Antworten für Anwender

Auf strategischer Ebene können Sie als Anwender folgende Massnahmen ergreifen:

  1. Stellenwert Sicherheit: Viele IoT-Produkte werden heute ausschliesslich nach funktionalen Anforderungen erworben - nicht-funktionale Sicherheitsüberlegungen spielen keine Rolle. Dies gilt insbesondere im Consumer-Bereich. Dabei ist nicht alles was technisch möglich ist auch sinnvoll. So ist es möglich, zuhause ein Videoüberwachungssystem zu installieren, das weltweit mit dem Smartphone erreichbar ist. Auf der anderen Seite gibt es zahlreiche Beispiele von Sicherheitslücken Internet-vernetzter Babyphones, Türklingeln oder Videokameras. Jeder Anwender sollte sich die Frage stellen, ob der Mehrwert, eine Funktion über das Internet verfügbar zu machen, das zusätzliche Risiko aufwiegt.
  2. Konfigurationsmanagement: Um die Sicherheit zu erhöhen, braucht der Anwender als Grundlage eine klare Übersicht, über welche IoT-Systeme er oder sie heute verfügt. Anschliessend sollten diese Systeme klassifiziert werden. Je nachdem wie essentiell ein System für den Betrieb ist oder welche Gefahr von ihm ausgeht, müssen Systemänderungen einem mehr oder weniger strengen Ablauf unterworfen werden. Die Einhaltung dieses Ablaufs sollte regelmässig auditiert werden. Der ganze Prozess wird als Konfigurationsmanagement bezeichnet.
  3. Zusammenarbeit mit IT: Viele Unternehmen verfügen im Haus über IT-Abteilungen mit hohem Security-Know-How. Es ist sinnvoll, diese in Akquisition und Betrieb von IoT-System einzubinden. Da die meisten IoT-Systeme auf dem Firmennetzwerk kommunizieren, wird sich die IT-Abteilung ohnehin über kurz oder lang von selbst einschalten.
Bild: IoT-Sicherheitsmassnahmen für Anwender
Sicherheitsmassnahmen für Anwender

Auf operativer Ebene sind meist folgende Schritte sinnvoll:

  1. Grundschutz: Jedes System, das mit dem Firmennetzwerk oder dem Internet kommuniziert, sollte minimale Sicherheitsanforderungen erfüllen. Ein System, das diese Anforderungen nicht erfüllt, darf nicht mit dem Netz verbunden werden. Als Basis für die Erarbeitung eines solchen Grundschutzes kann der IT-Grundschutzkatalog des Bundesamts für die Sicherheit in der Informationstechnik dienen.
  2. Lieferantenauswahl: Keine andere Massnahme ist so günstig und nachhaltig wie in die Integration der Basis-Sicherheitsanforderungen in die Lieferantenauswahl.
  3. Patch Management: Im Betrieb ist sicherzustellen, dass eigenes Betriebspersonal oder beauftragte Wartungsfirmen regelmässig die vom Hersteller zur Verfügung gestellten Sicherheitspatches einspielen.
Bild: Grundanforderungen Systeme und Lieferanten
Stellen Sie Basisanforderungen an Systeme und Lieferanten


Bild: Beispiel einer industriellen Firewall
Meistgenutztes Mittel zur Segmentierung ist die Firewall

Auf technischer Ebene haben sich folgende Massnahmen bewährt:

  1. Segmentierung: Durch Netzwerksegmentierung lassen sich kritische Systeme schützen und Angriffe verlangsamen. Klassische Mittel, die hierfür eingesetzt sind Firewalls, auf denen nur explizit mittels "Whitelisting" erlaubte Kommunikation weitergegeben wird. Ein anderes Mittel stellen KVM-Extender dar. Diese erlauben, Keyboard, Maus und Tastatur zur Bedienung eines IoT-Systems über Glasfaser viele Kilometer abzusetzen. Auf diese Weise lassen sich Remote-Zugriffe auf IoT-Systeme realisieren ohne dass ein direkter Zugriff auf das Unternehmensnetz notwendig ist.
  2. Virtualisierung: Gerade im Fall der IoT, welche im Vergleich zur IT mit langen Nutzungszyklen und eingeschränkter Kompatibilität leben muss bietet die Virtualisierung grosse Chancen. Dabei wird dem IoT-System eine virtuelle Hardware und ein virtuelles Betriebssystem vorgegaukelt, welche von einem realen Host-Rechner erzeugt werden. Dies ermöglicht einerseits die Kapselung des IoT-Systems und dadurch eine höhere Sicherheit. Andererseits können so auch ältere und inkompatible IoT-Systeme auf neue Hardware- und Software-Plattformen portiert werden, wo sie von erhöhter Sicherheit profitieren. Schliesslich können durch die Virtualisierung auch Kosten eingespart werden, indem mehrere Instanzen eines IoT-Systems auf einer physischen Instanz virtualisiert werden.
  3. Kommunikationsverschlüsselung: Viele IoT-Systeme bringen heute durch den Hersteller keine ausreichende Verschlüsselung mit. Da jedoch immer mehr IoT-Systeme auf dem TCP/IP-Protokollstapel basieren, können bewährte IP-Verschlüsselungsmethoden zur Überbrückung unsicherer Netze eingesetzt werden. Die meistgenutzte Lösung hierfür ist das IPSec-Protokoll.