Das Internet der Dinge (IoT), der derzeit vermutlich grösste Hype in der IT-Welt, macht auch vor Unternehmen und Energiedienstleistern nicht Halt. Aktuelle Cyber-Bedrohungen stellen für IoT-Projekte jedoch eine grosse Herausforderung dar. Unterschiedlich hoher Schutzbedarf trifft auf eine Vielzahl von Lösungsansätzen und Komponenten. Hier ist es ratsam, sich den unterschiedlichen Risiken und kritischen Schwachstellen bewusst zu werden. Und dann zu handeln. Wie Sie gezielt vorgehen können, erfahren Sie hier in unserem eigens für Sie angefertigten - und kostenlosen - Whitepaper «IoT & Industrie 4.0 Security». Aber erst der Reihe nach...
Die Energiebranche zeigt sich vorbildlich, was Safety- und Verfügbarkeitsanforderungen anbetrifft. Mit IoT entwickeln sich die Branchenlösungen jedoch in eine ‒ in weiten Teilen ‒ offene «OT» (Operational Technology) Welt, in der kritische Systeme nicht mehr ausreichend isoliert sind. IoT ist zwar nichts Neues, aber die heutigen Möglichkeiten sind verlockend und eine Chance für den zukünftigen Geschäftserfolg. Bereits realisierte IoT-Projekte in der Schweiz zeigen dies eindrucksvoll auf. So steuern beispielsweise intelligente Systeme einen Park von Warmwasserboilern für die Bereitstellung von Regelenergie. Systeme automatisieren dabei ganze Meter-to-Cash-Prozesse oder komplexe Smart Grid-Komponenten übernehmen kritische Funktionen im Stromnetz. Dabei gilt es, nicht nur die Integrität und die Verfügbarkeit der einzelnen Systeme zu schützen, sondern auch die Daten. Der Business Case von IoT-Systemen liegt längst nicht mehr nur in der Automatisierung von Prozessen, sondern auch in der Individualisierung und Personalisierung von Energieprodukten und den dazugehörigen Dienstleistungen. Vertrauenswürdige Dienstleister müssen den Schutz dieser personenbezogenen Daten ernst nehmen. Umso mehr, weil die Daten in der Cloud bearbeitet und über unsichere Netze zwischen Objekten, Menschen und Services übertragen werden. Der Schutzbedarf von IoT-Projekten verlangt also Kompetenzen aus den beiden Welten IT und OT.
Aber in welcher Entwicklungsphase und mit welchen Massnahmen soll dieser Schutzbedarf in den IoT-Systemen angegangen werden? IoT-Projekte sind zwar keine komplexe Wissenschaft mehr, weisen jedoch trotzdem einige Besonderheiten auf: Security by Design heisst das Mantra in der Security Branche. In der Realität ist dies aus Innovationssicht jedoch meist nur bei kritischen Projekten oder IoT- spezifischen Anforderungen möglich. Um den Schutzbedarf eines IoT-Projektes abschätzen zu können, bedarf es zu Beginn eine entsprechende Risikoanalyse. Dabei sind die Auswirkungen von Vorfällen im Kontext des Einsatzes der IoT-Systeme und Use Cases zu hinterfragen. Was heisst das nun für Sie konkret? Folgende Fragestellungen sollten Sie berücksichtigen:
Auf dieser Basis können Sie erstmals eine Kritikalität abschätzen und eine Herangehensweise ableiten. Dies kann bedeuten, dass Security by Design tatsächlich zwingend notwendig wird. Oder aber auch, dass erst einzelne Sicherheitsmassnahmen implementiert werden müssen. In IoT-Vorhaben mit höherem Schutzbedarf sollte im nächsten Schritt die Eintrittswahrscheinlichkeit von Vorfällen eruiert und Prioritäten abgeleitet werden. Dies gelingt durch eine Abschätzung der potentiellen organisatorischen und technischen Verletzbarkeiten im Gesamtsystem sowie für die einzelnen Komponenten.
Im nächsten Schritt sollten Sie Ihre IT-Security sowie teilweise auch die physische Resilienz der Komponenten untersuchen und testen. Aber auch die Kommunikation zwischen den Komponenten, die zentralen Datenverarbeitungssysteme und die Interaktion zwischen Anwender und Betreiber müssen berücksichtigt werden. Nicht zu vergessen ist zudem die Prüfung der Gesamtorganisation mitsamt den dazugehörigen Prozessen.
Für die Tests kommen je nach Fragestellung unterschiedliche Methoden zur Anwendung:
In der Praxis sind häufig Applikationen ein einfaches Ziel für Angriffe. Die Mehrheit der IoT-Anwendungen setzt auf Open Source Software, Drittkomponente sowie Eigenentwicklungen. Zudem sind sie häufig exponiert, was die Applikationen besonders verletzlich macht. Ein Applikationstest nach OWASP IoT Top 10 kann hier ein geeignetes Mittel sein, um verwundbare Stellen ausfindig zu machen. Sicherheitstests können und sollten in jeder Phase der IoT-Lösungsentwicklung durchgeführt werden. Dabei kann es hilfreich sein, mit Testautomatisierungen zu arbeiten. So können Sie neue oder wiederkehrende Fehler in der Weiterentwicklung der Applikation verhindern.
Um den individuellen Schutzbedarf von IoT-Projekten zu gewährleisten, empfehlen wir die Analyse anhand realistischer Risikoszenarien. Diese helfen Ihnen, ein besseres Verständnis für die Sicherheitsbemühungen zu erhalten sowie Transparenz und Vertrauen zu schaffen. Zudem können diese Szenarien später auch für die Modellierung von Bedrohungen beim Testing genutzt werden. Dies schafft zusätzliche Awareness im Projekt und hilft Ihnen, Schwachstellen kontinuierlich zu beseitigen. Um diese beheben zu können ist es unerlässlich, ein stabiles, verschlüsseltes und authentisiertes Update-System aufzubauen.
Unsere Spezialisten sind überzeugt: Es braucht ein systematisches Vorgehen und einen ganzheitlichen Ansatz, um Cyber Security im schnell wachsenden Internet der Dinge und der Industrie 4.0 zu etablieren. Wie Sie dies erfolgreich meistern, zeigen wir Ihnen in unserem kostenlosen Whitepaper anhand von 5 einfachen Schritten. Dazu haben wir eigens für Sie das ultimative IoT & Industrie 4.0 Security Barometer entwickelt. Sind Sie bereit? Jetzt downloaden und Sie erhalten kostenlos wertvolle Experten-Tipps!
Dieser Artikel erschien in der EnergieRundschau 02/2016. Lesen Sie hier den ganzen Artikel!