Smarte Welt – Was tun wir für die Sicherheit?

IoT – omnipräsent und ambivalent

IT ermöglicht vieles – in der industriellen Produktion und im Betrieb von Infrastrukturen, aber auch zuhause, auf der Strasse und im Fitnessstudio. Dadurch ergeben sich neue Angriffsflächen. Wie gehen wir damit um?

 

teaser_focus_smart_world

Die IT hat die Industrie in den letzten 20 Jahren grundlegend verändert. Fabriken wurden umgerüstet, Logistiknetzwerke aufgebaut und übergreifende Wertschöpfungsketten etabliert. Die Fertigung findet kombiniert global und lokal statt (glokale Produktion), Augmented Reality weist im Hochregallager den Weg zum Ersatzteil und cyber-physische Systeme wirken mittels Sensoren und Aktoren in Produktionsprozessen mit und überwachen diese. Dadurch bieten Smart Factories jedoch auch mehr Angriffsflächen für Attacken: vom Diebstahl materieller und immaterieller Assets wie Daten und Prozesse über Werkspionage bis hin zu handfester Sabotage.

 

Auch bei der Betriebstechnik werden weniger Arbeiten vor Ort ausgeführt. Fernzugriffe bergen jedoch Risiken, etwa bei kritischen Infrastrukturen wie Kraft- oder Wasserwerken. Die Lebenszyklen der eingesetzten Technologien sind dort um ein Mehrfaches länger als in der IT. Die zentrale Verwaltung muss also mit verschiedensten Komponenten aus dem letzten Jahrtausend umgehen können – und mit deren nicht auf heutige Bedrohungen ausgerichteten Sicherheitsstandards. Zudem braucht es bei kritischen Infrastrukturen eine Vielzahl von Sensoren, um den Betrieb zu gewährleisten, und diese sind nicht risikolos. Neuere Sensoren haben deutlich mehr Funktionen und viele verfügen über einen Funk- oder Netzwerkanschluss sowie genügend CPU- und Speicherreserven, um auch in 10 Jahren noch ihren Dienst erledigen zu können. Wird die Sicherheit vernachlässigt, mutieren solche Geräte schnell zu kleinen schlagkräftigen Soldaten in einer Armee von Bots.

 

 

Smart Homes, Wearables und Fahrzeuge

Sensoren umgeben uns auch privat, sei es in den eigenen vier Wänden oder an unserem Körper: kleine digitale Helfer messen alles Mögliche und erleichtern uns den Alltag, indem sie Daten sammeln. Dasselbe tun intelligente Fahrzeuge. Deren Assistenzsysteme gleichen ihre Daten oft direkt mit dem Hersteller ab. Als Benutzer wissen wir nicht, ob unsere Nutzerdaten dafür genügend anonymisiert wurden. Meist ist auch ungeklärt, wem die Daten gehören, welcher Rechtsprechung sie unterstehen, wer sie auswerten darf und wer dafür haftet, wenn sie gestohlen werden. Aber auch die direkten Gefahren sind nicht zu unterschätzen. So gibt es zum Beispiel bereits Wege, intelligente Schliesssysteme zu knacken, um fremde Fahrzeuge zu öffnen.

 

 

Organisierte Kriminalität

Bei den Angriffen im privaten Umfeld und in den Unternehmen spielt die organisierte Kriminalität eine immer grössere Rolle. Auch sie setzt vermehrt auf Arbeitsteilung, Automatisierung und Modularisierung. Dabei nutzen die Cyberkriminellen standardisierte Services wie Plattformen und Botnetze, Frameworks für Trojanische Pferde oder Money Mules zur Geldwäsche. Mittlerweile werden schon Gesamtpakete angeboten, zum Beispiel für Ransomware, sozusagen Cybercrime-as-a-Service. Diese Professionalisierung macht einzelne Aufgabenbereiche ersetzbarer und die Bekämpfung schwieriger. Ausserdem ermöglicht die Automatisierung grossflächige Angriffe, wodurch schon eine sehr tiefe Erfolgsquote genügend Ertrag bringt.

