InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die Entwicklung von Internet of Things (IoT) und Industrie 4.0 schreitet unaufhaltsam voran - und immer mehr Systeme werden über das Internet miteinander verbunden. Unsere Erfahrung zeigt: Was vernetzt ist, ist aber auch über das Netz angreifbar. Das geht manchmal einfacher, manchmal ist es aufwendiger. Deshalb muss man sich um die Sicherheit bei IoT und Industrie 4.0 kümmern, bevor man Systeme vernetzt. Wir zeigen Ihnen, mit welchen Massnahmen Sie dies erfolgreich machen können.
Ein Angriff auf einen intelligenten Thermostat scheint uninteressant zu sein. Ein erfolgreicher Angriff auf die US-Kaufhauskette Target war das Resultat von schlechter Security beim Klimatisierungs-, Lüftungs-Management- und Kontroll-Systemen in ihren Geschäften. Mehr als 70 Millionen Kunden wurden bei dem Einbruch kompromittiert. Immer wieder kommen weitere erfolgreiche IoT-Angriffe mit hohem Stellenwert ans Tageslicht, wie zum Beispiel das Carna-Embedded-Device-Botnet, TRENDnets Web-Kamera-Exploit, den Linux.Darlloz-Wurm und der Thingsbot-Angriff.
Unsere Cyber Security Analysten beobachten immer mehr komplexe Angriffe und andere Advanced Persistent Threats (APT) genannte Angriffe. Solche Attacken gehören leider längst zum täglichen Erscheinungsbild – und immer mehr sind auch Industrieanlagen davon betroffen. Wer sich selber ein Bild davon machen möchte, wie die reale Bedrohungslage aussieht, der sollte sich mit der Suchmaschine Shodan beschäftigen. Shodan ist eine Suchmaschine für vernetzte Geräte, von der Überwachungskamera, dem intelligenten Fernseher, über den Kühlschrank bis hin zu Industrieanlagen in Fabriken, Zugssteuerungsanlagen, etc.
Jeder will so schnell wie möglich neue Geräte auf den Markt bringen. Deswegen ist Security nicht Teil des Designs, zumindest gibt es enorme Einschränkungen oder die Umsetzung von Schutz Mechanismen ist mangelhaft.
Die Entwickler herkömmlicher Embedded-Systeme haben sich keine Gedanken über Security-Kontrollmechanismen gemacht. Diese Systeme waren ursprünglich von IP-Netzwerken isoliert (Air-Gap). Diese Air-Gaps verschwinden zusehends, und immer mehr industrielle Kontroll-Systeme (ICS) werden mit Dritt-Netzwerken verbunden und remote verwaltet.
Es zeigt sich immer wieder, dass selbst einfache Security-Prinzipien, die seit Jahren als «Good-Practice» in der IT-Welt gepredigt, es nicht in die Produkte schaffen. Als Simples Beispiel: starke Passwörter. Was können wir also tun, um die IoT-Security zu verbessern?
Sicherheit darf kein Thema sein, dem man sich irgendwann hinterher widmet, womöglich erst, wenn etwas schief gegangen ist. Wer sich mit IoT und Industrie 4.0 beschäftigt, muss sich auch mit Security by Design beschäftigen.