INTERNET DER DINGE - INTERNET OF THINGS (IOT) - Herausforderung IT-Sicherheit FACHBROSCHÜRE
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
FACHBROSCHÜRE INTERNET DER DINGE – INTERNET OF THINGS (IOT) Herausforderung IT-Sicherheit www.kompetenzzentrum-cottbus.digital
IOT – HERAUSFORDERUNG IT-SICHERHEIT | 3
Vorbemerkung: Was ist das Internet der Dinge?
Die Heizung per Fernzugriff von Unterwegs einschalten, den Saug-
roboter per App steuern oder die Kaffeemaschine mit dem Wecker
vernetzen: Das Internet der Dinge (engl. Internet oft Things, Abk.: IoT)
erleichtert uns das Leben. Doch nicht nur privat. Auch die Industrie pro-
fitiert von „intelligenten“ und vernetzten Anwendungen. Smarte Pro-
duktionen sparen Energie, Zeit und Kosten. Möglich wird dies, weil das
IoT die reale mit der virtuellen Welt verbindet. Dazu werden „Dinge“
– in Unternehmen etwa Videokameras, Maschinensteuerungen oder
Waren im Lager – mit kleinen Chips, Datenspeichern oder Soft-
waresystemen ausgestattet und über das Internet miteinander
vernetzt. Dadurch kann jedes „Ding Informationen bereitstellen und
mit anderen vernetzten „Dingen“ kommunizieren. Das IoT macht viele
Anwendungen möglich, z. B. per App steuerbare Saugroboter, smarte
Toaster, selbstständig bestellende Kühlschränke, automatische Klima-
tisierung oder vernetzte Straßenlaternen. Es ist auch ausschlaggebend
für neue Möglichkeiten der Industrie 4.0, Smart-City-Anwendungen
oder e-Health. Im Einsatz bei Unternehmen der Industrie wird oft vom
IMPRESSUM „Industrial Internet of Things“ (IIoT) gesprochen, dessen Fokus z. B.
Herausgeber: sich selbst steuernde und organisierende Förderanlagen sind. Typische
Mittelstand 4.0-Kompetenzzentrum Cottbus Anwendungsfälle für (I)IoT-Lösungen liegen z. B. in der Automatisierung,
c/o Technische Hochschule Wildau
Hochschulring 1 Koordination, Dokumentation oder Remote-Steuerung von Anlagen.
15745 Wildau
Tel.: +49 3375 508782
Dadurch lassen sich Produktionsketten effizienter und effektiver ein-
Vertreten durch: Die Technische Hochschule Wildau ist eine Körperschaft des öffentlichen stellen und neue Geschäfts- und Servicemodelle werden möglich. Einen
Rechts. Sie wird nach außen durch die Präsidentin, Prof. Dr. Ulrike Tippe, vertreten.
tieferen Einblick finden Sie hierzu in der Fachbroschüre „Internet der
Zuständige Aufsichtsbehörde: Die Hochschule untersteht der Rechtsaufsicht des
Ministeriums für Wissenschaft, Forschung und Kultur des Landes Brandenburg. Dinge (Internet of Things) – Grundlagen, Anwendungsbereiche,
Potenziale“.
Autoren:
Jan Seitz, Sabrina Quaal, Alexander Dietrich Dieser großen bunten Welt der Möglichkeiten und Potenziale stehen
Satz/Layout:
aber auch Herausforderungen gegenüber. Sie sind etwa in der Produkt-
maerkbar – Cottbus auswahl, der Implementierung oder der konkreten Prozessintegration,
Bildnachweis: insbesondere jedoch im Bereich der IT-Sicherheit zu finden, da loT-Lö-
Umschlag: Darwin Laganzon – Pixabay sungen zwangsläufig verschiedene Systeme miteinander vernetzen. Hier geht es zur Fachbroschüre
Seite 3: Jordan Harrison – Unsplash
Seite 5: Boskampi – Pixabay Diese Fachbroschüre thematisiert daher die allgemeine Situation, ty- www.kompetenzzentrum-cottbus.digital/Media/
Seite 8: Andre Taissin – Unsplash public/Website/Upload/Broschuere_IoT.pdf
pische Stolpersteine und mögliche Lösungsansätze für die Erhöhung
Seite 11: Eigene Dartstellung
Seite 12: Fotos Alexander Dietrich der IT-Sicherheit im Zusammenhang mit IoT-Lösungen.
4 | IOT – HERAUSFORDERUNG IT-SICHERHEIT IOT – HERAUSFORDERUNG IT-SICHERHEIT | 5
Sicherheitsherausforderungen Sicherheitslücken
in vernetzten Systemen
Nach Harry Sneed, einem Pionier der Software-Testtechnolo- Software und auch weitere Komponenten mit eigenen Codes,
gie, stecken in 1.000 Zeilen Programmcode durchschnittlich sodass die Gesamtzahl der notwendigen Codezeilen für einen
Moderne Systeme sind in der Regel ganz oder teilweise soft- Viele Unternehmen investieren in ihre IT-Sicherheit. Da dürfte 7 Programmierfehler, wobei die Bandbreite von 0,2 Fehlern in gegebenen Anwendungsfall (z. B. Aufnahme eines Videos über
waregetrieben, rein mechanische Komponenten werden im- die Gefahr eines Hacker-Angriffs über IoT-Geräte, wie den smar- sicherheitskritischer Software (z. B. militärische Systeme) bis zu eine fest installierte Kamera, Verarbeitung auf einem Windows-
mer seltener. Mit dem Ansatz, alles „smarter“, also intelligen- ten Kühlschrank, eher eine Gefahr für Privatpersonen sein? Ein 18 Fehlern in Webapplikationen, auf die der Webbrowser zugreift Rechner und Speicherung in einer Datenbank) problemlos 100
ter zu machen, werden Alltagsgegenstände mittels Sensoren Blick in die Praxis zeigt jedoch, dass es auch bei Unternehmen (z. B. Webmail oder Online-Shops) reicht. Diese Programmier- Millionen überschreiten kann – mit entsprechendem Fehlerpo-
programmiert und über das Internet vernetzt. Längst haben zu großen Sicherheitslücken kommen kann: Wie viele Unter- fehler entstehen aus menschlichen Fehlern ganz natürlich in der tenzial. Software ist somit per se unsicher, zumal sie in der Regel
viele Akteure erkannt, dass die Nutzung von (Echtzeit-) Daten nehmen kennen sämtliche in ihrem Netzwerk aktiven Geräte Programmierung und werden bei Tests oft nicht entdeckt, wenn nie „fertig“ ist, sondern immer wieder aktualisiert und erweitert
erhebliche Potenziale aufweist. So gibt es zum Beispiel smarte und überwachen diese ständig? Tatsächlich sind die möglichen sie nicht wesentliche Fehlfunktionen verursachen. wird, oft auch mit „Add-Ons“ oder „Plug-Ins“ von Drittanbietern,
Bohrmaschinen, welche sich über eine App einstellen lassen Einfallstore gar nicht bekannt. „Hand auf‘s Herz“ – wie steht es Nimmt man nun Windows 10 mit geschätzten 50 Millionen die wiederum neue Fehler mitbringen können.
