Das Internet of Things (IoT) im Griff Gefahr erkannt, Gefahr gebannt?

Heitec AG TTTech Industrial Automation AG

Hersteller von IoT-Systemen müssen sich vermehrt mit dem Risiko von Cyberattacken auseinander setzen.

Bild: iStock; Tigatelu
11.09.2023

Mit der steigenden Vernetzung und dem zunehmenden Einsatz von Standard-IT-Technologien in allen Bereichen der Industrie – und nicht nur dort – haben sich auch die Cyber-Bedrohungen und -Attacken massiv erhöht. Damit sind Hersteller und Anbieter von IoT-Systemen sowie die Systemintegratoren gefordert, diesen potenziellen Risiken entgegenzuwirken. Deshalb stelle ich die Frage: „Was sind die größten Herausforderungen für das IoT im Hinblick auf Sicherheit?“

Sponsored Content

Das sagen die Experten:

Bildergalerie

  • Florian Freund, Director Engineering, Central Europe, Arrow Electronics: Rechtsgrundlagen rund um DSGVO und neue beziehungsweise kommende Richtlinien wie der EU Cyber Security Act müssen eingehalten werden. Wichtig ist dabei, die Einbindung von Geräten für Anwender so einfach wie möglich zu halten und dabei dennoch die eigenen Daten zu schützen. Hersteller von Geräten benötigen praktikable Methoden für das Key Provisioning und die Kooperationen mit Cloud-Anbietern. All das muss innerhalb der vom Gesetzgeber vorgegebenen Fristen implementiert werden. Eine weitere Herausforderung ist die sich ständig verändernde Bedrohungslandschaft, die wir aus der IT-Welt gut kennen, die aber im Bereich der Operating Technology (OT) für viele Unternehmen durchaus neu ist.

    Florian Freund, Director Engineering, Central Europe, Arrow Electronics: Rechtsgrundlagen rund um DSGVO und neue beziehungsweise kommende Richtlinien wie der EU Cyber Security Act müssen eingehalten werden. Wichtig ist dabei, die Einbindung von Geräten für Anwender so einfach wie möglich zu halten und dabei dennoch die eigenen Daten zu schützen. Hersteller von Geräten benötigen praktikable Methoden für das Key Provisioning und die Kooperationen mit Cloud-Anbietern. All das muss innerhalb der vom Gesetzgeber vorgegebenen Fristen implementiert werden. Eine weitere Herausforderung ist die sich ständig verändernde Bedrohungslandschaft, die wir aus der IT-Welt gut kennen, die aber im Bereich der Operating Technology (OT) für viele Unternehmen durchaus neu ist.

    Bild: Arrow

  • Tim Berghoff, Security Evangelist, G Data CyberDefense: Die Evolutionsgeschwindigkeit für IoT-Geräte ist geradezu halsbrecherisch. Die Entwicklung in jeder Hinsicht nachhaltig zu gestalten, ist die größte Herausforderung für die Zukunft. Es muss sichergestellt sein, dass ein Gerät herstellerseitig noch mindestens einige Jahre mit Sicherheitsupdates versorgt wird, damit es nicht schon Monate nach dem Kauf als unsicherer Elektroschrott endet. Einheitliche Sicherheitsstandards und eine gesetzliche Verpflichtung für Hersteller zur Modellpflege und zum Datenschutz sind essenziell. Sicherheit und Datenschutz müssen dringend Teil des Entwicklungsprozesses werden – und ihre Kernfunktionalität darf nicht zwingend an einzelne Onlinedienste gebunden sein.

    Tim Berghoff, Security Evangelist, G Data CyberDefense: Die Evolutionsgeschwindigkeit für IoT-Geräte ist geradezu halsbrecherisch. Die Entwicklung in jeder Hinsicht nachhaltig zu gestalten, ist die größte Herausforderung für die Zukunft. Es muss sichergestellt sein, dass ein Gerät herstellerseitig noch mindestens einige Jahre mit Sicherheitsupdates versorgt wird, damit es nicht schon Monate nach dem Kauf als unsicherer Elektroschrott endet. Einheitliche Sicherheitsstandards und eine gesetzliche Verpflichtung für Hersteller zur Modellpflege und zum Datenschutz sind essenziell. Sicherheit und Datenschutz müssen dringend Teil des Entwicklungsprozesses werden – und ihre Kernfunktionalität darf nicht zwingend an einzelne Onlinedienste gebunden sein.

    Bild: G Data

  • Sebastian Schenk, Teamleiter Produktmanagement / Marketing, Heitec: Das Internet der Dinge hat sich rasant entwickelt. Mit den Vorteilen durch die zunehmende Vernetzung von Geräten und Sensoren wachsen aber auch die Sicherheitsrisiken, die oft unzureichend beachtet werden. Viele IoT-Geräte haben eine lange Lebensdauer und es besteht die Gefahr, dabei Sicherheitsupdates zu vernachlässigen, was dementsprechend Angriffspunkte für Datendiebstahl eröffnet. Außerdem führt nicht nur die heterogene, verteilte IoT-Struktur, sondern vor allem auch die mangelnde Standardisierung von Sicherheitsprotokollen zu Inkonsistenzen. Um das IoT durchgängig sicherer und datenschutzfreundlicher zu gestalten, erfordert es gemeinsame Anstrengungen der Endanwender, Hersteller sowie Regulierungsbehörden.

    Sebastian Schenk, Teamleiter Produktmanagement / Marketing, Heitec: Das Internet der Dinge hat sich rasant entwickelt. Mit den Vorteilen durch die zunehmende Vernetzung von Geräten und Sensoren wachsen aber auch die Sicherheitsrisiken, die oft unzureichend beachtet werden. Viele IoT-Geräte haben eine lange Lebensdauer und es besteht die Gefahr, dabei Sicherheitsupdates zu vernachlässigen, was dementsprechend Angriffspunkte für Datendiebstahl eröffnet. Außerdem führt nicht nur die heterogene, verteilte IoT-Struktur, sondern vor allem auch die mangelnde Standardisierung von Sicherheitsprotokollen zu Inkonsistenzen. Um das IoT durchgängig sicherer und datenschutzfreundlicher zu gestalten, erfordert es gemeinsame Anstrengungen der Endanwender, Hersteller sowie Regulierungsbehörden.

    Bild: Heitec

  • Christian Funk, Lead Security Researcher der Region DACH im Global Research & Analysis Team (GReAT), Kaspersky: Die Herausforderungen sind vielfältig; Schwachstellen in Geräten, unzureichende Standards, schwache Authentifizierungsmaßnahmen, mangelnde Verschlüsselung, ungeschützte Endpunkte und mangelnde Update-Politik gefährden die Sicherheit von Unternehmen. Zudem entstehen durch die Vernetzung neue Angriffsflächen für Angreifer sowie Risiken durch Datenschutzverletzungen, so dass sensible Daten unerlaubterweise mit Dritten geteilt und gegebenenfalls für Spionagezwecke genutzt werden könnten. Eine umfassende Sicherheitsstrategie sowie kontinuierliche Aktualisierungen und klare Datenschutzrichtlinien sind daher essenziell, um diese Risiken deutlich zu minimieren.

    Christian Funk, Lead Security Researcher der Region DACH im Global Research & Analysis Team (GReAT), Kaspersky: Die Herausforderungen sind vielfältig; Schwachstellen in Geräten, unzureichende Standards, schwache Authentifizierungsmaßnahmen, mangelnde Verschlüsselung, ungeschützte Endpunkte und mangelnde Update-Politik gefährden die Sicherheit von Unternehmen. Zudem entstehen durch die Vernetzung neue Angriffsflächen für Angreifer sowie Risiken durch Datenschutzverletzungen, so dass sensible Daten unerlaubterweise mit Dritten geteilt und gegebenenfalls für Spionagezwecke genutzt werden könnten. Eine umfassende Sicherheitsstrategie sowie kontinuierliche Aktualisierungen und klare Datenschutzrichtlinien sind daher essenziell, um diese Risiken deutlich zu minimieren.

