Cookie

Interview mit Marian Neubert, ehemaliger Security Consultant

Aus Fehlern lernen

Warum sich im industriellen Internet of Things (IIoT) nicht die Nachlässigkeiten aus dem Konsumenten-IoT wiederholen dürfen und welche Gefahren daraus entstehen könnten, weiß Experte Marian Neubert.

Herr Neubert, aus Ihrer Sicht sind die Sicherheitsrisiken im industriellen Internet of Things (IIoT) noch deutlich ausgeprägter als –aufgrund seiner Vernetzung – im ohnehin sehr angreifbaren IoT. Woran machen Sie das fest?

Nun, in der Branche kursiert ja nicht völlig grundlos die etwas überspitzte Interpretation des Begriffs Industrie 4.0: „Vierte industrielle Revolution – aber null Sicherheit“. Die massive Vernetzung stellt nur das eine Gefahrenmoment dar, es gibt allerdings noch Herausforderungen auf ganz anderen Ebenen.

… und zwar?

Da muss man beispielsweise nur mal aus Endverbraucher-Perspektive auf die IoT-Produkte schauen und die Erfahrungen, die man dort bereits machen konnte. Hier wurden in erster Linie möglichst preiswert produzierte Geräte in hoher Stückzahl verbaut. Solche Geräte und die damit verbundenen Dienste sind meist Insellösungen eines Herstellers, die auf proprietären Technologien und meist einer oder mehreren Plattformen von Drittdienstleistern basieren. Die dabei verwenden Softwarekomponenten stammen teils aus Open-Source-Projekten, welche dann oft mit eigenem Code ergänzt werden. Aufgrund der Marktsituation wurde hier viel mit der sprichwörtlich „heißen Nadel“ gestrickt.
Wenn die Basisfunktionalität dieser Geräte einmal halbwegs steht, kommen sie auf den Markt und – wenn überhaupt – gibt es vom Hersteller noch ein paar Firmware-Updates für später gefundene Sicherheitslücken. Aber auch dann sind automatische Update-Mechanismen eher die Ausnahme denn die Regel, das heißt, der Endanwender muss selbst aktiv werden. Schlimmstenfalls ist gar keine Updatemöglichkeit vorgesehen, was Angriffe zu einem leichten Spiel werden lässt. Das in Summe sind natürlich keinesfalls Rahmenbedingungen für IoT-Hardware im professionellen Industrieeinsatz. Aus diesen Erkenntnissen sollten Unternehmen unbedingt lernen. Denn hier geht es um mehr.

Was braucht der Industrieanwender stattdessen?

In erster Linie Geräte welche ein Mindestmaß an Sicherheitsmerkmalen aufweisen, die in der vernetzten IT-Branche seit Jahrzehnten üblich sind. Das ist aber nur die eine Seite der Medaille, denn auch die Lieferantenbeziehungen ändern sich im industriellen IoT. Stellen Sie sich vor, Sie bekommen allein mehrere hunderttausend Sensoren von einem einzigen Hersteller: Neben der Tatsache, dass bestimmte IoT-Geräte ohne Internetanbindung ggf. gar nicht ihre Arbeit verrichten können, hat man sich im schlimmsten Fall einen teuren Briefbeschwerer angeschafft, wenn ein Hersteller nicht mehr existiert oder den Dienst einstellt. Man muss immer im Blick haben, dass wir bei IoT von Massenware sprechen, sowohl in der Herstellung als auch in der Anwendung. Das darf aber nicht zur Folge haben, dass sicherheitsrelevante Aspekte ausgeblendet werden.

Ist es denn tatsächlich so, dass ein Sicherheitsbewusstsein beim Anwender nur mangelhaft vorhanden ist?

Nicht unbedingt mangelhaft vorhanden, vielfach ist es auch eine Verständnisfrage. Sicherheit im industriellen Kontext betraf in der Vergangenheit primär die Betriebssicherheit – auch Safety genannt. Da ging es darum, dass die Unternehmen Maschinen aufgestellt haben, die anschließend möglichst ohne Ausfälle oder lange Wartungszyklen ihre Dienste verrichten sollten. Dazu kommt - im Hinblick auf die Unversehrtheit der Mitarbeiter – die Herausforderung, sicherheitsgerichtete Systeme genau im Blick zu behalten und die Berufsgenossenschaften einzubeziehen – durch die steigende Vernetzung wird sich hier ein weiteres Betätigungsfeld ergeben. Der klassische Betriebsingenieur aus dem Bereich der Operational Technology (OT) definiert das Thema Sicherheit also anders, als wir das in der IT tun. Nun muss er plötzlich beide Ebenen im Blick haben. Bisher war das nicht zwingend nötig, wenn man die Fertigungsstrecke eines produzierenden Unternehmens als vom externen Netz isoliert betrachtet hat. Heute ist es indes dringlich, Aufklärungsarbeit zu leisten und die Digitalisierung der Fabrik unter Sicherheitsaspekten neu zu denken, wenn die Konvergenz von IT und OT gelingen soll.

Was schlagen Sie also vor?

