Autor: Moritz Loske

IoT im Spannungsfeld zwischen Schutz und Anwendbarkeit

5.10.2017

© iStock

Das Internet of Things (IoT) führt zu einer stark zunehmenden Vernetzung von Dingen, welche die Basis für neue digitale Geschäftsmodelle und Wertschöpfungsstränge bilden. Dabei kommen fast ausschließlich drahtlose Kommunikationssysteme zum Einsatz, die ein Plus an Mobilität ermöglichen und langwieriges Verlegen von Kabeln oft unnötig machen. Gleichermaßen stellen sie besondere Anforderungen an die IT-Sicherheit. Ob Glühlampe, Kamera, Drucker oder Haushaltsgeräte – Vorfälle wie eine groß angelegte DDoS-Attacke des gigantischen Mirai-Botnetzes führen vor Augen, dass klassische IT-Sicherheitslösungen nicht eins zu eins übernommen werden können, um die kabellose Datenübertragung vor Cyberangriffen zu schützen. Sie müssen an geringere Bandbreiten, Rechenleistungen und Energieressourcen angepasst werden und zudem fehlt der physikalische Schutzmantel. Die Fraunhofer Academy adressiert in Zusammenarbeit mit dem Fraunhofer-Institut für Integrierte Schaltungen (IIS) diesen Anwendungsbereich durch ein Seminar im Rahmen des Lernlabors Cybersicherheit, das Anwender für die neuen Sicherheitsanforderungen sensibilisiert.

Das IoT vernetzt bis 2020 schätzungsweise 50 Milliarden Kommunikationssysteme, die in Anwendungsfeldern wie Industrie 4.0, Smart Homes und Smart Buildings, aber auch im Bereich »Kritischer Infrastrukturen zum zentralen Nervensystem von Wirtschaft und Gesellschaft« entstehen. Hier kommen in erster Linie drahtlose Kommunikationssysteme zum Einsatz, da sie leicht zu installieren und mobil verfügbar sind. Der Knackpunkt ist jedoch: Im Vergleich zur drahtgebundenen ist die drahtlose Kommunikation durch die geteilte Luftschnittstelle und vermehrte Zugriffsmöglichkeiten über das Internet ein leichtes Ziel für Cyberangreifer. So wird beispielsweise WLAN in der Industrie bereits seit vielen Jahren zur Vernetzung von Produktionsanlagen oder zur Anbindung von Tablets zur mobilen Anlagensteuerung eingesetzt. Veraltete Verschlüsselungsstandards und Defaultpasswörter, die seit der Installation nicht mehr aktualisiert wurden, stellen ein großes Sicherheitsrisiko dar und bieten Hackern oft ein Einfallstor zur gesamten Produktionsumgebung. Daher müssen diese drahtlosen Kommunikationssysteme mit spezifischen Sicherheitslösungen geschützt und Anwender sensibilisiert werden.

Risiken richtig bewerten können

Diese Schutzmaßnahmen können allerdings nicht einfach aus der klassischen IT-Sicherheit übernommen, sondern müssen an die drahtlose Kommunikation angepasst werden. Geringe Bandbreiten, wenig Rechenleistung und Stromverbrauch sind typische Voraussetzungen von IoT-Anwendungen. Dabei stehen die Hersteller vor der Herausforderung, den Zielkonflikt zwischen einer möglichst hohen Sicherheit und der Umsetzbarkeit in der Praxis zu lösen. Denn häufig tragen umfangreiche Sicherheitsmaßnahmen dazu bei, dass die Kommunikationssysteme in der Installation, Inbetriebnahme und Anwendung komplex und teuer werden – was dazu führt, dass sich Kunden beim Kauf häufig gegen das Sicherheitsplus entscheiden. Dabei kann bei vielen Anwendungen auf komplexe Sicherheitslösungen verzichtet und dennoch ein hoher Schutz erzielt werden. So sind aufwendige Verschlüsselungsmechanismen beispielsweise bei der Übertragung von Steuerbefehlen in der Produktion, die nur einen Sekundenbruchteil relevant sind, unnötig. Um jede IoT-Anwendung auf ihre spezifischen Risiken hin bewerten und schützen zu können, ist umfangreiches Wissen über die denkbaren Bedrohungsszenarien und die verfügbaren Sicherheitslösungen nötig – das jedoch bei vielen Anwendern fehlt.

Diese Kompetenzlücke schließt die Fraunhofer Academy in Zusammenarbeit mit dem Fraunhofer IIS durch das Seminarangebot »IT-Sicherheit drahtloser Kommunikationssysteme«. Ziel ist es, bei Administratoren, Testern, Betreibern und Anwendern, die drahtlose Kommunikationsnetze konzipieren, aufbauen oder betreiben, das erforderliche Bewusstsein für spezielle kontext- und anwendungsbezogene Schutzmaßnahmen zu schärfen. Im Rahmen des Lernlabors Cybersicherheit wird den Teilnehmern vermittelt, wo potenzielle Risiken liegen, welche Maßnahmen davor schützen und wie sie Kosten sinnvoll gegen die Anwendbarkeit in der Praxis abwägen. Weitere Informationen zu diesem  Seminar finden Sie hier.