und das notwendige Drehmoment für ein „optimales Bohr- oder in Ihrem Unternehmen? Ist IT-Sicherheit vollständig beherrscht Codezeilen, dann sind in diesem Code – die durchschnittlichen
Schraubergebnis“ automatisch bestimmen. Auch die zentrale oder sind eher Verbesserungen notwendig? 7 Fehler je 1.000 Zeilen Code angenommen – 350.000 Fehler ver- Natürlich schließen die meisten Hersteller mit „Updates“ (Ak-
Fernsteuerung von Geräten und Anlagen, z.B. im Bereich des Einfallstore gibt es auf Grund der Digitalisierung immer mehr, borgen. Hinzu kommen in der Regel Gerätetreiber, spezialisierte tualisierungen) und „Patches“ (Fehlerbehebungen) regelmäßig
Smart Home, stößt derzeit auf großes Interesse. Solche Syste- aus denen sich die Notwendigkeit entsprechender Maßnahmen
me sind jedoch grundsätzlich anfällig für (un-)absichtliche ableitet. Vielen Unternehmen ist dabei nicht bewusst, wie at-
Konstruktions- und Programmierfehler, die Sicherheitslü- traktiv sie für mögliche Angreifer sein können. Auch ein Unter-
cken mit sich bringen und die Nutzenden angreifbar machen. nehmen ohne eigene Entwicklungsabteilung, kann aufgrund
Solche Sicherheitslücken lassen sich oft auch bei höchster von Kundendaten einen Angriff interessant machen, wenn er
Sorgfalt nicht vermeiden, wie später noch ausgeführt wird. Die aufwandsarm durchgeführt werden kann. Auch die Verschlüs-
Nutzung von modernen Systemen, z. B. von smarten Geräten, selung von Daten zur Erpressung von Lösegeldern kann selbst
ist deshalb grundsätzlich mit Risiken verbunden. bei kleinen Unternehmen lukrativ sein. Zudem sind Kollateral-
Dies gilt umso mehr, da diese Systeme in aller Regel vernetzt, schäden nicht unüblich, wenn z. B. Viren oder Trojaner ganz
überwiegend sogar mit Internetzugang ausgestattet sind. Das „herkömmlich“ eindringen, ohne dass das Unternehmen wirk-
wird insbesondere dann ein Problem, wenn die Systeme z. B. in lich gezielt angegriffen worden wäre.
das Firmennetzwerk eingebunden sind. Angreifer müssen sich Die Verhinderung solcher Vorfälle stellt alle Akteure von Kleinst-
dann mitunter gar nicht durch diverse Sicherheitsbarrieren (z. B. bis Großunternehmen vor eine Herausforderung. Die Dynamik
Firewall) durchkämpfen, sondern können über einzelne schlecht ist hoch, die IT-Sicherheit muss dem technologischen Fort-
oder nicht ausreichend gesicherte Geräte eindringen. Bereits vor schritt angepasst werden. Nicht jedes Unternehmen hat hierfür
einigen Jahren gab es die ersten Vorfälle von gehackten Kühl- die nötigen Fachkräfte und Ressourcen. Aber selbst mit aus-
schränken und Kaffeemaschinen, über die in Netzwerke einge- reichend Fachkräften und Ressourcen ist die Verhinderung von
drungen wurde. Wann wird die smarte Bohrmaschine zum Sicherheitsproblemen in vernetzten Systemen immer ein Wett-
Einfallstor – oder ist sie es bereits? lauf gegen die Zeit und gegen Unbekannt – gegen unbekannte
Angreifer und (in der Regel) unbekannte Sicherheitslücken.
6 | IOT – HERAUSFORDERUNG IT-SICHERHEIT IOT – HERAUSFORDERUNG IT-SICHERHEIT | 7
Stellenwert von Sicherheit?