 

 

Was also tun?

Die Herausforderungen für die Sicherheit sind vielschichtig und müssen auf verschiedenen Wegen angegangen werden. Es braucht technische Anpassungen an der Infrastruktur des Endbenutzers ebenso wie Massnahmen bei den Herstellern von Soft- und Hardware und regulatorische Massnahmen.
 

Als Privatperson kann man nur wenig tun, zum Beispiel die Vor- und Nachteile bei der Beschaffung eines Produkts abwägen. Dabei ist der offerierte Support essentiell. Bietet der Hersteller wohl in zwei Jahren noch Sicherheitsupdates? Werden die Patches automatisch installiert oder muss man das selbst erledigen? Weiter kann man die private Infrastruktur segmentieren, etwa durch die Abkapselung des smarten Hauses, des Autos oder des Backup-Systems in einem eigenen Netz, analog zu den Perimetern in Firmen. Kombiniert mit einem besseren Authentisierungsschutz, beispielsweise mittels eines zweiten Faktors, erhöht dies die Barrieren gegen einen Angriff oder erlaubt zumindest eine angemessene Wiederherstellung im Schadenfall.

 

Unternehmen stehen mehr Optionen offen, die Absicherung gestaltet sich aber auch schwieriger. Wer darf in der Industrie 4.0 was machen, wann und wo? Wie werden Schnittstellen geschützt, wer regelt Berechtigungen, wer trägt die Verantwortung und wer haftet? Auch bei der Betriebstechnik muss geklärt werden, wie mit der wachsenden Angriffsfläche umzugehen ist und wie die Masse an Geräten sinnvoll verwaltet und gewartet werden kann. Der Schutz muss in die Tiefe gehen und analog zu den genutzten internen und externen Services modularisiert werden. Es gilt, in jedem der Module eine Kombination von individuellen und vernetzten Schutzmechanismen umzusetzen. Dabei ist zum Einen der klassische Perimeter-Schutz mit Tools wie Virenscanner oder Firewalls zu gewährleisten. Andererseits muss die Früherkennung ausgeweitet werden. Um moderne Angriffe wie Advanced Persistent Threats zu erkennen, braucht es eine gesamtheitliche Überwachung der Systeme. Durch die laufende Überprüfung von Netzwerkübergängen auf Muster und Anomalien lässt sich ein Risk Score generieren. Nur durch die Korrelation solcher Daten ist eine zeitnahe Reaktion und eine Verteidigung in der gesamten Tiefe und über sämtliche Sicherheitsschalen und Module hinweg zu erreichen.

 

Gleichzeitig wirft die Überwachung natürlich Fragen zum Datenschutz auf: Was ist erlaubt, was nicht? Wer entscheidet, ob Sicherheit oder Privatsphäre höher zu gewichten ist? Manche Entscheidungen müssen auch auf politischem Weg gefunden und beispielsweise mit Regulatorien umgesetzt werden.

 

 

Gemeinsam sind wir stark

So wichtig es ist, als Einzelner auf Sicherheit zu achten, zur wirksamen Abwehr von Angriffen braucht es Erfahrungsaustausch und Zusammenarbeitsmodelle. Analog zur stärkeren Arbeitsteilung und Strukturierung der Angriffe auf Seiten der organisierten Kriminalität muss dabei eine Professionalisierung der Abwehr Einzug halten. Neben der klassischen Schulung von Endbenutzern bedeutet dies die organisierte Kollaboration bei der Bekämpfung von Cyber Threats durch die sogenannte Threat Intelligence. Durch den koordinierten Informationsaustausch zwischen Betroffenen können Frühwarnsysteme zeitnah angepasst und feinjustiert werden. Nur so haben auch kleinere Unternehmen eine Chance, sich gegen neuartige Angriffe zu wehren und sich im ewigen Katz-und-Maus-Spiel ein Überleben zu sichern.

 

Dieser Artikel ist in leicht angepasster Version unter dem Titel „Crime as a Service“ im Mai 2017 in der Computerworld erschienen.