflikt mit sonst in der IT üblichen Sicherheitsmaßnahmen stehen. Ein typisches Beispiel betrifft Updates und Patches: Während in der IT Patches möglichst schnell und flächendeckend ausgerollt werden, kann das bei IoT-Geräten zu Kompatibilitätsproblemen und Störungen oder Ausfällen im Betrieb führen. Daher ist es unter Umständen wünschenswerter, Geräte nicht zu patchen und dafür physisch abzusichern, um eine Kompromittierung zu verhindern.

    Komplexität bei Zugriff, Steuerung und Monitoring

    Viele IoT-Geräte sind Blackboxes: Sie bieten kaum Einblick in ihren Zustand und keinen oder nur beschränkten Zugriff auf ihre Software und Konfiguration. Manche Aufgaben können nur mit speziellem Werkzeug am Gerät selber vorgenommen werden. Gerade wenn das Gerät an einem abgelegenen Standort im Einsatz ist, erfordert jeder manuelle Eingriff erhebliche Ressourcen und skaliert somit schlecht.

    Hinzu kommt, dass im Bereich IoT bisher wenig standardisiert ist. Software und Interfaces unterscheiden sich von Hersteller zu Hersteller, was vor allem für deren Wartung und Patch-Management eine Herausforderung darstellt – wenn die Geräte überhaupt im Inventar des Unternehmens aufgeführt sind.

    Die Kontrolle und Nachverfolgbarkeit von Zugriffen wird dadurch erschwert, dass Verantwortlichkeiten und Rechte nicht immer im Unternehmen bleiben. Nicht selten sind Dritte mit im Boot, sei es, weil die vom Gerät gesammelten Daten zur Speicherung und Auswertung an einen Cloud-Dienstleister weitergeleitet werden oder weil Diagnose- und Reparaturarbeiten vom Lieferanten über Fernzugänge durchführt werden.

    Begrenzte Sicherheitsfunktionen und heterogene Technologien

    Nicht alle IoT-Geräte sind mit ausreichenden Sicherheitsfunktionen ausgerüstet – gerade dann nicht, wenn die begrenzte Speicher- und Rechenkapazität keinen Raum für robuste Sicherheitsmechanismen lässt oder wenn Verschlüsselungsverfahren und Authentifizierung die Performance negativ beeinflussen würden.

    Ein nachträgliches Absichern wird durch die Heterogenität der verwendeten Technologien erschwert. Vor allem aber sind die in der IT gängigen Schutzmethoden bei IoT-Geräten nicht notwendigerweise genauso wirksam. Zum Beispiel nützen Firewalls und Netzwerküberwachung wenig, wenn IoT-Geräte andere, in der IT unbekannte Protokolle verwenden oder wenn IoT-Geräte direkt und damit an der Netzwerkinfrastruktur vorbei miteinander kommunizieren.

    Eine umfassende Sicherheitsbetrachtung in Ihrem Unternehmen muss daher IoT-Geräte einbeziehen und ihre Besonderheiten berücksichtigen. Dabei entstehen besondere Herausforderungen, die bei der Umsetzung von Schutzmaßnahmen, auf die der Bericht NISTIR 8228 konkret eingeht.

    NISTIR 8228 definiert Schutzziele

    Im NIST-Bericht sind drei aufeinander aufbauende Schutzziele aufgeführt:

    Schutz der Gerätesicherheit

    Es gilt zu verhindern, dass IoT-Geräte zur Durchführung von Angriffen gegen die eigene oder gegen andere Organisationen missbraucht werden, oder als Einfallstor zum Abhören von Netzwerkverkehr oder um andere Geräte im selben Netzwerksegment zu kompromittieren. Dieses Ziel gilt für alle IoT-Geräte.

    Schutz der Datensicherheit

    Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten, die von IoT-Geräten empfangen, gesendet, gespeichert oder verarbeitet werden, einschließlich personenbezogener Daten, muss geschützt werden. Dieses Ziel gilt für alle IoT-Geräte, die mit schützenswerten Daten arbeiten.

