IoT-Sicherheit durch Security by Design
0Der Security-by-Design-Ansatz stammt aus der IT und erlangt mit der zunehmenden Verschmelzung von IT und OT über das Internet of Things immer mehr Bedeutung, wenn industrielle Fertigungsprozesse, Automatisierungs- und Logistikanwendungen geplant werden. Schon bei der Entwicklung von Geräten, Anlagen und Kommunikationsinfrastruktur entsteht so die Basis für eine systematische Sicherheitsarchitektur.
Hacker nutzen gezielt Schwachstellen im IoT-Umfeld, um sich Zugang zu Unternehmensnetzen zu verschaffen. Denn in diesem Bereich wurden die Sicherheitsmaßnahmen bisher oft noch vernachlässigt. Einfallstore sind hier IoT-Geräte wie Netzwerkkameras, Gateways oder Maschinensteuerungssysteme. Viele dieser Geräte und Rechner erhalten zum Beispiel keine regelmäßigen Sicherheits-Updates oder haben offene Ports, die sich für einen unbefugten Netzzugriff anbieten.
Um das IoT-Netz vor Bedrohungen zu schützen, ist die Nachrüstung mit Sicherheitskomponenten um ein Gerät, eine Maschine oder Anlage herum der teurere Weg. Für das Retrofitting vorhandener Anlagen ist er zum Beispiel unumgänglich. Rüstet ein Hersteller oder Betreiber eine Anlage nach, müssen zusätzliche Komponenten und Verbindungen integriert werden. Zudem bringt eine Nachrüstung nicht die gleiche hohe Security-Qualität wie Design, das Sicherheit von Anfang an berücksichtigt. Platzsparender und sicherer ist somit der Schutz nach dem Security-by-Design-Prinzip.
Was bedeutet Security by Design?
Security by Design ist ein in der Hard- und Softwareentwicklung angewandtes Designkonzept. Es berücksichtigt die Sicherheit der Hard- oder Software schon im Entwicklungsprozess und integriert sie in den kompletten Lebenszyklus eines Produkts. Security by Design reicht somit von der Phase der Ideenfindung bis zum End of Life eines Produkts. Ziel ist es, Produkte zu entwickeln und auf den Markt zu bringen, die von Grund auf frei von Schwachstellen sind und sich gegenüber Angriffen und anderen Sicherheitsbedrohungen robust verhalten. Damit lassen sich hohe Kosten zur Beseitigung von Sicherheitsschwachstellen im späteren Projektverlauf sowie während Nutzung bzw. Betrieb der Hard- oder Software vermeiden. Außerdem werden die Lösungen platzsparender und energieeffizienter, wenn die Security bereits integriert ist und nicht erst nachträglich über Zusatzgeräte hergestellt werden muss.
Welche Design-Kriterien sollte das Security-by-Design-Konzept umfassen?
Ein sicheres Hardware- und Softwaredesign mit Validierungen und Plausibilitätsprüfungen sollte Pflicht sein. Zu den Designkriterien zählen beispielsweise:
- Minimierung der Angriffsfläche
- Nachvollziehbare Entwicklung
- Einsatz von Verschlüsselung und Authentifizierung
- Konsequente Datentrennung
- Isolation sicherheitsrelevanter Bereiche
- Monitoring-Fähigkeit
- Update-Fähigkeit
Die Produkte sind dabei so konzipiert, dass sich ihre Sicherheit regelmäßig überprüfen lässt. Das heißt, sie sollten zum Beispiel in ein Monitoring-System integrierbar sein. Netzwerk-Gateways oder IoT-Router mit integrierten Sicherheitsfunktionen sammeln etwa Daten der IoT-Endpunkte und übertragen sie für die Analyse sicher in das Netzwerk.
Damit wird klar: Hard- und Software-Entwickler achten bei einem Security-by-Design-Ansatz auf die Einhaltung vorab definierter Sicherheitsanforderungen und eine geeignete Sicherheitsarchitektur bei den Geräten, Maschinen oder Systemen. Es wird also nicht dem Zufall oder den Einschätzungen einzelner Entwickler überlassen, ob und in welchem Umfang Security-Funktionen in einem System implementiert werden. Stattdessen erstellt ein Team, etwa aus den Bereichen IT-Security, Entwicklung, Netzwerkadministration, Produktion und Produktmanagement, ein Modell mit möglichst allen Bedrohungen, denen das Produkt in seinem Lebenszyklus ausgesetzt sein wird („Threat Modelling“).
Wie lassen sich Geräte und Anlagen gezielt schützen?
Aus diesem Modell werden gezielt Maßnahmen abgeleitet, um Sicherheitsrisiken zu minimieren. Wichtige Punkte sind hier Firmware-Updates, Sicherheits-Patches und Softwareaktualisierungen. Es muss bis zum End of Life eines Produkts gewährleistet sein, dass diese bereitgestellt werden und einspielbar sind. Nur so lässt sich das Gerät oder die Anlage vor neu aufkommenden Angriffstypen schützen.
Die Angriffsfläche kann der Hersteller zum Beispiel minimieren, indem er überflüssige Komponenten weglässt oder deaktiviert und nur sichere Schnittstellen verwendet. Sowohl die gespeicherten Daten als auch die Kommunikation sollten verschlüsselt sein. Bei der Auswahl der Protokolle und Verschlüsselungsverfahren sollte das Team deren Stärken und Schwachstellen abwägen, nicht nur in Hinblick auf ihre Sicherheit, sondern auch – je nach Anwendung – zum Beispiel auf Latenzen.
Der Zugriff ist nur authentifizierten Nutzern oder Systemkomponenten erlaubt. Zugriffsberechtigungen für Personen wie Geräte sollten nach dem Least-Privilege-Prinzip vergeben werden. Das heißt, alle erhalten nur auf die Daten und Komponenten eine Zugriffsberechtigung, die sie für ihre Tätigkeiten unbedingt benötigen. Darüber hinaus kann zum Beispiel bei einer Automatisierungssoftware eine Sicherheitsfunktion integriert sein, die automatisch sämtliche Eingaben prüft, wobei sie nur erlaubte Zeichen oder Befehle zulässt. Das reduziert ebenfalls die Angriffsfläche. Zudem ist es sinnvoll, die Daten unterschiedlicher Anwendungen und Module sowie die Module selbst weitgehend getrennt voneinander zu halten und sicherheitsrelevante Bereiche zu isolieren.
Normen und Leitfaden zur Einführung von Security by Design
Die internationale Normenreihe IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ aus dem Jahr 2020 behandelt die IT-Sicherheit in der Automatisierung. Das Themenspektrum reicht von der Risikoanalyse über Best Practices bis hin zur sicheren Entwicklung von Produkten. Dadurch bietet die IEC 62443 Orientierungshilfe für Anlagenbetreiber und Gerätehersteller, um Security effektiv umzusetzen. Die größte Relevanz für Security-by-Design-Konzepte haben in dieser Reihe die IEC 62443-3 mit den Sicherheitsanforderungen an Automatisierungssysteme sowie die IEC 62443-4 mit den Sicherheitsanforderungen an Automatisierungskomponenten.
Darüber hinaus bietet der TeleTrust Bundesverband für IT-Sicherheit einen Leitfaden kostenlos zum Download für Firmen an, die Security by Design einführen oder ein auf Sicherheit bezogenes Produkt-Lebenszyklus-Management-System entwickeln wollen.
Fazit: So hilft Security by Design beim Thema IoT-Sicherheit
Mit Security by Design lassen sich zahlreiche Sicherheitsaspekte für IoT-Installationen abdecken. Doch IoT-Sicherheit umfasst darüber hinaus zum Beispiel noch das zentrale Thema Security Awareness des Personals, Netzwerkaspekte sowie das zentrale Zertifikatsmanagement. Einen Überblick hierzu bietet der Blogbeitrag „IoT-Sicherheit: So schließen Sie die wichtigsten Sicherheitslücken“.
Sie haben Fragen zum Thema IT-Security? Wir stehen Ihnen gerne beratend zur Seite: von der sicheren Implementation von IoT-Anwendungen bis hin zur Absicherung von Serverumgebungen.