Digitalisierung und das Internet der Dinge (IoT)

Die Welt um uns herum wird immer digitaler. Immer mehr Prozesse werden überführt und digital abgebildet bzw. nachgebildet. Das Internet der Dinge (IoT) dringt zunehmend in unseren Alltag vor. Wie beispielsweise an den allgegenwärtigen Smartphones zu sehen ist, schreitet die Digitalisierung immer schneller voran.
Jedes digitale (smarte) Gerät sammelt Informationen, welche wiederum häufig auf Servern im Internet gespeichert werden. Damit entstehen immer mehr Daten, bzw. Datentöpfe.
Der Nutzen der Vernetzung webbasierter Dienste und der Austausch von Informationen zeigt sich in vielen Bereichen von Industrie 4.0: Über Mobilität und Energie bis zu Gesundheit und Wohnen. Die „Digitale Transformation“ der Gesellschaft und Wirtschaft ist eine grundlegende und tiefgreifende Veränderung.

Die damit verbundene immer weiter steigende Komplexität der IT, die Verlagerung von Geschäftsprozessen ins Internet, neue Technologien und neue Entwicklungen erzeugen neue Flanken für Cyber-Angreifer. Immer öfter ergeben sich weitreichende Möglichkeiten, Informationen auszuspähen oder Prozesse zu sabotieren. Zudem Cyber-Angreifer kontinuierlich aufrüsten und ihre Angriffsmethoden und -mittel rasant weiterentwickeln. Dabei ist ein hoher Professionalisierungsgrad zu erkennen.

IoT: Willst Du ein S kaufen?
Bevor wir dieses oben beschriebene Szenario etwas näher betrachten, noch ein paar Anmerkungen zum Thema IoT-Devices: Das S in der Abkürzung IoT steht für Sicherheit.
Dieser Running-Gag, gibt (leider) die Realität sehr gut wieder. So wie es kein S in IoT gibt, sucht man häufig auch das Sicherheitsbewusstsein der Hersteller von IoT-Komponenten, denn dieses ist oft nicht mal im Ansatz erkennbar!

Das Internet der Dinge hat eine hohe Komplexität, die auch für erfahrene Entwickler eine Herausforderung darstellt. Darüber hinaus erfordert die Integrationstiefe der IoT-Produkte oft ein Zusammenspiel von unterschiedlichen Fachspezialisten und Zulieferern.

Industrie-Netze, Gebäudetechnik und diverse andere Anwendungen nutzen verschiedene Dialekte bei Feldbussen, Ethernet-Verkabelungen und drahtloser Kommunikation. Oft sind diese Standards herstellerspezifisch. So kennt allein das Industrial Ethernet sechs unterschiedliche Standards. Aber auch die Datenstrukturen von IoT-Geräten sind oft herstellerspezifisch und aus diesem Grund nicht kompatibel zueinander.
In dieser Gemengelage sind Fehlermöglichkeiten zu Lasten der Informationssicherheit und des Datenschutzes geradezu vorprogrammiert, wenn man sich als Hersteller keine Gedanken für eine langfristig tragfähige Konzeption gemacht hat.

Cyber-Angriffe: (Beinahe) ein Alltagsphänomen?
Aber nun wieder zurück zur aktuellen Bedrohungslage: Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) wurden in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden. Das ist das Ergebnis einer Studie (https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf) des Digitalverbands Bitkom, für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.

Ohne Informationssicherheit keine Digitalisierung
Digitalisierung kann nur gelingen, wenn die damit verbundenen Risiken beherrschbar bleiben. Nur so können die Chancen und Potenziale der Digitalisierung ausgeschöpft werden. Ohne das Vertrauen der Anwender in die Integrität und die Verlässlichkeit digitaler Lösungen, wird es unmöglich für diese Lösungen eine dauerhafte Akzeptanz zu schaffen.

Und genau an dieser Stelle zeigt sich das Dilemma: Die Herausforderung für die Hersteller, Betreiber und Anwender der digitalen Lösungen und Prozesse ist es einen lückenlosen Schutz aufzubauen und zu erhalten. Wohingegen die jeweiligen Angreifer nur eine kleine Schwachstelle identifizieren und ausnutzen müssen.
Die überwiegende Mehrheit erfolgreicher Cyberangriffe beruht auf nicht gut programmierter, schlecht gewarteter oder mangelhaft konfigurierter Software und Systemen.

