Diese Sicherheitsrisiken lauern im Internet der Dinge

Schnelle Sensorik schätzen viele mittelständische Unternehmen, die über das Internet der Dinge (IoT) etwa bei der Wartung von Fertigungsanlagen oder in Fabrikhallen kommunizieren. Da geben die von den Herstellern der Maschinen eingebauten Frühwarnsysteme Laut, wenn sich beispielsweise ein Fehler in der Technik anbahnt.

Doch mit wachsender Anzahl der internetfähigen Geräte nehmen auch die Risiken dieser Technologie zu. Einsatzfelder für Sensoren in der Fertigung gibt es zur Genüge – angefangen beispielsweise bei der Untersuchung des Schwingungsverhaltens der Achsen bei Werkzeugmaschinen über komplexe Systeme etwa zur Palettenbestückung bis hin zur Warenverfolgung in der Supply-Chain. Allein die schiere Anzahl dieser Geräte ist eindrucksvoll. 2018 werden weltweit 21 Milliarden IoT-Geräte vorhanden sein; im Jahr 2022 sollen es 50 Milliarden und damit mehr als doppelt so viele sein, wie Juniper Research errechnet hat. „Das ist tatsächlich ein Trend. Ein Großteil davon entfällt auf Produktionsunternehmen“, sagt Aurelius Wosylus, Country und Sales Director bei dem Netzwerkprovider Sigfox Deutschland.

Späte Rache

Aber einfach ist der Einsatz der ans Web angeschlossenen Sensoren nicht. „Vor allem das industrial Internet of Things ist eine Herausforderung. Gerade bei der Vernetzung in der Produktion stand der Aspekt Security häufig nicht im Focus“, sagt Michael Krammel, Geschäftsführer des Industrial IT-Spezialisten Koramis. Daher sieht er ein Problem mit der IT-Sicherheit, weil in den Unternehmen nur wenige Erfahrungen vorhanden seien. „Hier zeigt sich ein starker Nachholbedarf technologisch und organisatorisch sowie bei den Prozessen. Große Unternehmen haben das Thema erkannt, dennoch stehen auch sie noch am Anfang“, sagt Krammel.

IoT-Messeinheiten, ob in einer Werkzeugmaschine oder einer entlegenen Wasserpumpenstation, müssen eigentlich ebenso gesichert werden wie die Firmen-IT. Doch die Praxis sieht anders aus. „Da gibt es eine steigende Dunkelziffer von Sicherheitsvorfällen“, sagt Krammel. Wenn seine Eingreifteams von geschädigten Unternehmen gerufen werden, muss allerdings mit offenen Karten gespielt werden. Denn das IT-Sicherheitsgesetz verlangt, dass illegale IT-Eingriffe in Unternehmen, die unter die Kritis-Verordnungen fallen, an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen.

Bei der Gefahrenabwehr sollten Unternehmen immer auch die Kosten im Blick haben. Da gilt es abzuwägen, in welchem Verhältnis Aufwand und Ertrag stehen. Beispielsweise ist es für ein Unternehmen kaum sinnvoll, ausnahmslos alle technischen Warn- oder Kontrollsensoren mit Hochsicherheitsschutz zu versehen. Das wäre etwa so, als würde ein Blumenladen seine Wechselgeldkasse in einer Tresoranlage von den Ausmaßen wie jener der Zentralbank aufbewahren. „Bei einer Fernwartung für eine Wasserpumpenanlage kostet eine speicherprogrammierbare Steuerung (SPS) etwa 300 Euro. Dafür ist eine Sicherheitslösung im Wert von 5.000 Euro einfach zu teuer“, sagt Wosylus.

Gefahren analysieren

Wie die Risiken einzuschätzen sind, das muss jedes Unternehmen selbst beurteilen. Dazu sei eine Analyse der Gefahrenlage notwendig, erklärt Wosylus: „Das ist wie bei einem Auto: Wenn der Motor ausfällt, ist das Risiko gering. Aber wenn Bremsen versagen, ist das ein Problem.“

Tatsächlich muss der Anwender bei seiner Risikobewertung berücksichtigen, wie auf eine Anwendung von außen zugegriffen wird, beispielsweise durch viele Zugriffe aus unterschiedlichen Quellen beim Tracking von Containern für Lastwagen. Dann ist das Risiko hoch, ebenso wie bei einer Fernwartung per Sensor, etwa für den schnellen Reparaturservice bei Maschinenschäden. Aber auch bei internen Anwendungen, bei denen kein Zugriff von außen erfolgt, heißt es, genau hinzusehen, wie etwa bei Datenbanken, Rechnungswesen, Beschaffung, Vertrieb oder Lager, die alle über zentrale Server gesteuert werden.

Schutz in Fernwartung

Selbst wenn die Hersteller einer Maschine über eine Fernwartungssession mit den Firmenservern eine vorgeblich sichere Internetverbindung aufbauen, sollten Unternehmen Vorsicht walten lassen, wie das BSI seiner Empfehlung zur IT im Unternehmen „Grundregeln zur Absicherung von Fernwartungszugängen“ rät. So sollte die Initiative für den Aufbau einer Supportverbindung immer vom Anwender ausgehen, die Verbindung sollte verschlüsselt sein, und der Zugreifende muss sich authentifizieren können. Am besten bewährt hat sich hier die Softwarelösung Virtual Private Network (VPN), bei der ein eigenes (privates) Netz über das Internet die Partner verbindet. Es ist nur für Sender und Empfänger sichtbar.

Auch Dirk Kretzschmar vom TÜV Informationstechnik warnt: „Wenn man in Produktionsanlagen Onlinezugangspunkte öffnet, sind immer erhebliche Sicherheitsbedenken angebracht.“ Ein Problem sei, dass Werkzeugmaschinen oft noch unter veralteter Software wie Win XP laufen. „Wenn man in einem solchen Fall die Ports öffnet und neue Dienste holen will, dann muss man sich gegen das Risiko eines Angriffs besonders absichern“, sagt Kretzschmar. In diesem Fall ist es nach Angaben des BSI am besten, den Server während der Session vom Netz zu trennen. Damit wird ein Zugriff des Wartungsservice auf andere Rechner verhindert. Schließlich darf sich der Dienstleister nur in dem Bereich bewegen, in dem die Fernwartung stattfinden soll.

An den zentralen Sicherheitszugängen wie der Firewall sollte zum Zwecke der Fernwartung so wenig wie möglich verändert werden. Selbst bei kleinen Anpassungen sieht das BSI ein Problem: „In der Praxis ist es jedoch meist nicht so einfach, diese Regel optimal umzusetzen, da jede Umkonfiguration der Firewall auch stets mit der Gefahr einer Fehlkonfiguration verbunden ist.“ Da ist Sorgfalt geboten, an der es aber oft durch Ablenkungen im Geschäftsbetrieb fehlt. Beispielsweise könne der Administrator, statt nur den Zugriff auf das Wartungsobjekt freizuschalten, versehentlich das komplette Netz öffnen, warnt das BSI. Eine weitere Bedrohung stelle eine dauerhafte Wartungskonfiguration auf der Firewall dar.

Dann seien Angreifer in der Lage, von außen in das Firmennetz einzudringen. Vorsicht sei dann geboten, wenn man die Firewall-Konfiguration für jeden einzelnen Wartungsvorgang ändere, dann erhöhe sich das Risiko von Fehlkonfigurationen oder dass am Ende der Session schlicht übersehen werde, die Firewall aus dem Wartungsmodus in den Normalzustand zurückzusetzen.

Funksignal an Cloud

Neben diesem herkömmlichen Verfahren will Aurelius Wosylus mit einem neuen Konzept für die sichere Device- und Sensor-to-Cloud-Kommunikation bei Unternehmenskunden punkten. Die sicherste Lösung sei, Sensoren gar nicht erst ans Internet anzubinden – aber deren benötigte Daten dennoch in eine Cloud zu übertragen. Wie das gehen könne? Die Informationen würden von den Sensoren vor Ort zu unregelmäßigen Zeitpunkten in sehr kurzen Takten von 1 bis 12 Byte über ein Funknetz übertragen und eben nicht mit direkter Internetanbindung, denn hier lauerten die Cyberangreifer. „Die angebundenen Sensoren kommunizieren nicht über das Internetprotokoll und haben keine IP-Adresse“, sagt Wosylus.

Erst in der über Firewalls abgesicherten Cloud setze die Verbindung der von den Sensoren abgeholten Daten über die Server mit dem Internet wieder ein. „Dieser Schutz ist für viele Maschinen- und Anlagenbauer entscheidend, denn er schützt die Geräte beim Kunden und räumt Bedenken bei der IoT-Anbindung von Devices aus“, sagt Wosylus. So seien die für die Funkübertragung geeigneten Geräte mit einer individuellen Identifikationsnummer und einem Netzwerk-Access-Key (NAK) ausgestattet, die in die Firmware des Devices eingebettet würden. Bei jeder Funkmeldung an den Server würden neben dem NAK auch eine einmalig vergebene Nummer übertragen sowie ein Authentifizierungscode für die Nachrichtenübermittlung, den der Server wiederum entschlüssele.

Durchhaltevermögen

Ein weiterer Vorteil sei, dass die Messsensoren für Maschinendaten sehr langfristig eingesetzt werden könnten, weil sie sich die meiste Zeit im Ruhezustand befinden, erläutert Wosylus. Sie meldeten sich nur, wenn ein Grenzwert überschritten oder ein Alarm ausgelöst wurde. Diese Kommunikation sei von außen nicht vorhersehbar, was eine weitere Sicherheitsbarriere darstelle.

Die Stromversorgung laufe über Knopfbatterien, die für eine lange Lebensdauer des Sensors sorgen. Daher sollten sich die Betriebsdaten des kompletten Lebenszyklus einer Maschine mit einer Generation eines Devices auslesen lassen.