für Internet der Dinge (IoT) bezeichnet all jene Technologien, die den Einsatz intelligenter Objekte ermöglichen, also Sensoren und Aktoren, die, verbunden mit dem Internet, programmiert oder aus der Ferne genutzt werden können, beispielsweise über eine Anwendung von einem Mobiltelefon oder ein Programm aus einer Einsatzzentrale Computer. Dies ist der Fall bei Sensoren, die beispielsweise als Kameras dienen, mit denen Haustiere überwacht werden, wenn man nicht zu Hause ist, oder bei der kommunalen Radarkamera, die automatisch Fotos von Autokennzeichen an die örtliche Polizei übermittelt, anstatt Druck von einem Kernreaktor, der einen Alarm an die zentrale Steuerung sendet; und dies ist, um es deutlich zu sagen, der Fall bei dem intelligenten Relais, das das Bewässerungssystem des Hausgartens einschaltet, oder bei den Servomitteln zum Öffnen der Türen einer automatischen U-Bahn oder bei der Steuerung des Überlauf-Entlüftungsschiebers von ein Damm mit Blick auf ein Bergdorf.
Diese intelligenten Objekte werden die Lebensqualität der Menschen, die Effektivität und Rentabilität industrieller Prozesse sowie die Sicherheit von Nationen zunehmend verbessern. Fakt ist jedoch, dass sie heute neue Risiken mit sich bringen, deren Eintrittswahrscheinlichkeit in der Regel höher ist als die entsprechenden Sicherheitsrisiken für Computer, Tablets und Smartphones.
Und der Grund dafür ist einfach: Während Regierungen, Hochschulen und die Computer- und Softwareindustrie auf viele Jahrzehnte Forschung und Entwicklung im Bereich der Cybersicherheit im Bereich Informationstechnologie zurückblicken, sind es die Hersteller intelligenter Objekte und die Entwickler industrieller Steuerungssysteme – unabhängig davon, ob es sich um neu entwickelte Geräte handelt oder angepasste Versionen traditioneller Modelle - Sie haben keine Erfahrung mit der Fülle an Cyberschutz-Wissen, die in der IT-Welt erworben und entwickelt wurden.
Darüber hinaus führt der Drang, kostengünstige „Intelligenz“ einzuführen, was den Einsatz von Systemen mit reduzierter Rechenkapazität und begrenztem Energieverbrauch zur Vermeidung der Verwendung von Hochleistungsbatterien zur Folge hat, in vielen Fällen dazu, dass Lösungen für Server entwickelt werden unbrauchbar, PCs und Smartphones, Objekte, für die es keine Kostenbarriere gibt.
Das Ergebnis ist, dass heutzutage IoT-Geräte verwendet werden – im Gegensatz zu dem, was mittlerweile systematisch geschieht Supply Chain von IT-Geräten und Software – in der Regel werden sie nicht mit den notwendigen Cybersicherheitsfunktionen hergestellt, die zur Minderung der damit verbundenen Risiken beitragen, noch gibt es ähnliche Fähigkeiten, die Benutzer in der Installations- und Betriebsphase unterstützen könnten.
Und als prädisponierenden Risikofaktor ist auch zu berücksichtigen, dass diese Sensoren und Aktoren dafür ausgelegt sind Internetfähig, sie haben oft auch Funktionen PlugDas heißt, sie verbinden sich mit dem Netzwerk und beginnen zu arbeiten, ohne dass vorherige Installations- und Konfigurationsaktivitäten erforderlich sind, und sie verfügen auch nicht naturgemäß über die in der IT-Welt typische Funktionalität, die Sitzung nach einer Zeit der Inaktivität zu blockieren. Eine sehr aktuelle Studie hat bestätigt, wie während der StandbildaufnahmeIn der Stille der für die Öffentlichkeit geschlossenen Büros operierten die IoTs unkontrolliert weiter und deckten Unternehmensnetzwerke auf Anlagen.
Diese Lücke muss so schnell wie möglich geschlossen werden, und die wissenschaftliche Welt entwickelt gemeinsam mit der Industrie sowie den Kontroll- und Regulierungsbehörden eine Reihe von Anforderungen und Empfehlungen, die – nach dem Vorbild dessen, was im IT-Bereich bereits vorhanden ist – Druck ausüben um spezifische Risikoannahmen zu berücksichtigen und darauf abzuzielen, bestimmte Bereiche der Risikominderung zu überwachen.