    Schutz personenbezogener Daten

    Für IoT-Geräte, die personenbezogene Daten verarbeiten oder Daten, die direkt oder indirekt Auswirkungen auf Personen haben können, kommt der Schutz der Privatsphäre dieser Personen hinzu.

    Diese Schutzziele sind nicht neu, sie gelten genauso für IT-Geräte. Prioritäten und Konsequenzen sind bei IoT-Geräten aber zuweilen andere. Zum Beispiel ist der Verlust oder Diebstahl von Daten keine Bedrohung bei IoT-Geräten, die gar keine schützenswerten Daten verarbeiten.

    Herausforderungen, die NISTIR 8228 identifiziert

    Es gibt eine Reihe von Erwartungen, die IT-Geräte üblicherweise erfüllen und die daher als Basis für Schutzmaßnahmen in der IT dienen. Aber bei weitem nicht alle IoT-Geräte erfüllen diese Erwartungen. Daraus ergeben sich eine Reihe von Herausforderungen, wenn man gängige Schutzmaßnahmen auch auf IoT-Geräte anwenden will.

    Hier sind einige der wichtigsten Herausforderungen, die der NIST-Bericht aufführt:

    • Asset-Management: Nicht alle IoT-Geräte haben eine eindeutige Gerätekennung oder passen zum Assetmanagement-System des Unternehmens. Möglicherweise sind sie nicht über das Netzwerk auffindbar, sondern müssen über Barcodes oder RFID-Chips erfasst werden. Hinzu kommt, dass interne Zustände und externe Abhängigkeiten nicht immer bekannt sind.
    • Schwachstellen-Management: Nicht alle Hersteller veröffentlichen langfristig Patches und Updates für IoT-Geräte. Und nicht alle IoT-Geräte können überhaupt gepatcht werden. Schwachstellen müssen dann anders abgesichert werden.
    • Zugriffsverwaltung: Nicht alle IoT-Geräte können Zugriffe authentifizieren und manche können Nutzer und Prozesse nicht oder nicht eindeutig identifizieren oder erlauben keine Änderung von voreingestellten Passwörtern und keine Kontrolle über Zugriffsrechte. IoT-Geräte passen daher oft nicht in gängige Nutzerverwaltungssysteme. Hinzu kommt, dass IoT-Geräte nicht immer hinreichend vor physischen Zugriffen gesichert sind. Gerade wenn sie in öffentlichen Bereichen eingesetzt werden, ist es wichtig, dass keine Manipulation möglich ist, z.B. Speichermedien entfernt oder andere Geräte angeschlossen werden können.
    • Störfallerkennung: IoT-Geräte können unter Umständen nicht hinreichend Informationen loggen, um Störfälle zu erkennen oder nachträglich zu analysieren.
    • Datensicherheit: Daten können nicht immer vom Gerät selber verschlüsselt werden und sind in dem Fall sowohl im Speicher als auch bei der Übertragung im Netzwerk ungeschützt. Auch die Sicherung und Wiederherstellung von Daten durch regelmäßige Backups ist nicht immer möglich.
    • Datenschutz: IoT-Geräte, die mit personenbezogenen Daten arbeiten, stellen nicht immer Möglichkeiten bereit, um eine Zustimmung einzuholen, sie später zu widerrufen oder um gespeicherte Daten einzusehen oder nachzuverfolgen. Die Erfassung und Analyse von Daten erfolgen oft automatisch und ohne Rücksicht auf Sensibilität. Zugriffe auf diese Daten können verteilt sein und in Fällen von Cloud-Dienstleistern und Fernwartung auch außerhalb der Kontrolle des Unternehmens liegen.

