10. Juni 2022
4 Min.

Security im IIoT-Umfeld meistern

Wie lässt sich das Sicherheitsrisiko bei vernetzten Geräten minimieren? Womit kann ich starten? Wo kann ich schnell Sicherheitslücken schließen? Ein paar Tipps und Tricks erwarten dich in diesem Beitrag.
IIoT Sicherheit

Wenn ich mir ein vernetztes Gerät im IIoT vorstelle, denke ich sofort an ein System, dass entweder im Feld oder bei einem Kunden steht. Und da kommt man so einfach nicht „heran“. Bedeutet, das vernetzte Gerät muss für Industrie 4.0 Anwendungsfälle über das öffentliche Netz mit mir kommunizieren, damit ich die nötigen Daten erhalte und es fern verwalten kann. Das bringt ein hohes Sicherheitsrisiko für die Cyber Security mit sich. 

Aus meiner Sicht gibt es dabei drei große Bereiche, wenn der Fokus auf den IT-Security-Technologien und deren Prozesse liegt: Hardening, Nachrichtenübermittlung und die zusätzlich verknüpften Prozesse. 

Hardening – Das Härten von Geräten und Systemen 

Ein guter erster Start mit IT-Security bei vernetzten Geräten für Industrie 4.0 Lösungen ist ein Komplett-Scan der Software, bevor es ausgeliefert wird. Dadurch kann nachgewiesen werden, dass keine bekannten Viren und Sicherheitslücken oder potenziell auch Lizenzverletzungen, zum Auslieferungszeitpunkt enthalten sind. Dass zu einem bestimmten Zeitpunkt keine bekannten Viren auf dem System waren und es weniger potenziellen Einfallstore gibt, ist vor allem bei einer digitalen forensischen Analyse nach einem Sicherheitsvorfall wertvoll. 

Regelmäßige Reports von Virenscannern und allgemeiner Endpoint Protection Software auf Computersystemen, die ein Betriebssystem haben, sind dabei der logische nächste Schritt. Nicht zu vergessen ist der Initialscan, welcher bei den vernetzten Geräten zu Beginn erfolgt. 

Sollen die Cyber Security Maßnahmen ganz tief eingreifen, lohnt es sich ein Trusted Platform Module (TPM) einzusetzen, indem ein eindeutiger Schlüssel oder bestimmte Funktionen hinterlegt sind, die unabhängig vom eigentlichen Prozessor operieren und so das gesamte System schützen. Das ist mit einem Chip auf einer SIM- oder Kreditkarte zu vergleichen.

Mit diesem Chip wird der Grundstein für die IT-Security gesetzt, der sogar schon bevor das Betriebssystem startet ein vernetztes Gerät oder System schützt. Werden auch zusätzlich die Verschlüsselungsalgorithmen und die Schlüsselverwaltung auf diesen Chip ausgelagert, kann es als Hardware Security Modul gesehen werden, was der nächste Schritt in diesem Kontext ist. 

Die Schlüsselverwaltung in Verbindung mit der Basis des Vertrauens, wie beispielsweise ein TPM-Chip hilft nur so lange, bis der erste Schlüssel bei einem Angriff verloren geht. Daraufhin müssen sämtliche Verschlüsselungszertifikate (bspw. für HTTPS, oder andere TLS-Verbindungen) ausgetauscht werden.  

Der Austausch von Zertifikaten wird als Rollieren bezeichnet, bei dem neue Zertifikate an alle vernetzten Geräte ausgerollt werden. Dadurch lassen sich die verloren gegangenen Zertifikate und Zugänge als ungültig ausschreiben, bzw. diesen Sicherheitsvorfall abschließen. 

Lücken in der Abwehr von Hackerangriffen lassen sich in erster Linie mit vordefinierten Benutzerrechten und damit verbundenen Rollen schließen. Nicht jede:r Benutzer:in soll das gesamte Gerät oder Betriebssystem mit allen schützenswerten Informationen auslesen und umschreiben. 