Lücken und beheben Probleme, eine „fehlerfreie“ oder „lücken- wender gefunden, durch gezielte Suche Dritter aufgedeckt oder
lose“ Software ist auf absehbare Zeit aber ein Wunschtraum. automatisch identifiziert, z. B. von Codecheckern – Anwendun-
Sicherheitslücken können zudem durch die Verwendung von gen, die Programmcode auf Fehler hin untersuchen. Sie wer-
Software für nicht-vorgesehene Zwecke entstehen oder wenn den entweder geheim gehalten oder veröffentlicht, woraufhin
beispielsweise Software genutzt wird, die keine Aktualisierun- Hersteller in der Regel Sicherheitsupdates bereitstellen. Diese Wenn Sicherheitslücken nicht vermeidbar sind – wie gehen wir Sicherheit ist ein Kompetenz- und Ressourcenproblem:
gen mehr erhält (z. B. Windows XP, welches immer noch auf müssen jedoch noch installiert werden, was nicht alle Unter- dann mit dem Thema Sicherheit und Schutz in unseren Netz- Kompetenz ist das richtige Stichwort, denn Sicherheit muss
mehr als einem Prozent aller Rechnersysteme weltweit genutzt nehmen zeitnah realisieren (können). Generell können viele werken um? Welchen Stellenwert hat die Sicherheit? Diese Frage oft mehrschichtig gewährleistet werden. Vernetzte Systeme
wird, u. a. auch in Anlagensteuerungen und Industrieanlagen, Sicherheitslücken auch extern adressiert werden (z. B. durch muss jedes Unternehmen für sich selbst beantworten. Einige erfordern vernetztes Denken, viel Erfahrung, erhebliche IT-
obwohl es seit dem 08.04.2014 nicht mehr von Microsoft unter- Vorschaltung einer Firewall und der gezielten Blockierung ein- der üblichen Aspekte hierbei sind die folgenden: Kompetenzen und den nötigen Freiraum, sich auch wirklich
stützt wird). zelner Ports), zuverlässiger ist aber die Schließung der Lücke. mit Sicherheit auseinandersetzen zu können. „Der IT-Admin
Sicherheitslücken werden in der IT-Branche kaum thematisiert. Sicherheit ist ein Kostenfaktor: Sicherheit kostet Geld. Si- für den ganzen Betrieb“ hat eher nicht die Möglichkeit, neben-
Nicht alle Sicherheitslücken sind ein Sicherheitsproblem. Aller- Dabei ist die Zahl von IT-Angriffen nicht zu unterschätzen. Auch cherheitsfunktionen zu entwickeln, zu implementieren, zu tes- bei auch noch Sicherheitsthemen zu betreuen. Unternehmen
dings sind Fehler, die die Ausführung von Schadcode erlauben, Hardware-Schwachstellen wie Intels „Spectre“ und „Meltdown“ ten und dauerhaft aktuell zu halten erfordert beim Hersteller müssen verstehen, dass beim Einsatz von IT die Aspekte „es
kritisch. Sicherheitslücken werden entweder zufällig durch An- beschäftigen uns noch heute. erhebliche Ressourcen, die sich im Produkt- und / oder Sup- funktioniert“, „es ist sicher“ und „es ist leicht zu handhaben“
portpreis niederschlagen. Oft werden fertige Standardkom- fast so etwas wie ein magisches Dreieck bilden, bei dem im-
ponenten (etwa Kommunikationsprotokolle) genutzt, sodass mer nur zwei Aspekte gleichzeitig realisiert werden können.
Fehler in diesen Komponenten mehrere Millionen Geräte be-
Weitere Informationen zu Sicherheitslücken: treffen können. Zudem ist Sicherheit häufig ein nachgelager- Sicherheit ist ein Anwenderproblem: In der Community
ter Schritt und nicht integraler Bestandteil der Produktent- gab es schon immer einen geflügelten Ausspruch im Sinne
Ein Überblick zur Fehlerhäufigkeit in Programmcode wicklung, mit negativen Folgen für die Wirksamkeit. Sicherheit von „das Problem sitzt oft vor dem Computer“. Sicherheit ist
http://greiterweb.de/spw/Software-Fehler-Dichte.htm „by design“ ist unüblich. Geradezu sträflich sind die häufigen maßgeblich ein menschlicher Faktor, wobei der Mensch Sys-
Fälle, in denen verfügbare Sicherheitsfunktionen ab Werk de- teme sowohl sicherer, als auch unsicherer machen kann. Das
Der Flughafen BER nutzt stellenweise noch Windows XP aktiviert sind oder auch erst als ergänzende Leistungspakete beste Sicherheitskonzept nutzt nichts, wenn die Mitarbeiten-
https://www.zdnet.de/88388405/19-jahre-windows-xp-kein-glueckwunsch/ (z.B. Datenverschlüsselung) zugekauft werden müssen. den sich nicht an die Regeln halten. Provokativ kann ergänzt
werden: „Selten ist ein Mensch so kreativ, wie wenn er eine
Übersichtsartikel zum Umgang mit Sicherheitslücken Sicherheit ist schwer nachprüfbar und beeinflussbar: Für Abkürzung finden muss.“ Hierbei ist aber nicht zu vergessen,
https://www.heise.de/ct/artikel/Vom-Umgang-mit-Sicherheitsluecken-4537895.html Anwender besteht meist nur die Möglichkeit, den Sicherheits- dass auch Sicherheitskonzepte Hand und Fuß haben müssen.
versprechen der Hersteller zu glauben und zu hoffen, nicht Die häufige Nutzung von Privatrechnern statt Dienstrechnern
BSI verschweigt jahrelang Sicherheitslücken in TrueCrypt eines Besseren belehrt zu werden. Kaum ein Unternehmen in Zeiten des Home-Office, weil beispielsweise die Unterneh-
https://www.golem.de/news/verschluesselungssoftware-bsi-verschweigt-truecrypt-sicherheitsprobleme-1912-145486.html kann sich umfangreiche Sicherheitstests (z. B. Penetrations- mensrichtlinien die Nutzung einer bestimmten Plattform für
tests) leisten. Die Softwarelösungen sind zumeist „closed Webmeetings nicht zulassen (diese aber von z. B. Geschäfts-
E-Mail kann iPhone oder iPad übernehmen, kein Patch verfügbar source“ (und damit nicht einsehbar). Selbst wenn der Quell- partner:innen genutzt wird), ist ein bekanntes Beispiel für
https://www.mactechnews.de/news/article/Vollzugriff-E-Mail-kann-iPhone-und- code einsehbar wäre gilt, dass nur wenige Personen die Kom- schlechte Regeln und den schlechten Umgang mit Regeln.