Grundsätzlich sind drei Risikoannahmen zu berücksichtigen. Erstens werden intelligente Objekte zunehmend dazu genutzt, koordinierte Angriffe mit spürbaren Auswirkungen durchzuführen und sich an DDoS-Angriffen zu beteiligen (Distributed Denial of Service: Für Laien handelt es sich um einen Angriff auf einen Server mit dem Ziel, diesen zu „überfluten“) um die Bereitstellung des Dienstes zu verhindern) gegen andere Organisationen, das Abfangen des Netzwerkverkehrs oder die Gefährdung anderer Geräte im selben Netzwerksegment. Das Ereignis vom 21. Oktober 2016 gilt als Vorbild für alle, wenn es um die Entstehung eines der größten geht Botnet Gegründet durch IoT, also durch ein geheimes Netzwerk intelligenter Objekte, die ohne Wissen der rechtmäßigen Besitzer heimlich kontrolliert werden, wurden DDoSs auf dem DNS-Dienst (Domain Name System: für Neulinge ist es ein bisschen wie das Telefonbuch oder das Straßenadressbuch) erstellt das Internet verwendet, um die numerische Adresse mit den Namen von Websites oder E-Mail-Domänen zu verknüpfen). Dieser Angriff verhinderte, dass Benutzer auf die größten Webressourcen in den Vereinigten Staaten zugreifen konnten, darunter Twitter, Spotify und PayPal.
Die anderen beiden Einschätzungen betreffen die Tatsache, dass: IoT-Geräte, die Daten enthalten, Ziel von CIA-Angriffen (Vertraulichkeit, Integrität, Verfügbarkeit) werden, um die darin gespeicherten oder über sie übertragenen Informationen zu stehlen, zu kompromittieren oder unzugänglich zu machen; und dass Angriffe auf das Internet der Dinge gestartet werden können, um die Privatsphäre von Einzelpersonen zu gefährden.
Daher besteht die Notwendigkeit, den physischen Schutz der Geräte, die logische Sicherheit der Daten und, in Fällen, in denen personenbezogene Daten verarbeitet werden, den Schutz des Rechts auf Privatsphäre zu gewährleisten.
Unter diesem Gesichtspunkt müssen Hersteller die technologische Überwachung in fünf Schadensbegrenzungsbereichen sicherstellen, nämlich: Aufrechterhaltung eines aktualisierten und zeitnahen Inventars aller IoT-Geräte und ihrer relevanten Merkmale (Asset Management); Identifizieren und entschärfen Sie bekannte Schwachstellen in der Gerätesoftware, beispielsweise durch die Installation von Patches und die Änderung von Konfigurationseinstellungen (Schwachstellenmanagement); Vermeiden Sie unbefugten und unzulässigen physischen und logischen Zugriff (Zugriffsverwaltung). Verhindern Sie den Zugriff auf und die Manipulation von auf dem Gerät gespeicherten oder übertragenen Daten, die vertrauliche Informationen preisgeben oder eine Manipulation oder Unterbrechung des Gerätebetriebs ermöglichen könnten (Datenschutz); und schließlich die Incident-Detection-Aktivitäten, mit denen die Aktivität des IoT-Geräts überwacht und analysiert wird, um Indikatoren für eine Kompromittierung der Geräte und Daten hervorzuheben.
Die Frage ist sehr ernst und nicht zweitrangig. So sehr, dass der Präsident der Vereinigten Staaten das unterzeichnete „Memorandum zur Verbesserung der Cybersicherheit für Kontrollsysteme kritischer Infrastrukturen“ mit dem er die startetPräsidialinitiative zur Cybersicherheit industrieller Steuerungssysteme (OT). Und es investiert systemisch in das Ganze Supply Chain von IoT-Technologien: Hersteller und Installateure müssen sich während des gesamten Lebenszyklus der Technologie damit auseinandersetzen, beginnend in der Forschungs-, Entwicklungs- und Produktionsphase vor dem Verkauf, mit den richtigen technischen Aktivitäten, die darauf abzielen, die Cybersicherheitsmerkmale und -funktionen sicherzustellen. Darüber hinaus müssen sie weiterhin Informations- und Kundendienstaktivitäten durchführen, um dem Endbenutzer die erforderliche technische Unterstützung zu gewährleisten, auch im Hinblick auf die Nutzung der bereits von der EU vorgeschlagenen Cloud-Plattformen Supply Chain IT zur Verschlüsselung der Kommunikation zwischen intelligenten Objekten.
Abschließend darf nicht übersehen werden, dass all dies unweigerlich zu einem Anstieg sowohl der Produktionskosten als auch der zur Gewährleistung der Betriebs-, Wartungs- und Servicequalität erforderlichen Ressourcen führen wird: Diese wiederkehrenden Kosten könnten dazu führen, dass IoT-Geräte in vielen Zusammenhängen nicht mehr attraktiv sind.
Orazio Danilo Russo, Giorgio Giacinto, Alessandro Rugolo
Um mehr zu erfahren:
https://blog.osservatori.net/it_it/iot-sicurezza-privacy
https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf
https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices
