Ein Interview mit dem Leiter unseres IoT-Prüflabors Hendrik Dettmer.
Egal ob Kühlschrank, Smartwatch oder Industrieanlage – in Zeiten des Internet of Things (IoT) und Industrie 4.0 sind immer mehr Geräte im Privat- und Unternehmensumfeld digital vernetzt. Sie bieten neue Geschäftsmöglichkeiten, einen erweiterten Nutzen und ermöglichen vereinfachte und effizientere Prozesse. Doch so praktisch und userfreundlich die zunehmende Vernetzung auch ist, dieser Trend bringt auch vergrößerte Angriffsflächen mit sich. Vor allem da sich hinter IoT-Lösungen deutlich komplexere Infrastrukturen verbergen als in der klassischen IT.
Im folgenden Interview gibt Hendrik Dettmer, Head of IoT-Lab bei der TÜV TRUST IT, Einblicke in seine Erfahrungen mit der Sicherheit von IoT-Geräten und gibt Tipps, welche Sicherheitsaspekte Anbieter auf jeden Fall beachten sollten.
Hat sich die Sicherheit von IoT-Geräten bisher als Sorgenkind erwiesen?
Hendrik Dettmer: Ich finde, dass man erst einmal definieren muss, was unter IoT überhaupt verstanden werden kann. Fasst man den Begriff sehr weit, so könnten alle Produkte als IoT-Geräte bezeichnet werden, die selbstständig mit dem Internet kommunizieren, um ihre komplette Funktion auszuschöpfen. Strenggenommen zählen dazu dann auch Mobile Devices wie Smartphones oder Tablets oder auch Geräte wie Laptops oder PCs. Als IoT-Geräte werden jedoch meist die Produkte bezeichnet, die bisher ohne Internet ausgekommen sind und nun durch internetbasierte Dienste „smart“ werden. Dazu zählen beispielsweise Smart TVs, Medizingeräte, Hausgeräte, Autos und Industrieanlagen (Industrie 4.0).
Bezugnehmend auf das Thema IT-Sicherheit muss man ganz klar sagen, dass mit der Zunahme an internetfähigen Geräten, generell auch die Angriffsflächen wachsen. Von daher kann man aus dieser Sicht heraus das Thema IoT definitiv als Sorgenkind betrachten.
In unserem IoT-Labor der TÜV TRUST IT haben wir bereits einige IoT-Geräte für unsere Kunden getestet. In diesem Kontext trifft der Begriff „Sorgenkind“ jedoch nicht zu. Im Gegenteil: Die IoT-Produkte unserer Kunden haben sich sogar als sehr sicher erwiesen. Ich gehe jedoch stark davon aus, dass es einige Geräte auf dem Markt gibt, die hohe Defizite aufweisen, was die Sicherheit angeht. Dies spiegelt sich nicht nur in der Berichterstattung der Medien wider. Allein die Komplexität einiger IoT-Geräte bringt eben auch viele mögliche Einfallstore mit sich, die dann für Angriffe genutzt werden können. Aber auch der Kostenfaktor trägt oft zur Verschlechterung der IT-Sicherheit bei. Auf der einen Seite werden oft Software- und/oder Hardwarekomponenten verbaut, die kostenlos oder sehr günstig sind und dann schon bestehende Sicherheitsprobleme enthalten. Auf der anderen Seite sollte man bei IoT Projekten immer IT-Sicherheitsexperten hinzuziehen und dies ist ein zusätzlicher Kostenfaktor – egal ob das Thema durch interne Kräfte abgedeckt wird oder externe Berater hinzugezogen werden. Und davor scheuen sich viele Anbieter, da sie unter einem hohen Kostendruck stehen.
Was sind typische Gefahren bei unzureichend abgesicherten IoT-Produkten?
Hendrik Dettmer: An erster Stelle steht die Übernahme von Geräten durch unberechtigte Nutzer wie es beispielsweise bei Hausgeräten passieren kann. Stellt man sich vor, dass die Steuerung eines Herds durch einen Angreifer übernommen werden kann, könnte daraus ein Brand provoziert werden.
Auch Denial-of-Service Vorfälle, nach denen Geräte nicht mehr funktionieren, sind ein bedrohliches Szenario. Ist es beispielsweise möglich, die Funktion eines Herzschrittmachers zu deaktivieren, kommt nicht „nur“ der Verlust von Daten oder ein Sachschaden zustande, es geht dann um Menschenleben.
Welche Sicherheitsaspekte gehören zu den verbreitesten Schwachstellen der IoT-Geräte?
Hendrik Dettmer: Die größten Schwachstellen sind in nicht ausreichend geschützten Schnittstellen zu finden, wie beispielsweise zu Cloud-Lösungen. Ebenso kritisch ist der Einsatz von veralteter Software sowie ein unsicheres Backend. Und generell ist auffällig, dass immer noch Standard-Passwörter wie „12345“ oder Ähnliches verwendet werden. Davon sollte man unbedingt absehen.
Welche Vorgehensweise empfehlen Sie, um IoT-Devices bereits in ihrer technischen Konzeption mit dem notwendigen Sicherheitsprofil auszustatten?
Hendrik Dettmer: Besonders wichtig ist es, dass Schnittstellen von IoT-Geräten durch Verschlüsselungsmechanismen so gut wie möglich abgesichert werden. Und generell sollte Entwickler von Produkten mit Schnittstellen sparsam umgehen, um nicht von Vorneherein zu viele Einfallstore zu schaffen. Die Härtung der Geräte und andere Anforderungen zur IT-Sicherheit sollten schon in einer der ersten Planungsphasen unbedingt miteinbezogen werden. Hierzu sollten – falls vorhanden – entweder Experten aus dem eigenen Unternehmen oder externe Berater beauftragt werden. Auch wenn der Aufwand hierfür im ersten Augenblick hoch erscheint: Werden Sicherheitslücken erst zu einem späteren Zeitpunkt des Entwicklungszyklus entdeckt, ist das Nachrüsten wesentlich kostenintensiver, wenn nicht sogar unmöglich.
Doch selbst wenn man IT-Sicherheitsaspekte miteinbezieht, man braucht am Ende auch jemanden, der die Interessen aller Stakeholder wie beispielsweise Funktionalitäten, Usability etc. optimal orchestriert. Mit den Kompetenzen des Projektleiters steht und fällt das Projekt – das gilt für alle Teilbereiche, aber eben vor allem auch für die IT-Sicherheit.
Welche Zertifizierungsmöglichkeiten bestehen?
Hendrik Dettmer: Bisher gibt es kein Zertifizierungsverfahren einer staatlichen Organisation oder einer Akkreditierungsstelle. Es besteht jedoch die Möglichkeit, IoT-Devices durch eine unabhängige Prüfgesellschaft wie der TÜV TRUST IT zertifizieren zu lassen. Auf Grundlage des Anforderungskatalogs „Trusted IoT-Device“ prüfen wir im Rahmen einer Sicherheitsanalyse die zugrundeliegende Soft – und Hardware-Architektur des jeweiligen IoT-Devices gegen einschlägige Sicherheitsempfehlungen. Ziel dabei ist es, möglicherweise vorhandene konzeptionelle Schwachstellen zu identifizieren und im Nachgang Verbesserungspotenziale aufzuzeigen. Besteht das IoT-Gerät das Zertifizierungsaudit erteilen wir ein „Trusted IoT-Device“-Zertifikat.
Weitere Informationen zu unserer Zertifizierung “Trusted IoT-Device” finden Sie hier.