iPad-uebernehmen-kein-Patch-verfuegbar-174883.html petenz haben, hierin (potenzielle) Sicherheitslücken zu identi-
fizieren, ganz zu schweigen von der Möglichkeit, diese dann Sicherheit ist nicht „spannend“: 20 Megapixel sind span-
Analyse: Meltdown und Spectre sind ein Security-Supergau auch zu schließen. Sicherheit ist also ein Versprechen, dem nend. Ein Dashboard ist spannend. Automatische Reports,
https://www.heise.de/security/meldung/Analyse-zur-Prozessorluecke-Meltdown- man (miss-) trauen muss. Push-Nachrichten und Remote-Zugriff sind spannend. Sicher-
und-Spectre-sind-ein-Security-Supergau-3935124.html heit kann man in der Regel nicht sehen (allenfalls in zusätz-
8 | IOT – HERAUSFORDERUNG IT-SICHERHEIT IOT – HERAUSFORDERUNG IT-SICHERHEIT | 9
Handlungsmöglichkeiten
lichem Aufwand, weil beispielsweise ein kompliziertes Pass- Weil der falsche Umgang mit Sicherheit tiefgreifende Folgen ha-
wort erforderlich ist). Das ist eine Frage der Einstellung und ben kann (einige Beispiele finden Sie folgend verlinkt), ist es vor
der Wertschätzung, die in Zukunft immer wichtiger werden allem wichtig, Verantwortung zu übernehmen. Diese Verantwor-
wird. Mit zunehmender Verbreitung von IoT-Geräten werden tung kann mit einem „ja“ oder einem „nein“ zu Sicherheit beant-
sogar unternehmerische Existenzen davon abhängig sein, wortet werden – aber es sollte eine bewusste Entscheidung sein. Sicherheit (z. B. der eigenen Produkte und Prozesse) ist ein es- Wissen und Kompetenz aufzubauen und weniger von Dritten
dass Sicherheit vielleicht doch mal „notgedrungen spannend“ Alles andere ist in der fortschreitenden Digitalisierung und der senzieller Bestandteil des Unternehmenserfolgs. Wer IoT-Lösun- (z. B. externen Expert:innen) abhängig zu sein.
wird. zunehmenden Verbreitung von IoT-Lösungen unverantwortlich. gen im Unternehmen einsetzen will, sollte sich folglich intensiv
mit IT-Sicherheit auseinandersetzen. Sind IoT-Lösungen nun un- Blacklist und Whitelist: Halten Sie nach, welche Hersteller,
Erkennen Sie sich, Ihre Mitarbeitenden oder einfach auch Dis- attraktiv? Ja und nein. Wer sich bei den vorherigen Seiten selbst Produkte und / oder Systemkomponenten mit positiven und
kussionen im Unternehmen teilweise wieder? Es gibt bisher dabei erwischt hat, von dem Thema genervt oder über das „Salz negativen Schlagzeilen von sich reden machen. Schenken Sie
keine Patentlösung, jedes Unternehmen muss seinen eigenen in der Suppe“ vielleicht sogar regelrecht wütend zu sein, der Vertrauen, aber prüfen Sie auch regelmäßig, ob dieses Vertrau-
Weg finden, mit Sicherheit umzugehen. Und: Investieren Sie an sollte den Nutzen und die potenziellen Kosten einer IoT-Lösung en gerechtfertigt ist. Bauen Sie langfristig eine eigene Blacklist
den richtigen Stellen? nochmal gut hinterfragen. Wer eine gewisse Skepsis gegenüber (zu meidende Hersteller, Produkte oder Komponenten, z. B.
IT-Sicherheit entwickelt hat und endlich Lösungen will, bringt bestimmte Kommunikationsprotokolle) und Whitelist (vertrau-
eine gute Einstellung für die Digitalisierung mit – denn Heraus- enswürdige Hersteller, Produkte oder Komponenten) auf, um
forderungen verschwinden nicht, wenn man nicht über sie re- sicherheitskritische Entscheidungen schnell und anhand lang
det. Auf der anderen Seite der Herausforderung „IT-Sicherheit geprüfter Kriterien treffen zu können. Hierbei ist generell Au-
im Internet der Dinge“ wartet nämlich die große bunte Welt der genmaß gefragt, denn es gibt noch keine Kriterien, nach denen
Industrie 4.0 mit ihren smarten Geräten, vernetzten Anlagen, IoT-Geräte offiziell als „sicher“ eingestuft werden können.
Schwachstellen in Standardkompo- Echtzeitdaten, Fernzugriffen, Selbstregulierung und und und...
nenten, 2 Mio. IoT-Geräte betroffen In diese Welt nachhaltig einzutauchen erfordert es aber, Sicher- Die Kosten für Sicherheit tragen: Sicherheit kostet und ge-
https://www.security-insider.de/2-mil- heit als geldwertes Gut zu begreifen, das Wert schützt und nerell betrachtet bekommen Sie an Sicherheit das, was Sie
lionen-iot-geraete-von-schwachstellen- schafft. Der Schutz ist offensichtlich: Wo Sicherheit herrscht, kann auch dafür bezahlen. Bezahlen Sie den Preis und finden Sie
betroffen-a-830598/ nur schwer Schaden entstehen. Das Schaffen erfordert mitunter Wege, diesen marktseitig wieder zu refinanzieren. Nutzen oder
etwas Kreativität: Etwa in Form neuer Geschäftsmodelle, neuer entwickeln Sie Methoden zur Ermittlung der Wirtschaftlich-
Marketingansätze oder schlichtweg durchgehend guter Kunden- keit, die Sicherheit nicht nur als Kostenfaktor berücksichtigen.
referenzen, aus denen weitere Projekte generiert werden können.