Um die Widerstandsfähigkeit der digitalen Produkte oder Prozesse gegenüber Cyberbedrohungen zu steigern, ist es notwendig die Anforderungen der Informationssicherheit im gesamten Lebenszyklus einer digitalen Lösung oder eines Prozesses im erforderlichen Umfang zu berücksichtigen. Also von der Planung und Konzeption, der Umsetzung, dem Betrieb bis hin zur Stilllegung.
In diesem Artikel gehe ich überblickartig auf die Phasen Planung, Konzeption und Umsetzung ein. Da oft dort entscheidende Versäumnisse bestehen, mit denen sich im Anschluss die Betreiber im Rahmen ihres Informationssicherheitsmanagements herumschlagen müssen.

"IT-Security by Design": Informationssicherheit gehört in die Spezifikation
Bereits beim Design und der Planung müssen sicherheitsrelevante Anforderungen in den Spezifikationen der Anwendungen berücksichtigt werden. Denn gehört Security nicht zu den Designkriterien bei der Entwicklung, wird Sie von den Entwicklern auch nicht abgearbeitet. Der Fokus der Architekten und Entwickler liegt gerade in dieser Phase primär auf den funktionalen Aspekten und Anforderungen der Anwendungen. Die meist nicht-funktionalen Anforderungen der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Nicht-Abstreitbarkeit, etc.) und die daraus abgeleiteten funktionalen Anforderungen fallen dabei oft durch das Raster der Architekten.

Daher ist es an dieser Stelle besonders wichtig durch "IT-Security by Design" die möglichen Sicherheitslücken, Schwachstellen und somit die Angriffsfläche von allem Anfang an zu reduzieren. Im Idealfall fließt der Sicherheitsaspekt so bereits in den Prototyp ein – und wird durch alle weiteren Produktionsstufen mitgetragen.
Die Hersteller verringern durch "IT-Security by Design" ihr Haftungsrisiko und die späteren Aufwände für die Produktpflege.
Auf Anwenderseite werden zukünftige Aufwände für Wartungsprozesse reduziert, da deutlich seltener Sicherheitspatches erstellt, getestet sowie verteilt und installiert werden müssen. Dadurch vermindern sich die Kosten einer Software im Betrieb, was letztlich als Verkaufs- und Marketinginstrument taugen kann.

DevOps trifft Informationssicherheit
Allerdings ist der Wunsch nach "Security by Design" einfacher formuliert als in der Praxis umgesetzt. Denn gerade die oft verwendeten agilen Entwicklungsmethoden stellen die bisherigen ehr sequenziell ausgerichteten Prozesse der Informationssicherheit vor die Herausforderung mit dem Entwicklungstempo und den dynamischen Entwicklungsprozessen Schritt zu halten.
Das bedeutet dass hier sowohl auf Seiten der Entwickler und Architekten als auch auf Seiten der Informationssicherheitsberater ein Umdenken erforderlich ist. Es muss diskutiert und bewertet werden, ob und wie sich eine (funktionale) Idee unter Sicherheitsgesichtspunkten überhaupt realisieren lässt.
Wie muss die funktionale Sicherheitsanforderung aussehen und lässt sie sich konkret über alle relevanten Funktionen hinweg umsetzen?
Dabei kommt dem Risikomanagement-Prozess eine wesentliche Rolle zu. Denn man wird nicht immer alle Risiken vollständig kompensieren können. Gerade bei verbleibenden (Rest-) Risiken muss immer eindeutig sein WER das Risiko trägt und WIE damit umgegangen wird. Insofern ist es notwendig einen standardisierten und wirkungsvollen Risikomanagement-Prozess etabliert zu haben. Und diesen auch zu nutzen!

Typische Fragen betreffen beispielsweise in diesem Zusammenhang oft:

• das Rollen- und Berechtigungskonzept, welches die Grundlage für die Nutzung und den Betrieb einer Lösung darstellt. Sind alle notwendigen Rollen (Administratoren, Nutzer, Auditoren, ...) vorgesehen und durchgängig implementiert?
• die Schnittstellen: Hier ist zu bewerten ob ein Sicherheitsgefälle und welcher Schutzbedarf besteht. IoT-Geräte sind oft direkt mit dem Internet verbunden, um Monitoring sowie Fernwartung zu ermöglichen. Das bedeutet dass diese Zugänge der IoT-Geräte gemäß dem Stand der Technik abgesichert sein müssen (z.B. sichere Authentisierung), als auch mit sicheren Passworten vorbelegt sein ("Security by Default").
• das Patchmanagement, z.B. über welchen sicheren Mechanismus können remote Softwareupdates bereitgestellt werden?
• Für welchen Zeitraum sollen Updates bereitgestellt werden? Der verantwortungsvolle Hersteller zeichnet sich dadurch aus, dass er für seine IoT-Geräte über einen im Vorfeld festgelegten (möglichst langen) Zeitraum Software-Updates bereitstellt. Nur mit Updates kann auf neue Bedrohungen durch Hacker reagiert und ein hohes Niveau an Datenschutz und Datensicherheit über längere Zeit gehalten werden.
• die kryptografischen Algorithmen, die für die geplante Nutzungsdauer des IoT-Devices dem Stand der Technik entsprechen müssen oder aber über den oben beschriebenen Patchmechanismus im Bedarfsfall angepasst werden können (siehe: https://ubdg.de/trends/was-hat-sha1-mit-ihrem-isms-zu-tun).
• das Gesamtkonzept: Ist dieses schlüssig und berücksichtigt in allen Bereichen (z.B. in der Infrastruktur, der Middleware, dem Content, den Frameworks, etc. ) die Aspekte der Informationssicherheit.

Sicherer Betrieb: Risikomanagement leben und weiterentwickeln
Wenn dann die Prozesse und IoT-Devices betrieben und genutzt werden ist ein Informationssicherheitsmanagementsystem (ISMS) erforderlich, welches dazu dient die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
So, oder ähnlich kann man das an unzähligen Stellen in der Literatur nachlesen. Daher möchte ich hier nicht erneut das Thema ISMS in der Tiefe aufgreifen. Zu diesem Thema habe ich in der Vergangenheit bereits einige Blog-Artikel veröffentlicht.
Leider wird in der Praxis oft übersehen, das besagtes ISMS bereits von Anfang an (in den Phasen Planung, Konzeption und Umsetzung) erforderlich ist und nicht erst in der Betriebsphase!

Mir geht es in diesem Beitrag um einige Aspekte, die gerade im Zusammenhang mit dem Betrieb von IoT-Devices gar nicht oft genug gesagt werden können.

Wie bereits schon in der Entwicklungsphase festgestellt, ist die Update-Fähigkeit ein wesentliches Merkmal von IoT-Devices. Die Geräte müssen über eine gemäß dem Stand der Technik abgesicherten Schnittstelle (remote) updatefähig und managebar sein. So das die Betreiber-Organisation Updates verteilen kann, um damit neu bekannt gewordene Schwachstellen schließen zu können.

Und auch hier ist wieder der Risikomanagement-Prozess der Betreiber-Organisation wichtig. Als Betreiber muss man zeitnah bewerten, in welchem Maß und in welcher Form man von Softwareschwachstellen betroffen ist.
Häufig ergibt sich daraus ein gestaffeltes Verfahren. So das zeitnah die unmittelbar gefährdeten, zum Beispiel direkt aus dem Internet oder von Fremdnetzen aus erreichbaren Devices gepatcht werden, und in einem zweiten zeitlich nachgelagerten Schritt die Masse der restlichen Devices. Oder aber man platziert ergänzende Maßnahmen im Umfeld der betroffenen Devices, um die Ausnutzung von Schwachstellen zu verhindern, wenn noch keine Patches des Herstellers zur Verfügung stehen oder man diese erst in der eigenen Umgebung testen muss.

Die Betreiber-Organisation kann bei diesem Vorgang viel lernen über den Hersteller der jeweiligen IoT-Devices. Denn der Umgang des Herstellers mit dem Sachverhalt lässt sofort Rückschlüsse auf die Qualität und Güte von Entwicklungs- und Betriebsprozessen des Herstellers zu.
Somit kann diese Information in den Beschaffungsprozess der Betreiber miteinfließen, und ein zukünftiges Entscheidungskriterium sein, keine Komponenten von Herstellern zu kaufen, die ihrer Verpflichtung nicht mit der erforderlichen Qualität und Geschwindigkeit nachkommen.

Die Betreiber und Anwender müssen zukünftig umdenken: Ein erforderliches Security-Update bedeutet nicht, dass etwa das gerade gekaufte Gerät schon defekt ist. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt und eine neu identifizierte Schwachstelle schließt.

19 Sep 2018
IoT Digitalisierung ISMS DevOps
Autor: dirk-groesser