Anwendungen des Internet of Things boomen, doch damit steigt auch die Gefahr von Cyberangriffen. Jedes Projekt muss daher IoT-Sicherheit mitplanen. Die Lösung dafür heißt NB-IoT, dieses Mobilfunkprotokoll ermöglicht eine sichere und gleichzeitig effiziente Datenübertragung.
Großes Potenzial von IoT
Die Kamera beim Hauseingang, automatisch geregeltes Licht oder Heizung im Smart Home, intelligente Kaffeemaschinen, sprechende Puppen im Kinderzimmer, Fitness-Armbänder, Mülltonnen, die ihren Füllstand und die Innentemperatur melden, Smart Meter zum Fernablesen des Stromverbrauchs, Frachtcontainer, die informieren, wo sie gerade auf der Welt unterwegs sind und welche Temperatur die Ware im Inneren hat – diese Liste könnte endlos weitergehen, denn die Anwendungsmöglichkeiten des Internet of Things sind riesig und es werden jeden Tag mehr.
Mehr Anwendungen und mehr Geräte, die im Internet vernetzt sind, ermöglichen neue Funktionen, um den Alltag zu vereinfachen bzw. um mit den übertragenen Daten fundiertere Geschäftsentscheidungen treffen zu können. Im Jahr 2022 werden die vernetzten IoT-Geräte auf 14,5 Milliarden steigen, bis 2025 sollen es laut IoT-Analytics schon 27 Milliarden sein, dann soll der derzeitige Chipmangel nicht mehr bremsend wirken.
Auch Hacker nutzen das Potenzial von IoT
Diese Milliarden an vernetzten Geräten hängen zumeist ungeschützt im Internet, das wissen Cyberkriminelle und nützen diese Schwachstelle für Angriffe. So kam es bereits 2016 weltweit zu teilweisen Ausfällen von Kommunikationsnetzen: „Angriff der Toaster“ und „IoT-Geräte legen das Internet lahm“ lauteten die Schlagzeilen in den Medien.
Tatsächlich waren es weniger die Toaster als vielmehr Millionen von Kameras und anderen Devices, die von Hackern für einen massiven DDoS-Angriff (Distributed Denial of Service) genutzt worden waren. Die Geräte wurden zu einem großen Botnetz zusammengeschaltet, das unzählige sinnlose Anfragen an Server im Internet schickte und so zu Überlastungen und Abschaltungen führte.
Doch Angreifer setzen nicht nur auf die schiere Masse von Anfragen, sondern versuchen gezielt Programmfehler im Zielsystem auszunutzen. So werden die Ziele nicht nur verlangsamt, sondern können Fehlverhalten bis hin zu Abstürzen erleiden. Das kann zum Stillstand von IT-Systemen und damit von Geschäftsprozessen führen und das verursacht in der Folge für Unternehmen hohe Kosten.
Weitreichende negative Konsequenzen für die Öffentlichkeit sind durch Hackerangriffe auf IoT-Devices ebenso vorstellbar: Was passiert wohl, wenn in einer Stadt gleichzeitig hunderte oder tausende Mülltonnen Feueralarm geben? Oder wenn die Kameras, die zur Waldbrandüberwachung eingesetzt werden, plötzlich überall Alarm schlagen – nur nicht dort, wo tatsächlich Rauch aufsteigt?
Viel Unsicherheit beim Thema IoT Sicherheit
Seit dem Hackerangriff, der 2016 Schlagzeilen machte, sind viele Jahre vergangen. Doch in puncto Sicherheit beim Internet of Things herrscht bei vielen Firmen immer noch wenig Expertise und große Unsicherheit, zeigt eine Studie des Security-Anbieters Kaspersky:
- 64 Prozent der befragten Unternehmen haben bereits IoT-Anwendungen im Einsatz
- 53 Prozent gaben neue IoT-Projekte auf, weil sie Cybersecurity-Risiken nicht lösen konnten
- Als häufigste Hindernisgründe, IoT-Lösungen einzuführen, nannten 57 Prozent das Risiko einer Cybersicherheitsverletzung und von Daten-Kompromittierung; 34 Prozent nannten den Mangel von Expertise im Haus.
- 42 Prozent der Unternehmen gaben an, von Cybersicherheitsvorfällen in Bezug auf die öffentliche IoT-Cloud-Infrastruktur betroffen gewesen zu sein; 41 Prozent nannten Vorfälle, die IoT-Gateways und Netzwerkgeräte betrafen.
Schutzziele der IT-Security
Beim Start eines IoT-Projekts muss daher IoT-Sicherheit von Beginn an mitgedacht und mitgeplant werden. Mit dem Internet der Dinge entstehen neue Angriffs- und Gefährdungsszenarien, die zugrundeliegenden Mechanismen sind jedoch die gleichen wie in sonstigen IT-Infrastrukturen. Dementsprechend gelten auch hier die gleichen Schutzziele, die bereits in der bewährten CIA-Triade beschrieben sind:
- Confidentiality (Vertraulichkeit): Keine unbefugte Person hat Zugriff, weder bei der Datenübertragung noch bei der Speicherung.
- Integrity (Integrität): Daten dürfen nicht verändert werden (starke Integrität), oder die Änderungen dürfen nicht unbemerkt bleiben (schwache Integrität).
- Availability (Verfügbarkeit): Daten müssen bei Bedarf zugänglich, Systeme jederzeit betriebsbereit sein.
Weitere Anforderungen, die als Unterpunkte oder Ergänzungen gelten können, sind unter anderem:
- Authentizität: Überprüfbarkeit und Vertrauenswürdigkeit der Datenquelle.
- Nichtabstreitbarkeit (Verbindlichkeit): Verhindern, dass Handlungen oder Kommunikation im Nachhinein bestritten werden können.
- Zurechenbarkeit: Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.
Was sich teils abstrakt anhört, ist mit praktischen Fällen einfach erklärt, so zum Beispiel bei der Erfassung des Stromverbrauchs per Smart Meter. Ein solches System muss unter anderem sicherstellen, dass der Kunde nicht abstreiten kann, Strom bezogen zu haben. Die übermittelten Daten müssen vor Manipulation geschützt sein und es dürfen keine Daten verloren gehen oder in die Hände von unberechtigten Dritten fallen. Umgekehrt muss der Stromanbieter sicher sein können, dass die übermittelten Daten tatsächlich vom Stromzähler des Kunden stammen. Und nicht zuletzt darf der Stromzähler nicht ausfallen oder von Hackern stillgelegt werden.
IT-Security für das IoT
Auf dem IoT-Markt gibt es viele Anbieter und Lösungen, was für Unternehmen die Auswahl nicht einfach macht. Viele IoT Geräte, wie etwa Kameras an Eingangstoren, sind aufgrund von Design-Mängeln angreifbar; etwa bei Billigprodukten werden von Herstellern nur kurzzeitig oder gar keine Updates geliefert. Es gibt aber auch IoT-Devices, die wegen ihrer eingeschränkten Ressourcen nur begrenzt sicher agieren können; darunter fallen vor allem Sensoren. Sie haben zum Beispiel nicht die Rechenkapazitäten, um eine aufwendige Verschlüsselung der Kommunikation zu realisieren.
Deshalb ist es unerlässlich, solche IoT-Devices in eine sichere IT-Infrastruktur einzubetten. Jedoch auch bei Geräten, die eine eigene Absicherung mitbringen, wie beispielsweise Smart Meter, ist es im Sinne eines abgestuften Konzepts ratsam, die Sicherheit des Gesamtsystems durch Security-Maßnahmen im Netzwerk weiter zu verbessern.
NB-IoT liefert sichere Infrastruktur
Mit dem schmalbandigen Mobilfunk-Protokoll NB-IoT (NarrowBand IoT) liefert Magenta Business die Grundlage für eine sichere Vernetzung von Sensoren und Geräten. Denn NB-IoT ist kein öffentliches Netz, das direkt aus dem Internet erreichbar ist. Theoretisch kann Funk natürlich abgehört werden, allerdings nutzen Sender und Empfänger starke Transportverschlüsselung, ähnlich wie bei LTE-Datenübertragungen, um die Vertraulichkeit zu wahren.
Den Übergang zum Internet bewerkstelligt die Plattform IoT Hub. An dieser Schnittstelle im Kernnetz von Magenta Telekom wird die Kommunikation von und zum IoT-Device in vielen Aspekten abgesichert. Unter anderem stellen die IoT Hub Funktionen sicher, dass nur autorisierte Geräte ihre Daten senden dürfen, sodass die Authentizität gewährleistet ist. Dies ist auch in der Gegenrichtung von Bedeutung: Nur wenn das Ausspielen von Updates abgesichert ist, werden unautorisierte Manipulationen verhindert.
Ein weiterer Punkt ist die Datenintegrität: Der IoT Hub überwacht die Vollständigkeit der Datenübertragung und schützt vor Datenveränderungen, beispielsweise aufgrund von Übertragungsproblemen, wie sie bei mobilen Devices, etwa in der Logistik, auftreten können. Indem es Funktionen wie den erneuten Versand der Daten bei besserer Verbindungsqualität oder die Ruhefunktion zum Energiesparen unterstützt, trägt der IoT Hub zur Betriebssicherheit der IoT-Geräte bei. Dies minimiert die Gefahr von Datenverlusten durch Geräteausfall.
Für die Kommunikation zum Cloud-Server oder zu Unternehmensanwendungen über das öffentliche Internet werden die Daten selbst verschlüsselt, zudem nutzt der IoT Hub ebenfalls sichere Transportprotokolle. Auf dieser IoT-Plattform können Daten gepuffert werden, falls die Verbindung zum Server ausfallen sollte. Und sollte ein Wechsel bei den Servern oder Anwendungen nötig werden, um die Betriebssicherheit aufrechtzuerhalten, können berechtigte Nutzer dies jederzeit konfigurieren. Damit wird zugleich der gefürchtete Vendor-Lock-In verhindert.
Fazit: IoT Sicherheit ist ein kritischer Faktor
Die Angriffe auf kleine und mittelständische Unternehmen werden 2022 ebenso zunehmen, wie auf Städte und Gemeinden, prognostiziert der Security-Experte Eset, man gehe davon aus, dass Distributed Denial-of-Service-Angriffe (DDoS) noch präsenter werden. Statt Rechner und Smartphones kidnappen Cyberkriminelle nun ganze Smartbuildings; nur gegen Bezahlung von Lösegeld könnten Eigentümer vielleicht die Kontrolle zurückerhalten. Experten nennen diese Art von Erpressung „Siegeware“, indem die digitalen Möglichkeiten eines vernetzten Gebäudes für den Systemmissbrauch genutzt werden: etwa, um dort den Strom zu kappen, Lifte lahmzulegen oder Klimaanlagen auszuschalten.
Ob es um „dumme“ Sensoren oder „schlaue“ Messgeräte geht: Im Internet der Dinge muss Sicherheit in jedem Projekt mitgedacht werden. NB-IoT als Private-Network-Infrastruktur und der IoT Hub schaffen ein Security-Niveau, das auch den zuverlässigen und sicheren Betrieb von einfachen Sensoren ermöglicht, ohne die Datenintegrität zu gefährden. Mit der Unterstützung unterschiedlicher Protokolle und Standards zur Datenübertragung, sowie der Mobility- und Energiesparfunktionen der IoT-Geräte, leistet dieses System zudem einen wesentlichen Beitrag zur Betriebssicherheit.