Wer in Sicherheit investieren will und kann, dem stehen grund- Testumgebungen nutzen: Nutzen oder erschaffen Sie selbst
IoT-Thingbots sind jetzt die größte sätzlich unterschiedliche Lösungsansätze offen, die folgend Testumgebungen, um neue Produkte einzeln oder im Verbund
Gefahr für das Internet (ohne Anspruch auf Vollständigkeit) dargestellt sind: „auf Herz und Niere“ zu testen. Die Produktion ist der falsche
https://www.it-daily.net/it-sicherheit/ Ort, um neue Produkte erstmalig einzusetzen.
cybercrime/20291-iot-thingbots-jetzt-gro- Recherche und Austausch: Bauen Sie eine eigene Wis-
esste-gefahr-fuer-das-internet sensbasis zum Thema „Sicherheit im Internet of Things“ auf. Zero Trust: Seien Sie dennoch sparsam mit Ihrem Vertrauen.
Dokumentieren Sie Vorfälle bei anderen Unternehmen und „Zero Trust“ – vollständiges Misstrauen – mag übertrieben
bei sich selbst, sammeln Sie Sicherheitslösungen und Best wirken, insbesondere wenn z. B. nach Ihren Recherchen dem
Practices. Tauschen Sie sich mit anderen Unternehmen und Hersteller vertraut werden kann und auch diverse Tests die
Expert:innen aus, besuchen Sie Fachmessen. Ziehen Sie die Sicherheit bestätigt haben, aber eine Schutzschicht mehr ist
für Sie notwendigen Informationen selbst zusammen, um so besser als eine Schutzschicht weniger.10 | IOT – HERAUSFORDERUNG IT-SICHERHEIT IOT – HERAUSFORDERUNG IT-SICHERHEIT | 11
Retrofitting
Marktbeobachtung: Beobachten Sie den Markt. Wie ist die man-Machine-Teaming. Gehen Sie genauso mit der Zeit, wie
Dynamik? Wie lange halten Anbieter durch? Wer kauft wen und die Angreifer:innen es tun.
wie verändert das die Produkte (Anmerkung: anfangs sinkt oft
die Qualität)? Welche Interessen stehen hinter den Anbietern Betreiben Sie Risikomanagement: Analysieren Sie, welche
und welche Visionen? Wie entwickeln sich Gesetze und Re- Risiken sich aus IT-Sicherheitsproblemen ergeben können. Er- Durch den von Computer- und Digitaltechnik geprägten Fort- len bzw. zu erhöhen. Das intelligente Retrofitting konzentriert
gularien, was ist am Entstehen? Lassen Sie die Erkenntnisse greifen Sie passende präventive und reaktive Maßnahmen, um schritt verändern und erhöhen sich die Anforderungen an Ma- sich darauf, Bestandsmaschinen mit Sensorik und Kommuni-
in Ihre Black- und Whitelist einfließen. Merken Sie sich aus- Vorfälle zu verhindern oder, wenn das nicht möglich ist, deren schinen und Anlagen. Maschinenen müssen heute jeden einzel- kationstechnik auszustatten, um relevante Prozessparameter zu
sichtreiche Kandidaten vor, um diese bei der nächsten guten Auswirkungen zu minimieren. Passen Sie Ihr Risikomanage- nen Prozessschritt überwachen, dokumentieren und frühzeitig erfassen, zu verarbeiten und zu speichern. Daraus ergeben sich
Gelegenheit auf die Probe zu stellen. ment immer wieder neuen Entwicklungen an. auf Fehler oder anstehende Instandhaltungsarbeiten hinweisen. verschiedene Chancen und Risiken, die anhand eines Beispiels
Gerade kleine und mittlere Unternehmen stehen vor der Her- dargestellt werden sollen.
IT-Sicherheitskompetenzen ausbauen: Finden oder bil- Nutzen Sie die Angebote Dritter: Wenn Sie eigene Maßnah- ausforderung, Anlagen und Maschinen weitestgehend zu digi- In diesem Beispiel wird an einer handelsüblichen Standbohr-
den Sie eigene Fachkräfte aus. Niemand kennt das Netzwerk men nicht umsetzen können oder wollen, dann ist die Einbin- talisieren, nicht aber funktionierende Bestandsanlagen durch maschine (siehe Abbildung 1) ein Retrofitting durchgeführt. In
besser als derjenige, der es aufgebaut hat und administriert. dung vertrauenswürdiger Dritter eine gute Wahl. Von der Versi- neue ersetzen zu wollen oder zu können. der Maschine befindet sich eine integrierte Steuerung, die für
Machen Sie sich unabhängig von IT-Dienstleistern am Markt, cherung von Risiken bis zum kompletten IT-Outsourcing kann es Dadurch wurde das „Retrofitting“ zu einem zentralen Konzept die Datenerfassung der Drehzahl sowie der aktuellen Bohr-
wenn möglich, und bieten Sie darauf aufbauend vielleicht so- unterschiedliche Optionen geben, die für Sie generell oder über- der digitalen Transformation: Im traditionellen Sinn bezeichnet kopfhöhe zuständig ist. Um nicht in den Prozess der Steuerung
gar neue Services an. Investieren Sie auch in ein Grundniveau gangsweise die optimale Lösung sind. Hüten Sie sich aber den- Retrofit den Austausch von Teilkomponenten einer Maschine einzugreifen wird die Maschine um eine weitere Steuerung und
an IT-Sicherheitsverständnis bei ALLEN Mitarbeitenden. noch davor zu viel aus der eigenen Hand zu geben, sonst sind Sie oder Anlage. Das Ziel, die Genauigkeit, die Handhabung, die Ge- ein IoT-Gateway erweitert. Die zusätzliche Steuerung liest die
im Zweifel zu sehr von der Leistungsfähigkeit Außenstehender schwindigkeit oder die Wartungsfreundlichkeit wiederherzustel- Daten der bereits vorhandenen Steuerung über ein spezifisches
Nutzen Sie neue und Best-Practice-Sicherheitsmaßnah- abhängig und selbst vielleicht nicht mehr handlungsfähig.
men: Lernen Sie von den Erfolgreichen. Implementieren Sie
Maßnahmen wie die Überwachung des Netzverkehrs auf An- Natürlich ist die Umsetzung einer oder mehrerer dieser Hand-
omalien oder die Kombination von Mensch und KI, das Hu- lungsempfehlungen mit Aufwand verbunden, den sich das Unter-
nehmen auch leisten können muss. Auch wird nicht jedes Unter-
nehmen jeden Lösungsansatz selbst umsetzen können, sondern
IntegrierteE
Nur 6 % der deutschen Unternehmen sehen sich mitunter auf externe Hilfe angewiesen sein. Hierbei gilt: Machen Steuerung
Stromdaten Motor
in IoT-Sicherheit gut aufgestellt Sie so viel wie möglich. Wenig ist in diesem Fall nicht mehr, son-
https://www.funkschau.de/sicherheit-daten- dern eben wenig. Bauen Sie eigenes Know-how auf oder finden
schutz/94-prozent-der-deutschen-unternehmen-se- Sie Personen (oder Dienste) mit viel Know-how, denen Sie ver-
hen-handlungsbedarf.179530.html trauen können. Drehzahl, Bohrkopfhöhe
Schwache IT-Sicherheit ist günstig, schnell und vielleicht (zu- Temperaturen
Kurzer Abriss zu Human-Machine-Teaming nächst) ausreichend. Doch IT-Sicherheit muss immer mit den An-
IoT Gateway
https://www.it-daily.net/it-sicherheit/cloud-securi- forderungen und mit der Zeit gehen. Und sie muss gelebt werden.
ty/20693-mensch-maschine-teaming-gegen-cyber- Nur so lassen sich Attacken abwehren. Dies gilt natürlich nicht
bedrohungen nur, wenn gänzlich neue Geräte angeschafft werden, sondern Zusätzliche angebrachte
Steuerung
auch dann, wenn „alten“ Geräten ein „zweites digitales Leben“ Abbildung 1: Beispiel-
hafte Darstellung von
Kurzer Abriss zu Zero Trust eingehaucht wird – etwa durch Retrofitting. Nun soll es darum
Sensordatenerfassung
https://www.security-insider.de/was-ist-ein-zero- gehen, wie die Thematik von IoT und Sicherheit bei der Einbin- und -verarbeitung beim
RFID, Bohrtischhöhe
trust-modell-a-752389/ dung von Geräten aussieht, die bisher noch gar kein IT kannten? Retrofit12 | IOT – HERAUSFORDERUNG IT-SICHERHEIT IOT – HERAUSFORDERUNG IT-SICHERHEIT | 13
Protokoll aus. Nachträglich angebrachte Sensoren erfassen 3. Ausfallzeiten reduzieren. Die Überwachung verschleißan- 2. Datenschutz. Werden durch das Retrofitting personenbe-
weitere Prozessparameter der Maschine. Dadurch können nun fälliger Bauteile erlaubt es, im Sinne der „vorausschauenden zogene Daten erfasst, erfordert das laut Datenschutzverord-
zusätzlich die Daten der Motorleistung, der Bohrtischhöhe, der Instandhaltung“ Vorkehrungen zur Wartung schon im Vorfeld nung (DSGVO) die Einwilligung der betroffenen Personen.
Motortemperatur und der Raumtemperatur überwacht werden. zu treffen, bevor das relevante Bauteil ausfällt, um die Still- Außerdem ist die Zustimmung des Betriebsrates einzuho-
Zudem wurde die Maschine mit zwei RFID-Lesegeräten nach- standzeiten zu reduzieren. len, wenn durch Retrofit Verhalten und Leistung der Mitar-
gerüstet. Jeweils ein Lesegerät ist zuständig für die drahtlose beiter:innen überwacht werden können (direkt und indirekt).
Benutzerauthentifizierung und zum Anmelden eines Auftrags 4. Qualität steigern. Durch eine Zugangsbeschränkung nur für Weitere Informationen sind dem VDMA-Leitfaden Daten-
an der Maschine. Allein diese eher kleinen Anpassungen bringen autorisierte Benutzer mit speziellen absolvierten Schulungen schutz zu entnehmen.
verschiedene Vorteile bzw. Chancen mit: oder bestimmten Voraussetzungen kann einer fehlerhaften
Nutzung vorgebeugt werden. Die Verknüpfung von Benut- 3. IT-Sicherheitslücken. Die Digitalisierung von Maschinen
1. Kosten einsparen. Erhebliche Kosteneinsparung von Retro- zern mit Aufträgen erlaubt zudem eine präzisere Steuerung und Anlagen und die Erreichbarkeit aus dem Internet birgt
fit gegenüber einer Neuanschaffung. Anstatt die Bohrmaschi- und Auswertung der Produktion. den Nachteil, dass sie die Angriffsfläche gegenüber mögli-
ne gegen eine neue Maschine zu ersetzten, verhilft Retrofit chen Cyberattacken erhöht. Das Thema IT-Sicherheit muss
der Maschine zu einer verlängerten Lebensdauer. 5. Kenntnisse der Mitarbeiter behalten ihren Wert. Ein Aus- in vernetzten Unternehmen einen hohen Stellenwert haben.
tausch von Maschinen ist oft mit neu zu lernenden Handgrif- Was insbesondere auch für das Retrofitting gilt.
