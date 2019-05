Cyberangriffe auf IoT-Systeme sorgen für Schlagzeilen und zeigen weiterhin die Sicherheitslücken von Netzwerken, Randknoten (Edge Nodes) und Gateways auf. Ein vor kurzem aufgetauchtes Mirai-Botnet infizierte über 2,5 Millionen IoT-Nodes durch Einloggen in Geräte mit Telnet-Servern, bei denen das Standardpasswort unverändert blieb. Das Mirai-Botnet konnte einen DDoS-Angriff (Distributed Denial of Service) auf Server durchführen und den Internet-Zugang in großen Teilen der Welt beeinträchtigen.

Bei Embedded-Sensorsystemen steht die Anbindung an das Internet und die damit verbundene Gefährdung erst am Anfang. Als neuer Bestandteil des industriellen Internet der Dinge (IIoT) fehlen den Sensoren zwei Jahrzehnte der Entwicklung und Absicherung, wie sie Webserver in dieser gefährlichen Umgebung bereits durchlaufen haben.

Die vernetzte Welt birgt Risiken

IIoT-Geräte sind im Allgemeinen an ein Netzwerk, oft das Internet, angebunden, wodurch sie Cyberangriffen ausgesetzt sind. Wie in der Epidemiologie verbreitet sich eine Infektion oder Schadcode durch den Kontakt mit anderen Maschinen. Angriffsvektoren existieren dort, wo Systeme mit der Außenwelt interagieren - hier klinken sich Angreifer ein. Die erste Sicherheitsfrage bei der Systementwicklung sollte daher lauten: Benötigt das Gerät wirklich eine Netzwerkanbindung. Denn durch die Netzwerkanbindung erhöht sich das Sicherheitsrisiko enorm.

Sicher gegen Manipulation von außen ist ein System nur ohne Netzwerkanbindung oder zumindest mit beschränkter Anbindung an ein geschlossenes Netzwerk. Viele IIoT-Geräte sind nur deswegen mit Netzwerken verbunden, weil es technisch möglich ist. Aber überwiegt dieser Vorteil die damit verbundenen Sicherheitsrisiken? Darüber hinaus sind ältere Systeme, die mit einem an das Internet angebundenen System interagieren, ebenfalls Gefahren ausgesetzt.

In vielen Fällen müssen ansonsten sichere Netzwerke und Nodes auch mit älteren Netzwerken zusammenarbeiten, die sicherheitsmäßig weit unterlegen sein können. Dies stellt insofern ein neues Problem dar, als dass das größte Sicherheitsrisiko außerhalb des Einflussbereichs des IIoT-Systems liegen könnte. In diesem Fall muss das IIoT-System auch sich selbst innerhalb des Netzwerks schützen. Bild 1 zeigt ein Beispiel für eine Spoof-Attacke (Scherzangriff).

Systeme voneinander isolieren

Ein mögliches Sicherheitskonzept besteht darin, Systeme voneinander oder vom Netzwerk zu isolieren, was die Angriffsoberfläche verringert und die Verbreitung von Malware begrenzt. Für Hochrisikosysteme sollte ein separates oder ein genau überwachtes Netzwerk in Erwägung kommen, das getrennt von anderen Netzwerken ist. Idealerweise sind kritische Systeme komplett von der Außenwelt isoliert.

Beispielsweise kann das Infotainmentsystem ein vernetztes Fahrzeugs noch nie da gewesenen neuen Angriffsvektoren aussetzen. Die Haupt-ECU (Engine Control Unit) und das Infotainmentsystem haben nichts miteinander zu tun und sollten nicht miteinander kommunizieren können. Obwohl sich in Fahrzeugen normalerweise zwei separate CAN-Busse befinden, die kritische Systeme vom Rest der Elektronik trennen, sind sie dennoch auf irgendeine Weise miteinander verbunden. Es ist somit möglich, ein System zu kompromittieren und die Kontrolle über das andere zu übernehmen (Bild 2). Eine strikte Trennung der beide Netzwerke würde das Risiko von potenziell lebensbedrohlich auf ein deutlich geringeres Gefahrenmaß reduzieren.

Datenvorverarbeitung am Rande des Netzwerkes

Viele IIoT-Systeme sind mit einem Cloud Server verbunden, der von den jeweiligen Geräten übermittelte Informationen sammelt und verarbeitet sowie die Geräte selbst verwaltet. Mit steigender Geräteanzahl kann die Cloud nur schwer allen Geräten folgen.

Es ist empfehlenswert, von der Cloud gesammelte irrelevante Daten schnellstmöglich zu löschen. Bestenfalls übertragen Netzwerkknoten von vornherein nur ...

