In vier Schritten zu einer sicheren IoT-Infrastruktur

iot

Das Internet der Dinge (IoT) ist naturbedingt komplex. Unterschiedlichste Geräte verbinden über große Entfernungen hinweg Anlagen, Maschinen sowie Fahrzeuge, um beispielsweise Produktionsprozesse intelligenter zu machen und zu verbessern. Um effektiv miteinander arbeiten zu können, sind die IoT-Lösungen auf ein gut funktionierendes, lückenloses Kommunikationsnetzwerk angewiesen.

Damit sie echte Mehrwerte generieren, müssen sie zudem an Cloud-Ressourcen angeschlossen werden – ein Zugang zum Internet ist somit unabdingbar. Erfolgt dabei die Implementierung nicht sorgsam nach einem Secure by Design-Ansatz, entstehen vernetzte Systemen nicht geschützter Geräte und Applikationen. Diese liefern Hackern potenzielle Angriffspunkte, um Anlagen und ganze Unternehmen zu infiltrieren oder sogar zu kapern.

Anzeige

Die Sicherheitsspezialisten von Kudelski Security zeigen in vier Schritten, was Unternehmen bei der Implementierung einer IoT-Infrastruktur beachten sollten, um Gefahren im Vorfeld zu vermeiden und ihre Produktionsfähigkeit zu schützen.

1. Planung

Um eine IoT-Infrastruktur im Unternehmen sicher zu gestalten, sind gute Planung und vor allem Transparenz wichtige Voraussetzungen. Verantwortliche sollten damit beginnen, die Bereiche zu identifizieren, die geschäfts- beziehungsweise produktionskritisch sind. Da diese besonders häufig ins Fadenkreuz der Hacker geraten, sollten sie schnell und effektiv geschützt werden. Darüber hinaus sind auch alle anderen Bereiche auf Bedrohungspotenziale hin zu untersuchen und einzuschätzen. Dieses Assessment sollte gründlich und unvoreingenommen ablaufen. Es empfiehlt sich, einen Top-Down- und einen Bottom-Up-Ansatz miteinander zu kombinieren. So kann erschlossen werden, welche Systeme ergänzt werden müssen, welche bereits sicher sind und wie die einzelnen Komponenten der komplexen Systeme ineinandergreifen, um die gesamte Infrastruktur abzusichern.

Bei der Planung sollten Verantwortliche zudem auch potenzielle Angriffe kategorisieren und auf ihren Einfluss auf kritische Geschäftsprozesse hin untersuchen. So können bestehende Abläufe und Compliance-Richtlinien verbessert oder angepasst werden.

Anzeige

2. Umsetzung

Sobald alle Assets gründlich geprüft wurden und ausreichend Transparenz herrscht, müssen aufgedeckte potenzielle Schwachstellen oder Lücken im Design der Sicherheitsarchitektur berücksichtigt werden. Das Ziel: eine sichere IoT-Infrastruktur zu errichten, die auf die Prozesse im Unternehmen zugeschnitten ist und mit den genutzten Assets harmonisiert – sowohl auf Hardware- als auch auf Softwareebene. 

Derzeit findet sich in IT-Abteilungen von Betrieben nur selten geschultes IT-Security-Fachpersonal, das sich mit den besonderen Herausforderungen im IoT-Umfeld im Detail auskennt. Um entsprechende Projekte nach dem Prinzip „Secure by Design“ umsetzen zu können, sollten sich Unternehmensentscheider daher nach Partnern umsehen, die sie vom Design des Sicherheitskonzeptes bis hin zur Umsetzung über alle Ebenen der Infrastruktur hinweg beraten sowie praktisch unterstützen. 

Eine Schlüsseltechnologie beim Design einer geschützten IoT-Architektur ist die Root-of-Trust-Funktionalität (RoT). In kryptographisch gesicherten Systemen kreiert RoT eine eindeutige Identität für jedes Gerät, auf dem es installiert ist. So werden nur diese als vertrauenswürdig eingestuft. Das verbessert die Erkennung von fremder Hardware. Der Ansatz kann auch auf Softwaresysteme übertragen werden und setzt dabei auf fortgeschrittene Security-Software wie White-Box-Cryptography. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Evaluation

Nach der Implementierung eines Konzeptes, sollte dieses sofort erneut und in der Folge kontinuierlich auf den Prüfstand gestellt werden. Da sich die Sicherheitslage und Angriffsmethoden ständig verändern, sind wiederholte Evaluierungen und etwaige Anpassungen unerlässlich. Im Grunde steht immer folgende Frage im Raum: Wann ist das eigene System sicher genug? Anwender können sich der Beantwortung immer aus zwei Richtungen nähern – quantitativ und qualitativ. Aktuell arbeiten Unternehmen zunehmend mit quantitativen Methoden, um die Sicherheit ihrer IoT-Infrastruktur zu evaluieren. Dies geschieht meist in zwei Schritten: Zunächst wird versucht, alle Angriffsvektoren mittels Testing-Verfahren zu identifizieren, um sie anschließend zu bewerten. Das kann insbesondere bei größeren Infrastrukturen ein zeitaufwendiges, kostspieliges Verfahren sein.

Die günstigere und für die Evaluierung von IoT-Infrastrukturen ausreichende Variante kann dagegen durchaus die qualitative Bewertung der Sicherheitslage sein. Entscheidend ist an der Stelle, dass das Sicherheitskonzept mit entsprechendem Fachwissen entwickelt, sowie die passende Hard- und Software ausgewählt werden. Mit der Unterstützung von Spezialisten können Unternehmen beispielsweise sicherstellen, Komponenten einzusetzen, die sich im Rahmen anderer Projekte und Assessments über Jahre hinweg bewährt haben.

4. Inbetriebnahme und Anpassung

Um das gewünschte Return of Investment zu erzielen, müssen die Lösungen schnellstmöglich in Betrieb genommen und über den gesamten Produktlebenszyklus hinweg gegebenenfalls angepasst werden.

Für den Schutz geschäftskritischer Abläufe, ist es ferner notwendig, jedem Gerät in der IoT-Infrastruktur eine individuelle Identität zu geben, bevor es verbaut oder verwendet wird. Einige Dienstleister und Hersteller bieten einen vereinfachten Integrationsprozess, indem sie RoT und robuste Sicherheitslösungen in jedes Modul einbetten. 

Damit das implementierte Sicherheitskonzept und installierte Lösungen auch künftig Angriffe effizient abwehren können, müssen die Systeme auf traditionelle Weise aktuell gehalten und fortlaufend erneuert werden. Ebenso ist es unerlässlich, auch die auf den einzelnen Geräten anfallenden Daten zu sammeln und auszuwerten. Nur so lässt sich das Risiko von Cyberangriffen nachhaltig senken.

Viele Unternehmen haben allerdings Schwierigkeiten, die nötigen Ressourcen und Kenntnisse aufzubringen, die es braucht, um die gesammelten Daten wirkungsvoll zu analysieren und die erforderlichen Anpassungen vorzunehmen. Die Zusammenarbeit mit einem erfahrenen IT-Security-Dienstleister kann dann Abhilfe schaffen.

www.kudelskisecurity.com/de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.