2. Potenzial für Verbesserungen. Die Digitalisierung der ein- fen verbunden. Durch die Weiterverwendung der Maschine
zelnen Prozessparameter schafft eine Grundlage für weitere kann jahrelang gewonnenes maschinenspezifisches Wissen Natürlich steht die Standbohrmaschine in diesem Beispiel nur
Optimierungsansätze, z. B. zur Darstellung als digitaler Zwil- weiterverwendet werden. symbolisch für jede andere veraltete Maschine. Je größer und
ling, um etwa neue Prozessparameter im Digitalen simulieren wertvoller die Maschine ist, desto lukrativer ist Retrofitting. Ins-
zu können, bevor sie im Analogen getestet werden. Solche ersten Anpassungen eröffnen zumeist weitere Digitali- besondere Unternehmen, denen (aktuell) die finanziellen Frei-
sierungsprojekte, etwa die Einblendung von Produktionsdaten heiten für größere Investitionen fehlen, können von Retrofit pro-
im Sichtfeld mittels Augmented-Reality-Lösungen oder eben fitieren. Dabei gilt natürlich auch, dass durch Retrofitting neu
auch die Echtzeitüberwachung der „digitalen Kopie“ der Bohr- vernetzte Geräte auch in Fragen der IT-Sicherheit betrachtet
maschine, des digitalen Zwillings (siehe Abbildung 2). werden müssen.
Allerdings gibt es dabei auch diverse Risiken:
1. CE-Konformität/Betriebssicherheit. Grundsätzlich gibt
es drei Vorschriften, die einen Umbau von Maschinen regeln:
die Maschinenrichtlinie (MRL 2006/42/EG), die Betriebssicher-
heitsverordnung (BetrSichV) und das Produktsicherheitsge- Zum Retrofit-Leitfaden des VDMA
setz (ProdSG). Dabei müssen Gefahren und Risiken mitunter https://industrie40.vdma.org/docu-
neu bewertet werden. Liegt eine wesentliche Änderung vor ments/4214230/55119136/Leitfaden_I40_Retro-
(Gefahr oder Risiko haben sich geändert) so muss die Ma- fit_Final_1604655010496.pdf
schine wie eine neue behandelt werden und unterliegt somit
den Vorschriften zum Inverkehrbringen einer Maschine. Die Zum Datenschutz-Leitfaden des VDMA
Augmented-Reality-Anwendung mit Echtzeitüberwachung Digitaler Zwilling mit Echtzeitüberwachung
ausführliche Erklärung zu dieser Thematik können Sie im Re- https://industrie40.vdma.org/docu-
Abbildung 2: Digitalisierung als Grundlage für die Anwendung eines digitalen Zwillings und einer erweiterten Realitätsanwendung (Augmented Reality) trofit-Leitfaden lesen (s.u.). ments/4214230/26342484/Leitfaden_Daten-
für mobile Endgeräte schutz_Industrie_40_1529498363948.pdf14 | IOT – HERAUSFORDERUNG IT-SICHERHEIT IOT – HERAUSFORDERUNG IT-SICHERHEIT | 15
Zwischenfazit und Ausblick Weiterführende Links (Auswahl)
In dieser Broschüre kamen die möglichen Chancen des IoT viel Mittels IoT-Plattformen lassen sich Geräte heutzutage im pri- Artikel: „Die Gefahr durch IoT-Angriffe wird weiter Bericht: „Handlungsfelder im Bereich IoT-Sicherheit“
zu kurz – hierzu verweisen wir auf die Broschüre „Internet der vaten Smart Home vernetzen und fernsteuern. Intelligente steigen“ des nationalen Cyber-Sicherheitsrates
Dinge (Internet of Things) – Grundlagen, Anwendungsberei- Haustüren, Rollläden und Garagentore erhöhen den Wohn- https://www.security-insider.de/die-gefahr-durch-iot-angrif- https://www.forschung-it-sicherheit-kommunikationssyste-
che, Potenziale“ sowie auf die „Weiterführenden Links“ (s.u.). komfort, erleichtern bei unzureichender Sicherung allerdings fe-wird-weiter-steigen-a-911902/ me.de/dateien/forschung/2020-12-impulspapier-iot.pdf
Insofern ist die Darstellung hier einseitig, denn den hier beschrie- auch Einbrechern den Zugang.
Artikel: „IoT-Security ist unverzichtbar“ Leitfaden: „IT-Grundschutz“ des BSI
benen Risiken stehen auch Chancen gegenüber. Allerdings ist es
https://www.security-insider.de/iot-security-ist-unverzicht- https://www.bsi.bund.de/DE/Themen/Unternehmen-und-
äußerst wichtig, mit offenen Augen an IoT-Lösungen heranzu- Auch in der Industrie ergeben sich durch den Einsatz von
bar-a-907966/ Organisationen/Standards-und-Zertifizierung/IT-Grund-
gehen und die Sicherheitsaspekte eingehend zu beleuchten. Si- vernetzten Geräten neue Herausforderungen. Fallen sie und
schutz/it-grundschutz_node.html
cherheitspannen, Datendiebstähle und Systemversagen können damit die Produktion aus, entstehen hohe Kosten. Werden Artikel: „Optimierte Prozesse vor neuen Geschäftschan-
sich nur wenige Unternehmen (wiederholt) leisten, ohne dadurch Daten und Betriebsgeheimnisse unbefugt ausgelesen, bedeu- cen“ – Vorteile und Mehrwerte von IoT-Lösungen Leitfaden: „IoT Security Maturity Model: Practitioner’s
dauerhaft Schaden zu nehmen. Die Broschüre zeigt, dass IoT in tet das unter Umständen die Insolvenz. https://www.computerwoche.de/a/optimierte-prozesse- Guide“ des Industrial Internet Consortium
Unternehmen und privat angekommen ist und immer mehr An- vor-neuen-geschaeftschancen,3550509 https://www.iiconsortium.org/pdf/IoT_SMM_Practitioner_
wendung findet. Kein Zufall also, dass die Forschung die Inter- Kostendruck in der Entwicklung und Produktion von IoT-Ge- Guide_2019-02-25.pdf