    Bild: Kaspersky

  • Konrad Zöpf, Deputy Director, TQ-Embedded: Das Thema Security ist leider ein Moving Target: Die Hacker entdecken ständig neue Schwachstellen beziehungsweise entwickeln neue Angriffsmethoden und Geschäftsmodelle – ein Gerät das heute nach allen Regeln der Kunst entwickelt wurde, kann morgen schon ein Problem haben. Als Beispiel kann man hier die Side-Channel-Attacken auf die Halbleiter nennen, die teilweise vollkommen neue Angriffsvektoren nutzen. Den Anbietern von IoT-Geräten bleibt daher nichts Anderes übrig, als laufend neue Security-Updates zu entwickeln. Daher muss man von Anfang an sichere Update-Mechanismen und –Strategien einplanen, um auch noch nach Jahren bei den IoT-Devices „im Feld“ eine Sicherheitslücke schließen zu können.

    Konrad Zöpf, Deputy Director, TQ-Embedded: Das Thema Security ist leider ein Moving Target: Die Hacker entdecken ständig neue Schwachstellen beziehungsweise entwickeln neue Angriffsmethoden und Geschäftsmodelle – ein Gerät das heute nach allen Regeln der Kunst entwickelt wurde, kann morgen schon ein Problem haben. Als Beispiel kann man hier die Side-Channel-Attacken auf die Halbleiter nennen, die teilweise vollkommen neue Angriffsvektoren nutzen. Den Anbietern von IoT-Geräten bleibt daher nichts Anderes übrig, als laufend neue Security-Updates zu entwickeln. Daher muss man von Anfang an sichere Update-Mechanismen und –Strategien einplanen, um auch noch nach Jahren bei den IoT-Devices „im Feld“ eine Sicherheitslücke schließen zu können.

    Bild: TQ-Embedded

  • Georg Stöger, Director Training & Consulting, TTTech Industrial Automation: Das größte Angriffsrisiko besteht bei Cloud-basierten Systemen, aber dort sind Sicherheitsmaßnahmen gegen unbefugte Zugriffe und Manipulation in der Regel bereits gut etabliert. Die Integration heterogener Geräte und Protokolle an der Edge ist schwieriger und erfordert einen kohärenten Ansatz für die Cybersecurity, beispielsweise durch eine IEC-62443-Zertifizierung, um so Schwachstellen zu minimieren. Essenzielle Bestandteile hierfür sind laufende Identifikation von Vulnerabilities durch eigene und Dritthersteller-Komponenten (open source!) und Patch-Management, was in einer dezentralen Infrastruktur unbedingt automatisiert werden sollte. Zudem müssen Datenschutzbestimmungen eingehalten werden, um personenbezogene Daten zu schützen, die unter anderem durch das notwendige Access Logging und Monitoring anfallen. Schulung und Sensibilisierung des Bedienpersonals sind im IoT Bereich ebenfalls unerlässlich.

    Georg Stöger, Director Training & Consulting, TTTech Industrial Automation: Das größte Angriffsrisiko besteht bei Cloud-basierten Systemen, aber dort sind Sicherheitsmaßnahmen gegen unbefugte Zugriffe und Manipulation in der Regel bereits gut etabliert. Die Integration heterogener Geräte und Protokolle an der Edge ist schwieriger und erfordert einen kohärenten Ansatz für die Cybersecurity, beispielsweise durch eine IEC-62443-Zertifizierung, um so Schwachstellen zu minimieren. Essenzielle Bestandteile hierfür sind laufende Identifikation von Vulnerabilities durch eigene und Dritthersteller-Komponenten (open source!) und Patch-Management, was in einer dezentralen Infrastruktur unbedingt automatisiert werden sollte. Zudem müssen Datenschutzbestimmungen eingehalten werden, um personenbezogene Daten zu schützen, die unter anderem durch das notwendige Access Logging und Monitoring anfallen. Schulung und Sensibilisierung des Bedienpersonals sind im IoT Bereich ebenfalls unerlässlich.

    Bild: TTTech

Verwandte Artikel