Der Begriff Smart X vereint Szenarien wie Smart Industry, Smart Logistic, Smart Building, Smart Home und Smart City. All diese Ansätze eröffnen für Unternehmen in vielen Bereichen neue Möglichkeiten der Produktivitätssteigerung und Kostensenkung; für private Anwender bietet der Smart Home Ansatz zum Beispiel mehr Komfort und Sicherheit in den eigenen vier Wänden.
Zudem haben smarte Ansätze das Potenzial, neue Geschäftsmodelle und Services zu realisieren. Unabhängig davon, ob es sich um Fabriken, Gebäude, Städte oder Logistikprozesse handelt, bergen vernetzte Szenarien jedoch auch enorme Risiken. Die Angriffsfläche für Kriminelle steigt. Wie gelingt es, Smart-X-Umgebungen zu schützen, um die Wertschöpfung abzusichern?
Datenübermittlung macht Smart-X-Umgebungen verwundbar
Smarte Objekte müssen Daten erfassen sowie über Schnittstellen mit Backend-Systemen und teils auch untereinander kommunizieren. Dies gilt in der Industrie ebenso wie in der Gebäudetechnik oder der sogenannten Smart City. Problematisch ist hierbei, dass es in diesem relativ jungen Umfeld noch kaum etablierte Standards gibt.
So senden und empfangen die Smart-X-Komponenten ihre Daten in unterschiedlichen Formaten mithilfe verschiedenster Übermittlungstechnologien wie LAN, WLAN, DECT, 5G, NarrowBand IoT oder auch proprietären Funktechnologien. Diese Übertragungswege sind jedoch verwundbar, insbesondere in kombinierten Szenarien.
Die erzeugten Daten werden fast in jedem Fall in der Cloud verarbeitet und möglicherweise auch gespeichert. Oftmals geschieht dies zumindest teilweise in einer Public Cloud bekannter Anbieter wie Amazon, Microsoft, Google oder Alibaba. Auch Hersteller von Fertigungssystemen wie Siemens oder Integratoren wir Axians bieten hierfür mittlerweile eigene IoT-Pattformen an.
In Summe existieren also drei mögliche Angriffsbereiche:
Die smarten Objekte selbst
Die Transportwege der Daten
Die verarbeitenden Systeme.
Zwar erfordert jeder dieser Bereiche gezielte Schutzmaßnahmen, besondere Priorität müssen jedoch die Transportwege haben.
Risiken reichen von Erpressung bis zur Manipulation von Kraftwerken
Längst haben Angreifer den Smart-X-Bereich als lukratives Betätigungsfeld für sich erkannt. Dies zeigt unter anderem eine Bitkom-Studie aus dem Jahr 2018, die besagt, dass es sich bereits bei 19 Prozent aller Security-Vorfälle um digitale Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen handelt.
Haben Attacken dieser Art Erfolg, reicht die Bandbreite der negativen Folgen von Datendiebstahl über hohe Lösegeldforderungen bis hin zur Fernsteuerung oder Abschaltung von kritischen Infrastrukturen wie Kraftwerken und Gefängnissen. Nicht zu vergessen auch mögliche Eingriffe in die Safety-Mechanismen durch Kompromittierung von Safety-Controllern.
Mix aus organisatorischer und technischer Cyber-Security erforderlich
Aufgrund der realen Bedrohungslage liegt es auf der Hand, dass Betreiber von Smart-X-Umgebungen ein umfassendes Security-Konzept benötigen. Dieses muss sich im Groben aus zwei Komponenten zusammensetzen:
Organisatorische Maßnahmen
Technische Maßnahmen
In organisatorischer Hinsicht gilt es, Mitarbeiter zu sensibilisieren, den Schutz sensibler Daten in den Fokus zu rücken, Richtlinien zu etablieren und deren Umsetzung zu überwachen. Auch können organisatorische Umstrukturierungen notwendig werden, da Smart X Security häufig nur durch fach- und abteilungsübergreifende Zusammenarbeit erfolgreich sein kann.
Zudem sind einige grundlegende Maßnahmen umzusetzen, auf denen dann umfassendere Security-Maßnahmen aufbauen. Hierzu zählen beispielsweise die vollumfängliche Inventarisierung und Verwundbarkeitsanalyse aller eingesetzten Technologien. Im zweiten Schritt kann dann bewertet werden, wie sich die Risiken hinsichtlich der Wertschöpfungsprozesse darstellen.
Abschließend erfolgt die Etablierung geeigneter technischer Schutzmaßnahmen. Zu nennen sind insbesondere Identity and Access Management, Anomalie-Erkennung auf KI-Basis, Segmentierung sowie die Absicherung von Kommunikationskanälen und Cloud-Komponenten. Empfehlenswert ist darüber hinaus ein umfassender Schutz durch SIEM und SOC, da IoT-Geräte samt ihrer Kommunikation in diesem Rahmen lückenlos und rund um die Uhr überwacht werden können.
Fazit: Individuelles, allumfassendes Konzept erforderlich
Die oben genannten Maßnahmen spiegeln nur einen Teil möglicher Smart-X-Security-Konzepte wider. Ein angemessenes Cyber-Security-Level lässt sich jedoch nur mit individuellen, ganzheitlichen Lösungen realisieren. Axians unterstützt sowohl bei der Konzeption als auch bei der Umsetzung.
Wollen Sie tiefer in die Materie eintauchen? Axians hat zu diesem Thema das Whitepaper Smart X Security: Intelligente Lösungen erfordern intelligenten Schutz veröffentlicht, das Sie über diesen Link herunterladen können.