    Start in die Umsetzung

    IoT-Geräte in Industrieumgebungen abzusichern, beinhaltet drei Aufgabenbereiche:

    Identifizieren Sie Ihre IoT-Geräte

    Die Wahrscheinlichkeit ist groß, dass in Ihrem Unternehmen mehr IoT-Geräte im Einsatz sind, als Sie in irgendeiner Geräteliste finden werden. Um deren Risiken einschätzen und Schutzmaßnahmen entwickeln zu können, müssen Sie natürlich zuerst wissen, welche Geräte das sind. 

    Überlegen Sie dazu im ersten Schritt: Was genau verstehen Sie in Ihrem Unternehmen unter IoT? Welche IoT-Gerätetypen sind im Einsatz und welche Funktionen haben sie?  

    Zu IoT zählen zum Beispiel eine Reihe von Geräten, die in der Gebäudeautomation eingesetzt werden, von Klimaanlagen über Türsteuerungen und Kameras bis hin zu Kartenlesegeräten. Diese sind nicht immer im Bewusstsein, geschweige denn ein fester Bestandteil von Sicherheitsbetrachtungen.

    Risiken abschätzen

    Für IoT-Geräte umfasst eine Risikoabschätzung aufgrund der großen Vielfalt eine sehr große Menge sehr unterschiedlicher Geräte.

    Bei der Abschätzung IoT-spezifischer Risiken sollten Sie beachten, dass die Risiken nicht allein vom Gerätetypen abhängen, sondern auch von seinem Einsatzzweck und von der Umgebung, in dem das Gerät eingesetzt wird. Zum Beispiel macht es einen großen Unterschied, ob eine Kamera in einem physisch abgesperrten Werk oder im öffentlichen Bereich im Einsatz ist und ob sie Daten intern speichert oder an einen unternehmensinternen Server oder in die Cloud sendet. Möglicherweise können Funktionalitäten deaktiviert werden, wenn sie für einen bestimmten Zweck nicht gebraucht werden und somit unnötige Risiken schaffen würden.

    Beachten Sie auch, dass Risiken oft zusammenhängen. Soll der Zugang zu einem Gerät abgesichert werden, ist es sinnvoll, dass sich Mitarbeiter an diesem Gerät authentifizieren müssen. Ist der Zugang im Fall von Fehlfunktionen oder Notfällen aber zeitkritisch, muss abgewogen werden, ob eine Authentifizierung nicht zu inakzeptablen Verzögerungen führt.

    Die Absicherung von IoT-Geräten strategisch angehen

    Es ist für den Erfolg Ihres Security-Konzepts entscheidend, dass der Absicherung Ihrer IoT-Geräte die nötige Aufmerksamkeit gewidmet wird.

    Eine nachhaltige Strategie heißt, die richtigen Leute an einen Tisch zu bringen und die Kommunikation zwischen den betroffenen Bereichen zu fördern. Legen Sie Verantwortlichkeiten fest und schaffen Sie Strukturen für einen regelmäßiger Austausch zwischen IT und OT. Verankern Sie das Thema in Ihrer Organisation und definieren Sie entsprechende Richtlinien und Handlungsanweisungen.

    Fazit

    Der Bericht NISTIR 8228 stellt mit seiner Beschreibung von Problemstellungen bei der Absicherung von IoT-Geräten und den generellen Lösungsansätzen eine praktikable Orientierungshilfe. Für den individuellen Weg, den jedes Unternehmen dabei entsprechend der eigenen Anforderungen einschlägt, ergibt sich dadurch eine wertvolle Hilfestellung.

    Praxistipp

    Haben Sie IoT-spezifische Risiken identifiziert, dann passen Sie die Prozesse und Richtlinien Ihres Unternehmens so an, dass sie diese Risiken vermeiden oder abschwächen. Wie das konkret aussieht, hängt sehr individuell vom Unternehmen ab. Sprechen Sie uns gerne an, wenn Sie Fragen haben oder Erfahrungen austauschen wollen.

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung