[sgmb id=”1″]Der Hype um das Thema “Internet der Dinge” (Internet of Things [IoT]) hat Fahrt aufgenommen. Mittlerweile ist es in fast jedem Munde. Das Verständnis darüber, was es mit diesem Thema auf sich hat, ist sehr unterschiedlich. Dennoch gibt es einen Konsens darüber, was uns IoT bringen soll; Es sollen Geräte über das Netz (meist das Internet) Daten aus unserer Umgebung (mittelbar, unmittelbar) verfügbar machen, um darauf hin Dienste bereit zu stellen, die unsere Umgebung erweitern, beziehungsweise erweitert nutzbar machen. Allerdings muss auch erwähnt sein, dass IoT nicht erst seit jetzt ein neuer Gedanke ist. Auch vor etlichen Jahren schon haben Geräte mit dem Internet “geredet”. Primär ist nur jetzt erst die Hardware sehr günstig (um es vielleicht noch heftiger zu bezeichnen: “billig”) und die Technologie in einem höheren Reifegrad (KI von Microsoft (Cortana) und Google (DeepMind) bspw. ist mittlerweile “salon-fähig”).
Abbildung 1 www.google.de – Trends (IoT,Internet of Things) [24.10.2016]
Durch Druck zum hohen Riskio – Stand heute
Durch die verstärkten Investitionen in diesen Markt, werden auch immer mehr neue Geschäftsmodelle entwickelt, die es Unternehmen ermöglichen schnell mit diversen Lösungen auf den Markt zu kommen. Allerdings befinden wir uns noch am Anfang von allem, was mit IoT zusammenhängt. Was zu zwei Darstellungen führt. Wir spielen mit Hardware- und Software-Technologien und schauen, ob dies zusammen mit den Geschäftsmodellen am Markt funktionieren (Fail-Fast-Strategie), oder wir nutzen bereits etablierte Techniken, um schnell an den Markt zu kommen und damit Geschäftsmodelle zu entwickeln. Mit der Fail-Fast-Strategie kommt es dann häufig zu dem Effekt, dass technologische Ansätze eher unausgereift, oder nicht ganz zu Ende gedacht sind. Bei der zweiten genannten Darstellung auf dem Markt, hat das Unternehmen meist eine bessere Kompetenz bezogen auf die Eingesetzten “physischen” Technologien, doch kämpft diese noch mit den neuen Technologien und Ansätzen wie zum Beispiel die Cloud.
In beiden Fällen jedoch gibt es ein gemeinsames Problem (sicher noch viele andere, was aber gerade nicht das Thema sein soll): Sicherheit. Der Druck, den Unternehmen haben, sich auf dem neuen Markt zu etablieren, neue Geschäftsfelder auszuloten oder sich einfach zu behaupten, steigt stetig, wohin gegen die Zeit zur Erforschung und disziplinierten Anwendung von geeigneten Sicherheitsstrategien zu kurz kommt.
Alte Probleme – neue Probleme
Wie der Titel trefflich darstellt, kämpft die IoT-Generation mit Kinderkrankheiten. Leider scheint sich die Redewendung “Alte Probleme sind neue Probleme” auch in diesem hochtechnologisierten Bereich wieder zu spiegeln. Dies zeigten jüngst die Vorfälle bei Twitter und Co. Die IoT-gestützen Angriffen unterlagen (http://www.n-tv.de/technik/Hacker-legt-Twitter-Spotify-und-Co-lahm-article18910386.html).
Als vorrangig Computer “Bewegungsfreiheiten” im räumlichen Sinne hatten (also keinen bis geringen Anschluss an das damalige Internet), bekamen Unternehmen die Probleme von Vernetzung zu spüren, als das Internet immer populärer wurde. Es taten sich diverse Sicherheitslücken auf, die kontinuierlich von Angreifern genutzt wurden. Häufig spielten Angriffe eine Rolle, die sich die Masse an internetfähigen Computern zunutze machten (siehe hier DDOS-Atacken [Wikipedia]). Damit hatte man zu dieser Zeit nicht rechnen können, da einfach die Erfahrung nicht vorhanden war. Ebenfalls waren die Nutzer im Internet noch recht unbeholfen und ließen Ihre Rechner ungepatcht und ungesichert (ohne Virenscanner, Firewalls, …) ins Internet. Was zu einer wilden Zeit führte. Doch nun haben die Industrie, Unternehmen und User gelernt, womit die alten Probleme nahezu aus der Welt geschafft wurden. Die Internetprovider stellen Systeme zur Verfügung, welche DDoS-Atacken standhalten können, (viele)PCs sind standardmäßig mit Firewalls und Virenscannern ausgestattet, Programmierer können moderne Entwicklungstools und Standards (SQL-Injection, Input-Validation, Encryption, …) verwenden, um Angriffen vor zu beugen.