Nachrichtenübermittlung – ohne Kommunikation geht’s nicht

Sicherheit im IoT

Sicherheit bei der Nachrichtenübermittlung

Wenn keine Verbindung ins Netzwerk besteht, kann ein Gerät oder System auch nicht gehackt werden – so viel ist klar. Damit das vernetzte Gerät oder System seine eigentliche Aufgabe erfüllen kann ist aber eine solche Netzwerkverbindung notwendig. Also muss es eine Verbindung zu einem Netzwerk geben. Das Netzwerk richtig in gleiche Vertrauensbereiche einzuteilen, ist Aufgabe der Netzwerksegmentierung. 

Die Netzwerksegmentierung ist ein wichtiger Aspekt in der Netzwerk-Sicherheit. Dadurch lassen sich Quarantäne-Zonen für Viren und andere Angriffe einteilen und diese stark verlangsamen, bis eine Lösung gefunden wurde. 

Die Intrusion Detektion für Cyber Security ermittelt beispielsweise Metriken einer Firewall, ob ein System angegriffen wird, oder bereits infiziert wurde und „macht die Schotten dicht“. Das Gleiche gilt für eine Intrusion Prevention – eine vorkehrende Maßnahme, die von einer Hardware-Firewall oder Softwarelösungen übernommen werden kann. 

Prozesse – der organisatorische und auch menschliche Faktor 

Alle Informationen bringen mir nichts, wenn ich nicht weiß, was ich damit anfangen soll: Information Overload bzw. die Fachexpertise, mit den Informationen umzugehen. 

Wenn ich eine Sicherheitslücke habe, oder vermute, dass ich sie habe, dann muss ich wissen, welche Geräte und Systeme davon bedroht sind. Ein Assetmanagementprozess ist hier der Schlüssel zur Lösung. Assetmanagementsysteme können sogar teilweise auch Sicherheitslücken ankündigen und weitere Prozesse anstoßen. 

Wenn eine Sicherheitslücke bekannt ist (bspw. aus dem Assetmanagement), muss auch geklärt sein, was damit passiert. Im Incident Management werden diese technischen Schwachstellen einer Kategorie und Dringlichkeit zugeordnet, die dann von einem Team bearbeitet werden. 

Wenn das Team zu einer Lösung kommt, entwickelt sich daraus häufig ein IT-Security „Patch“ (entweder aus eigener Entwicklungsleistung oder vom Hersteller), der ausgerollt werden muss. Das ist der Zeitpunkt, an dem es mit dem Patchmanagement weiter geht. Der Patch-Management-Prozess ist eng mit dem Assetmanagement verknüpft.  

Schon mal auf dem Computer oder dem Mobiltelefon eine Erinnerung bekommen, ein Update wegen einer wichtigen Sicherheitslücke zu installieren?

Das Patchmanagement kümmert sich darum, dass dieses Update bzw. Patch auch richtig und nachweislich installiert wird (bspw. mit Recovery- bzw. Backup-Mechanism und Bestätigung der Installation) und somit die Sicherheitslücke geschlossen wird. 

Updates, Patches und Änderungen bzw. Zugriffe auf ein vernetztes Gerät oder Industrie 4.0 System sind wichtig für IT-Security und sollten berücksichtigt werden. Ein Audit-Log stellt die entsprechenden Informationen bereit. Welche Informationen bzw. Events das sind, muss im Einzelfall geklärt werden, aber die üblichen Verdächtigen sind fehlgeschlagene Login-Versuche, besonders auf dem Admin-User. 

Schlusswort 

Zusammengefasst sind dies aus meiner Sicht die wichtigsten Themen, wenn vernetzte Geräte in das IIoT integriert werden sollen. Denn im Bereich der Sicherheit ist es am effektivsten, sich so schnell wie möglich einen guten Überblick zu verschaffen. Ebenso muss jedoch beachtet werden, dass jede IoT oder Industrie 4.0-Lösung anders aussieht und unterschiedliche Aspekte aufweist. Dementsprechend muss vor der Umsetzung eines IT-Sicherheitskonzepts der Scope bzw. Rahmen genau festgelegt werden. 

Artikel kommentieren