Artikel: „Mehrzahl aller IoT-Systeme ist angreifbar“
aktionsmöglichkeiten und -bedingungen zwischen Mensch und räten und deren Software wirkt sich auch auf die IT-Sicherheit https://www.security-insider.de/mehrzahl-aller-iot-systeme- Datenbank / Verzeichnis: „Exploit Database“ – Daten-
Maschine untersucht. Hier einige Kernaussagen aus einer aktuel- aus. Oft ist die Rechenleistung und/oder Speicher der Geräte ist-angreifbar-a-851231/ bank von Schwachstellen und Möglichkeiten zu deren
len Förderbekanntmachung (ähnlich einer Ausschreibung für die zwar ausreichend für ihren Einsatzzweck, jedoch nicht für Si- Ausnutzung mit fertigen Quellcodes
Forschung), um neue Sicherheitsverfahren und -werkzeuge für cherungsmaßnahmen wie automatische Updates oder Viren- Artikel: „IoT-Sicherheit – Land in Sicht oder Land
https://www.exploit-db.com
das IoT zu entwickeln: scanner. unter?“
https://www.bigdata-insider.de/iot-sicherheit-land-in-sicht- Datenbank / Verzeichnis: „MITRE ATT&CK Framework“
Die Vernetzung von Geräten im Internet der Dinge ist wird in Die Herausforderung kann so formuliert werden: „Mit IoT-Lösun- oder-land-unter-a-1009927/ – umfangreiche Aufführung beobachteter Angriffssze-
den kommenden Jahren weiter zunehmen, Schätzungen zu- gen können die Grenzbereiche der Anwendungsmöglichkeiten narien
ericht: „2020 Unit 42 IoT Threat Report“ – Auszug, voll-
B
folge werden im Jahr 2025 bereits mehr als 60 Milliarden IoT- und Wirtschaftlichkeit neu definiert werden, es muss aber aufge- https://attack.mitre.org
ständiger Report unter Angabe der Kontaktdaten ebenfalls
Geräte installiert sein. passt werden, dass dabei nicht die Kontrolle verloren und über verfügbar
die (Sicherheits-) Klippe gesprungen wird.“ https://unit42.paloaltonetworks.com/iot-threat-re-
Aus einem ähnlichen Grund wurde für diesen Abschnitt bewusst port-2020/; siehe dazu auch den folgenden deutschen
die Überschrift „Zwischenfazit“ gewählt: IoT-Geräte werden sich Artikel: „Die Sicherheit für das Internet der Dinge ist
noch längere Zeit sehr schnell weiterentwickeln und ebenso das mangelhaft“ Die Transferstelle IT-Sicherheit im Mittel-
Umfeld, in dem sie eingesetzt werden. In wenigen Worten darf https://www.infopoint-security.de/die-sicherheit-fuer-das- stand vermittelt Angebote zum Thema
das Zwischenfazit „spannend, aber mit Vorsicht genießen“ lau- internet-der-dinge-ist-mangelhaft/a23120/ IT-Sicherheit und bietet mit dem IT-Sicher-
Richtlinie zur Förderung von Forschungsvorha- ten – für das Schlussfazit ist es noch viel zu früh. heitscheck einen Test der eigenen IT-Si-
ben zum Thema „IoT-Sicherheit in Smart Home, Bericht: „Die Lage der IT-Sicherheit in Deutschland 2020“ cherheit an. Informationen zu den Projek-
Produktion und sensiblen Infrastrukturen“ https://www.bsi.bund.de/SharedDocs/Downloads/DE/ ten unter:
https://www.bmbf.de/foerderungen/bekanntma- BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__ https://www.it-sicherheit-in-der-wirtschaft.de/
chung-3642.html blob=publicationFile&v=2 ITS/Navigation/DE/Home/home.htmlWas ist Mittelstand-Digital? Mittelstand-Digital informiert kleine und mittlere Unternehmen Der DLR Projektträger begleitet im Auftrag des BMWi die Projek- über die Chancen und Herausforderungen der Digitalisierung. te fachlich und sorgt für eine bedarfs- und mittelstandsgerechte Die geförderten Kompetenzzentren helfen mit Expertenwissen, Umsetzung der Angebote. Das Wissenschaftliche Institut für Infra- Demonstrationszentren, Best-Practice-Beispielen sowie Netz- struktur und Kommunikationsdienste (WIK) unterstützt mit wis- werken, die dem Erfahrungsaustausch dienen. Das Bundes- senschaftlicher Begleitung, Vernetzung und Öffentlichkeitsarbeit. ministerium für Wirtschaft und Energie (BMWi) ermöglicht die Weitere Informationen finden Sie unter kostenfreie Nutzung aller Angebote von Mittelstand-Digital. www.mittelstand-digital.de Was ist das Mittelstand 4.0-Kompetenzzentrum Cottbus Das Mittelstand 4.0-Kompetenzzentrum Cottbus setzt sich aus Schwerpunkte Arbeit 4.0, Digitalisierung in Logistik und Produk- den fünf Partnern BTU Cottbus-Senftenberg (Projektleitung), tion, IT-Sicherheit, Assistenzsysteme, Automatisierungstech- Technische Hochschule Wildau, Hochschule für nachhaltige nik, Robotik sowie Sozialpartnerschaften im Mittelpunkt. Das Entwicklung Eberswalde, IHP GmbH Leibniz-Institut für inno- Zentrum gehört zu Mittelstand-Digital. Mit Mittelstand-Digital vative Mikroelektronik Frankfurt (Oder) sowie IHK Cottbus als unterstützt das Bundesministerium für Wirtschaft und Energie Vertreterin der Landesarbeitsgemeinschaft der Industrie- und die Digitalisierung in kleinen und mittleren Unternehmen und Handelskammern in Brandenburg zusammen. Dabei stehen die dem Handwerk. KONTAKT Mittelstand 4.0-Kompetenzzentrum Cottbus c/o Technische Hochschule Wildau Hochschulring 1 15745 Wildau Tel.: +49 3375 508782 info@kompetenzzentrum-cottbus.digital www.kompetenzzentrum-cottbus.digital Folgen Sie uns:
Sie können auch lesen