Leider scheint es so, als hätte man nicht dazu gelernt oder als ignorierte man die Erkenntnisse aus vergangenen Zeiten. Unternehmen beschäftigen sich nicht ernsthaft oder stark genug mit den von ihnen eingesetzten Technologien oder schätzen die Zusammenhänge und Effekte beim Einsatz von vernetzten Geräten falsch ein. Dies soll kein Vorwurf sein, denn Unternehmen bessern meist erst dann nur nach, wenn etwas passiert, das den Geldbeutel belastet – man agiert kostenoptimiert. Das Resultat…, die Sicherheit für das Produkt wird vernachlässigt. Entweder, weil die Technologie bewährt und ausgereift ist (bedeutet frei übersetzt Technologie von damals) oder die modernen Technologien nicht mit all ihren Fassetten bekannt sind. (siehe hier auch Artikel:Bedrohungslandschaft 2016: IoT-Angriffe und neue Umgehungstechniken )
Probleme die heutzutage auftreten sind schon länger bekannt. Diverse Heizungshersteller mit Fernsteuer-Software zum Beispiel kennen die Problematik, aber auch andere Smarthome-Produkte-Anbieter sind und waren vor Ausnutzung von Sicherheitslücken nicht gefeit [www.av-test.org – Thema Smart Home ]
Lösungen
Welche Lösung gibt es aus dem Dilemma? Nun, wir müssen lernen…!
Wir müssen zum einen moderne Sicherheitstechniken einsetzen. Das heißt zum Beispiel altbewährte Hardware kann weiterhin eingesetzt werden, muss aber ggf. durch sichere Field-Gateways gekapselt oder mit neuer Technik erweitert werden. Sichere Kommunikationsprotokolle müssen eingesetzt werden. Diese gibt es mittlerweile für fast jedes Szenario in der IoT. Hier ein Ausflug: AMQP(S) für schlanke QoS-orientierte Ansätze, MQTT(S) für so ziemlich jede Hardware, http(S) für starke Geräte und vielleicht noch CoAP/UDP(TLS) für absolute LowEnd Hardware.
Weiterhin müssen Unternehmen umdenken. Es gilt aus der Vergangenheit zu lernen und vielleicht doch den einen oder anderen Cent in die “Feldforschung” zu stecken, Mitarbeiter zu schulen und adäquate Hardware mit neuen Security-Chips auf den Markt zu geben. Leider führt die schier unendliche Vielfalt an Möglichkeiten dazu, dass eine Auswahl der richtigen Technik nur bedingt oder mit hohen Aufwänden verbunden ist. Hier muss sich auch noch die richtige Richtung zeigen, die meist durch Konsortien und damit verbundenen Standards einhergeht.
Ein Beispiel dafür gibt die Strategie der Bundesregierung mit dem Namen Industrie 4.0 (siehe Wikipedia) vor. Denn hier bestehen für Unternehmen berechtigte Eigeninteressen, ihr IoT-System sicherer zu gestalten. Mit der OPC Task Force (heute OPC Foundation), die aus Siemens, Intellution und Fisher-Rosemount zusammensetzte, wurde ein universelles/herstellerunabhängiges Kommunikationsprotokoll/-System geschaffen, das heute industrieller Standard ist. Mit OPC UA wurden nun auch viele der Sicherheitslücken geschlossen.
Leider kann es derzeit keine ultimative Lösung geben, die sofort greift, um das derzeit hohe Risiko durch stetig wachsende Sicherheitslücken zu mildern.
Letztlich bleibt nur fest zu stellen, dass die “IoT-Generation” wohl, genauso wie die “Internet”-Generation damals, erst einmal erwachsen werden muss, um die gerade vorherrschenden Kinderkrankheiten zu bewältigen.