Vernetzte Geräte für Endverbraucher und Industrie haben sich in rasantem Tempo weiterentwickelt. So rasant, dass die damit verbundenen Vorschriften nicht Schritt halten konnten.
Gerätehersteller und Betreiber hinken den ständig neu aufkommenden und sich ebenfalls weiterentwickelnden Sicherheitsstandards und Vorschriften nicht selten hinterher. Das wiederum erschwert die Entwicklung neuer Technologien zusätzlich.
Dazu kommt, dass die bestehenden Standards kompliziert sind und voneinander abweichen, je nachdem, in welchem Markt man sich bewegt. Wer also geografisch expandieren will oder in eine andere Branche, kann damit rechnen, dass die ohnehin schwierige Materie noch unübersichtlicher wird.
An dieser Stelle wollen wir das Problem vernetzter Geräte im industriellen Umfeld skizzieren und ein Lösungsmodell anbieten.
Ursachen
Die Anwendungen für vernetzte Geräte sind unglaublich breit gefächert. Darin liegt eine der Hauptursachen für die Probleme mit Sicherheitsstandards. Man erwartet von diesen Geräten, dass sie in unterschiedlichen Szenarien, Umgebungen und zu verschiedenen Zwecken einsetzbar sind. Und sie sollen mit unterschiedlichen Betriebssystemen und in divergenten Bedrohungslandschaften funktionieren.
Sicherheitsstandards kommen sowohl bei allen Aspekten der Herstellung als auch beim Einsatz von vernetzten Geräten zum Tragen. Dazu zählen Prozesse, Sicherheits-überprüfungen und Zertifizierungen. Sicherheitsüberprüfungen und Validierungen sind über den gesamten Lebenszyklus hinweg wichtig, vom Design über die Entwicklung, das Testen und den Einsatz bis hin zu Update-Prozessen. Sicherheitsstandards müssen dabei in jeder Phase berücksichtigt werden.
Aber die Rahmenbedingungen haben sich geändert. Die Geräte werden zunehmend auch in vernetzten industriellen Umgebungen eingesetzt. Früher wurden solche Geräte entweder offline betrieben oder als Teil eines separaten OT-Netzwerks. Die veränderte Gemengelage zwingt Hersteller und Regulierungsbehörden jetzt dazu, Systeme und Verfahren zu berücksichtigen, die in einer sehr viel komplexeren Umgebung als bisher betrieben werden.
Die Vielzahl der Anwendungen für vernetzte Geräte ist aber nicht das einzige Problem. Parallel dazu hat sich die Bedrohungslage verschärft. Ständig werden neue Schwachstellen aufgedeckt und ausgenutzt oder neue Angriffsvektoren entwickelt: Sicherheitsforscher und Teams hinken dem Einfallsreichtum der Angreifer tendenziell hinterher. Eine Entwicklung, die ebenfalls gegen vernetzte Industriegeräte arbeitet, ist die steigende Zahl von Richtlinien für remote Working-Szenarien. Aufgrund der Pandemie hatten viele Unternehmen pauschal alle nicht unbedingt notwendigen Arbeitsaufgaben primär ins Homeoffice verlagert. Im Sinne des Social Distancing eine sinnvolle Schutzmaßnahme. Damit wurde allerdings auch die Fernwartung vernetzter Industriegeräte im Jahr 2020/21 zur Norm. IoT-Plattformen in industriellen Umgebungen sind besonders sensibel, weil hier zum einen riesige Datenmengen erzeugt und bewegt werden, und zum anderen zentrale Prozesse, Steuerungen, Sensoren und Maschinen direkt von einen Angriff betroffen sind. Mit potenziell besonders schwerwiegenden Folgen. Angreifer sind sich dessen sehr wohl bewusst und haben ihre Angriffsmethoden zügig an die veränderten Rahmenbedingungen angepasst.
Die Lösung: Kontinuierliche internationale Zusammenarbeit
Noch bis vor nicht allzu langer Zeit, sah es nicht danach aus, als ob Industriestandards eine befriedigende Lösung sein könnten. Hersteller sahen sich an über 80 verschiedene Standards, Vorschriften oder Gesetzesvorlagen gebunden. Und die bewegten sich nicht unbedingt in Richtung einer vertretbaren und umsetzbaren Maßgabe für vernetzte Industriegeräte.
Die Standards sind entweder auf einem sehr hohen Niveau angesiedelt und verweisen auf „Integrität“ oder „Verschlüsselung“. Allerdings ohne praktische Informationen, wie Hersteller oder Benutzer die Vorgaben konkret umsetzen sollen. Oder die Standards sind viel zu technisch und enthalten Hunderte von Regeln für Geräte in einer bestimmten Branche. Regeln, die sich aber nicht branchenübergreifend anwenden lassen und teilweise bereits nach kurzer Zeit überholt sind. Zudem beschränken sich diese Standards auf ihren geografischen Geltungsbereich und wurden bislang weder effektiv noch einheitlich durchgesetzt.
In den letzten 12 Monaten war endlich eine gewisse Konsolidierung zu beobachten. Die Automobilindustrie wurde über die UNECE-Richtlinie WP.29
Fazit: Es bleibt viel zu tun
Das Entscheidungsbündel der Regulierungsbehörden ist zweifelsohne geeignet, die Hersteller bei der Entwicklung zu unterstützen und die mit vernetzten Industriesystemen verbundenen Standards zu vereinheitlichen. Noch ist es allerdings so, dass die Geschwindigkeit, mit der geeignete Sicherheitsvorschriften für industrielle Umgebungen entwickelt werden, nicht mit der enormen Wachstumsrate der Branche Schritt halten kann.
Bei dieser Art von Marktwachstum braucht man gleichwertige Regelungen. Zumindest wenn man verhindern will, dass sich das ohnehin vorhandene Standardchaos noch weiter ausbreitet. Dazu braucht man starke Kooperationen zwischen Regulierungsbehörden und Herstellern. Branchenvertreter sollten stärker als bisher zusammenarbeiten und ihr Wissen zu Industriestandards teilen. Dies sind die Voraussetzungen, damit Hersteller vernetzte Geräte für den industriellen Einsatz auch tatsächlich sicher produzieren können.