Das IoT braucht einen Sicherheitsstandard

Seit 2016 in einem grossen DDoS-Angriff rund 500 000 Geräte im Internet der Dinge (IoT) in der Mirai-Attacke mit Schad-Software infiziert wurden, hat sich die Einstellung der Unternehmen zum Thema IoT-Sicherheit merklich verändert. Niemand würde heute noch ernsthaft bestreiten, dass die Sicherheit zu den wichtigen Herausforderungen beim Einsatz des IoT gehört. Doch bis zur Realisierung einer konsistenten Sicherheitsstrategie ist es noch immer ein weiter Weg.

Seither haben sich IoT-Systeme besonders in Industrie und Logistik mit zunehmender Geschwindigkeit weiter ausgebreitet: Maschinen und Anlagen können weitgehend unabhängig vom Ort überwacht und gesteuert werden, vom Schiffscontainer über die Gebäudetechnik bis zu kompletten Fertigungsstrassen. Analysten haben geschätzt, dass bis 2020 mehr als 20 Milliarden vernetzte IoT-Endgeräte im Netz sein werden; mittlerweile sollte man diese Prognosen deutlich nach oben korrigieren. Längst ist IoT auch in kritische Infrastrukturen eingezogen, beispielsweise im Gesundheitswesen oder in der Strom- und Wasserversorgung. Angriffe, die in solchen Anwendungsszenarien erfolgreich sind, können Unternehmen ruinieren und letzten Endes natürlich auch Menschenleben gefährden.

Noch immer ist die Sicherheit dieser Geräte unzureichend. Man möchte gar nicht wissen, wie viele der von der Mirai-Attacke betroffenen Systeme weiterhin und unverändert im Einsatz sind. Trotz eines gestiegenen Risikobewusstseins dürfte dieser unbefriedigende Zustand noch eine Zeit lang andauern. Die Einsicht, dass die Sicherheitsverfahren, die sich in der IT über Jahrzehnte etabliert haben, aber nur bedingt auf IoT-Landschaften übertragen lassen, verbreitet sich leider nicht mit der gleich hohen Geschwindigkeit wie die IoT-Systeme selbst.

Es ist nun mal so, dass Sicherheitslösungen wie Verschlüsselung schon technisch nicht auf jedem Gerät funktionieren. Industrielle Systeme haben schliesslich eine lange Lebensdauer; man muss hier mit 15 oder 20 Jahren rechnen, was weit über die Vorstellungskraft klassischer IT hinausgeht. Kein Security-Experte kann garantieren, dass der Verschlüsselungsalgorithmus, den er heute implementiert, auch noch im Jahr 2035 sicher ist. Updates von IoT-Geräten per Fernwartung sind nicht bei jedem Modell möglich, und man schafft dadurch gleich eine neue Angriffsfläche. Updates vor Ort sind auch nicht überall möglich; in einem Offshore-Windpark wird das schon etwas schwierig. Vor allem aber steht bei der Entwicklung von IoT-Systemen die Funktionalität ganz im Vordergrund, während die Sicherheit meist lediglich als Randbedingung fungiert. Security by Design bleibt die grosse Ausnahme. IoT braucht daher dringend eine neue Sicherheitskultur. Neben dem Grundsatz, dass Security ins Produktdesign gehört, müssen endlich auch verbindliche Standards für die Sicherheit im IoT aufgestellt werden. Trotz – vielleicht auch gerade wegen – des IoT-Booms ist man davon weit entfernt. Es ist geradezu grotesk: Von der Breite des Flurs bis zur Sitzhöhe des Bürostuhls ist in Unternehmen heute alles Mögliche geregelt und standardisiert, aber wie automatisch arbeitende Systeme via Internet erreichbar sind, bleibt letzten Endes jedem Hersteller selbst überlassen.

Freilich, Standardisierung ist selbst nicht unproblematisch, da sie eine vergleichsweise junge Technologie betrifft, die sich noch in einem starken Wandel befindet. Daher dürfen Sicherheitsstandards für das IoT nicht dessen Entwicklung behindern. Zu starre Regelungen könnten dann gerade die Verbesserung der Sicherheit verhindern.

Daher sollten IoT-Standards nicht detaillierte Konzepte vorgeben, sondern, ähnlich wie ISO 27001, allgemeine Anforderungen formulieren, die entsprechend anhand konkreter Risiken umgesetzt werden müssen. Die Standards sollen keinesfalls bis auf Protokollebene reichen und hierbei womöglich den Einsatz bestimmter Protokolle vorschreiben. Zurzeit gibt es im IoT-Umfeld über 500 verschiedene Protokolle und es ist absehbar, dass die Mehrzahl von ihnen wohl nicht die Lebensdauer der jeweiligen IoTGeräte erreichen wird.

Stattdessen sollte man einen «IoT-Security-Standard» als Grundschutz implementieren, der einen Rahmen vorgibt und von Herstellern zunächst einmal eine genaue Bewertung von Risiken verlangt, die aus dem Betrieb ihrer IoTGeräte entstehen. In diesem Zusammenhang ist dann auch zwischen «Security» und «Safety» zu unterscheiden, da es in der Praxis einen grossen Unterschied macht, ob die Prozesse eines Systems gefährdet sind oder Gesundheit und Leben von Menschen. Schliesslich muss sich ein IoTGrundschutz auch der Frage nach den unterschiedlichen Lebenszyklen von Standards, Software und Geräten stellen. Es muss auch verbindlich festgelegt werden, wie lange Updates bereitzustellen sind. Sechsmonatige Garantiezeiten werden da nicht ausreichen, schon gar nicht, wenn es um die «Safety» geht. Die Formulierung eines IoTGrundschutzes darf aber nicht bedeuten, dass eine Kommission ein paar unverbindliche Regeln aufstellt, und im Detail macht dann weiterhin jeder Hersteller, was ihm gut und brauchbar erscheint. Letztlich wird man auch mit einem IoT-Security-Standard natürlich nicht alle Risiken ausschalten können. Aber man könnte das Gefahrenpotenzial doch erheblich reduzieren. Jedenfalls sollte man mit der Etablierung geeigneter Sicherheitsstandards nicht erst bis zum nächsten grossen IoT-Angriff warten, der vermutlich irgendwo längst vorbereitet wird.