Ein erster Schritt in die richtige Richtung wäre es, wenn sich etwa bei einer geplanten Digitalisierung der eigenen Produktionsstrecke sowohl die Maschinenhersteller als auch die eigenen Ingenieure mit den Kollegen der IT-Infrastruktur an einen Tisch setzen und ein gemeinsames Verständnis beider Welten entwickeln. Nur auf dieser Basis lassen sich weitere Schritte unter gleichzeitigem Halten oder Verbessern des Sicherheitsniveaus realisieren.

… und wenn, wie es bei vielen kleinen und mittleren Unternehmen der Fall ist, es an Security-Kow-how innerhalb des Unternehmens mangelt? Gerade im komplexen Bereich IoT-Security?

… dann sollte ein verlässlicher Partner aus dem IT-Security-Umfeld, der idealerweise schon die Herausforderungen aus gemeisterten Industrie 4.0-Projekten kennt, Bestandteil dieses Prozesses sein. Keine Frage: Es ist wichtig, dass dieser Prozess von Anbeginn mit viel Kompetenz begleitet wird. Gerade wegen des Missverständnisses zwischen Betriebssicherheit (Safety) und IT-Sicherheit (Security) begegnen viele Industrieunternehmen den neuen, teils unüberschaubar komplex wirkenden Aufwänden mit Skepsis. Oberstes Ziel sollte daher ein schlanker und mit überschaubaren Ressourcen realisierbarer Ansatz sein. Dieser ist schneller umzusetzen und gleichzeitig werden ausufernde Kosten vermieden.

Wie übersetzt man einen solchen Ansatz in der Praxis?

Indem das Industrieunternehmen, gegebenenfalls mit einem Partner, bereits vor der Umsetzung solcher Projekte die damit einhergehenden Risiken identifiziert, deren Tragweite erkennt und diese allen Beteiligten transparent darlegt. Man muss also bei den Ingenieuren ein Bewusstsein dafür schaffen, dass eine neue Form der IIoT-Security zwingend notwendig ist. Auf dieser Basis müssen nicht nur technische Maßnahmen geplant und umgesetzt, sondern auch organisatorische Aspekte zur laufenden Qualitätssicherung bedacht werden. Nicht zuletzt spielt auch das Thema Informationssicherheit und Datenschutz eine immer größere Rolle - gerade bei vertraulichen Produktionsdaten oder der potentiellen Überwachungsmöglichkeiten von Mitarbeitern.

Und auf Geräteebene, wie vermeidet man dort die von Ihnen angesprochenen Missgriffe aus dem Endverbraucher-Umfeld?

Im professionellen Einsatz sollten langlebigere und standardisierte Geräte beziehungsweise Dienstleistungen mit individualisierbaren Servicelevels im Vordergrund stehen. Hier kann der Hersteller durchaus auch Betreiber der zugrundeliegenden Infrastruktur sein und somit seine bestehende Produktpalette aufwerten. Als Anwender sollte nicht vergessen werden, dass man mit dem massenhaften Einsatz von Sensorik und Aktoren auch ein Fass hinsichtlich Datenschutz und Datensicherheit aufmacht.

Das heißt konkret?

Es müssen Fragen geklärt sein wie: „Wem gehören die Millionen an Daten, die dann tagtäglich generiert werden?“ oder „Was geht in diesem Gerät überhaupt konkret vor?“. So sollte von Anfang an Klarheit herrschen, welche Zuständigkeiten für welche Komponenten und Plattformen existieren und welche Inhalte über welche Kommunikationswege geschickt, gespeichert und verarbeitet werden. Nur so lässt sich eine sichere Architektur planen und betreiben. Bei Unternehmen, die IIoT-Produkte oder -Dienstleistungen nicht nur nutzen, sondern auch selbst vertreiben, kommt zudem die Haftungsfrage als Inverkehrbringer hinzu. Und erneut stellt sich die Frage, ob auch langfristig die Datenhoheit des Anwenders gesichert ist, denn ein Hersteller kann mithilfe von IoT-Geräten sehr detaillierte Nutzerprofile erstellen und zusammenführen. Falls ein Einbruch in die Datenbanken des Herstellers geschieht, fanden sich diese - zumeist sehr persönlichen Informationen - recht schnell öffentlich im Netz wieder. Ein weiterer möglicher Fall wäre, dass vernetzte Geräte eines Unternehmens auch plötzlich Teil eines Botnetzes werden und neben dem Imageschaden auch die interne und externe Kommunikation zum Erliegen bringen können. All diese Erfahrungen aus dem Konsumenten-Umfeld des IoT dürfen sich im Industrieumfeld nicht wiederholen.

Über den Experten

IoT und Sicherheit – sein Fachgebiet: Als Security Consultant war Marian Neubert für die Telekom MMS tätig. Er beschäftigte sich insbesondere mit der Machine-to-Machine-Kommunikation und deren Absicherung. Und auch schon vorher war er mehrere Jahre zuständig für die Planung, Koordinierung und Bereitstellung von unterschiedlichsten Projekten aus dem Managed Hosting-Bereich – alle mit dem Ziel, Anforderungen an die IT-Sicherheit kundengerecht umzusetzen.