Fokus Sicherheit

Page 8

E I N E P U B L I K AT I O N VO N S M A RT M E D I A

8 FACHARTIKEL • CYBER SECURITY

FOKUS.SWISS

Cyber Security im loT: unverzichtbar und doch vernachlässigt Für Hersteller und Betreiber von IoT-Anwendungen spielt Security oft eine Nebenrolle. Das kann sich rächen. Ohne Berücksichtigung der Cyber Security wird das IoT-Device zur Einflugschneise für Cyberkriminelle: Die Unternehmensinfrastruktur wird zur Hochrisikozone. Die massive Zunahme von Cyber-Angriffen müsste Hersteller und Betreiber zum Handeln zwingen.

Reto Amstad

Senior Security Consultant CyOne Security AG

D

as Internet der Dinge (IoT) breitet sich in hohem Tempo in allen Branchen und Märkten aus und das IoT-Netzwerk wird immer dichter – auch im industriellen Umfeld (IIoT). Dadurch dringen IIoT-Anwendungen öfters in kritischere Bereiche unserer digitalen Gesellschaft vor. So werden vernetzte Geräte in Bereichen wie Medizintechnik und kritische Infrastrukturen zur Normalität. Damit steigen die Risiken drastisch und wirken sich durch gefährliche Cyber Incidents massiv negativ auf die Unternehmen und die Wirtschaft aus. Nebst dem Verlust der Vertraulichkeit und Beeinträchtigungen der Verfügbarkeit von Daten können Datenmanipulationen gerade in den Bereichen Medizin, Pharma, Verkehr und kritische Infrastrukturen dramatische Folgen für Leib und Leben bedeuten. Und dennoch: Das Thema Cyber Security wird bei IIoT-Anwendungen heute immer noch bagatellisiert, wenn nicht sogar ignoriert. Cyber-Attacke auf IloT-Devices ist Realität Viele Unternehmen, welche bereits heute IIoT-Anwendungen betreiben, sind ungenügend gegen CyberAngriffe gewappnet. Grosse Risiken stellen dabei die schlecht geschützten IIoT-Geräte selber dar (Sensoren, Aktoren, Gateway). Sie werden neben den klassischen Angriffsvektoren wie E-Mail von Angreifenden immer häufiger als Einfallstor in die Unternehmensinfrastruktur oder als Sprungbrett für eine Kompromittierung anderer Systeme innerhalb von segmentierten Infrastrukturen verwendet. Die dafür verantwortlichen Hauptschwachstellen sind: Der IIoT-Geräteverkehr wird oft unverschlüsselt abgewickelt, IIoT-Geräte sind rund um die Uhr in Betrieb, immer online, schlecht gewartet und zu selten überwacht. Zudem liefern sie, in Kombination mit der Kenntnis zum Einsatzumfeld, Auskunft über die Identität des Benutzers respektive Unternehmens. Cyber-Kriminelle nutzen vorhandene Sicherheitslücken gezielt aus. So können ganze Produktionsketten lahmgelegt, Kundendaten manipuliert, Unternehmen erpresst oder sogar Industriespionage betrieben werden. Schlimmstenfalls sind Menschenleben gefährdet.

Sichere IoT-Konnektivität alleine genügt nicht IoT-Beratungsunternehmen und klassische CyberSecurity-Anbieter konzentrieren sich heute oftmals auf sichere Netzwerkverbindungen ab den Perimetern hin zum Betreiber, zum Cloud-Anbieter oder zum Anwender. Das zu berücksichtigen ist grundsätzlich richtig, macht aber nur einen Teil der notwendigen Massnahmen aus. Um ein IoT-Ökosystem umfassend und «end to end» zu schützen, braucht es zusätzlich sichere IIoT-Devices und Know-how für eine sichere

Integration in eine bestehende Netzwerkinfrastruktur. Dies haben beispielsweise in der Medizintechnik auch die regulativen Organe erkannt und erlassen Anforderungen zur Cyber Security von Medizinprodukten, z.B. die FDA in den USA sowie die MDR durch die EU. «Security by Design» lautet die Devise für Hersteller Eine umfassende Sicherheitsbetrachtung muss deshalb bereits in der Produktentwicklung miteinbezogen werden. Fehlende Sicherheitskomponenten und -funktionen in IIoT-Produkten nachzurüsten, ist riskant und teuer. Sicheres Hardware- und

Um ein IoT-Ökosystem umfassend und «end to end» zu schützen, braucht es zusätzlich sichere IIoT-Devices und Know-how für eine sichere Integration in eine bestehende Netzwerkinfrastruktur. Secure IoT Connectivity Operator (Industrial) User / Customer

Cloud Provider Edge Router

Current Understanding of Security

Betreiber müssen die SecurityAspekte einfordern Auch die Betreiber sind in der Verantwortung: Bei der Evaluation eines neuen netzwerkfähigen IIoT-Device muss genauer hingeschaut werden. Betreiber müssen beim Hersteller detailliertere Angaben bezüglich der Sicherheitsaspekte Konnektivität, sichereres IIoT-Produkt, sichere Integration und Datenhaltung einfordern und prüfen. Nur so können sie sich darauf verlassen, dass ihre IT/OT-Infrastruktur mit den neu eingekauften vernetzten Produkten nicht zum Risikofaktor wird. IloT Security: Erfolgsfaktor für Hersteller und Betreiber Mit «IloT Security by Design» verschaffen sich Hersteller einen entscheidenden Wettbewerbsvorteil und den weiteren Marktzugang, indem sie die CyberRisiken für ihre Produkte und Anwendungen minimieren. Die Betreiber können sich auf eine sichere Lösung verlassen, so ihre Betriebsrisiken minimieren und die Lebensdauer der Produkte verlängern. Somit lohnt es sich für alle Parteien, zukünftig vermehrt in IIoTSecurity bzw. Product Cyber Security zu investieren. Ganzheitliche IoT Security erfordert spezifische Kompetenzen Die spezifischen Fachkompetenzen zu den drei IoTSecurity-Aspekten, die sich über den gesamten Lebenszyklus eines Produkts erstrecken, differenzieren sich klar von den klassischen Cyber-Security-Fachkompetenzen für IT-Infrastrukturen, die sich in den letzten Jahren in den Unternehmen etabliert haben. Es lohnt sich, projektspezifische IoT-Security-Experten beizuziehen, um eine ganzheitliche und nachhaltige IloT-Security zu erreichen. Dadurch können sich die Entwicklungsteams der Hersteller auf ihr Kerngeschäft – innovative IloT-Devices zu entwickeln – konzentrieren und personelle Ressourcen schonen.

Internet

Manufacturer

Secure IoT Integration

Softwaredesign mit Validierungen und Plausibilitätsprüfungen, konsequente Datentrennung, Nachvollziehbarkeit, sichere Schnittstellen, Monitoring und Updatefähigkeit sind darum von Anfang an zwingend einzuplanen und konsequent umzusetzen. «Security by Design» ist dabei der effiziente und nachhaltige Ansatz. Nur so können Hersteller updatefähige Produkte entwickeln, welche sich im Betrieb den sich verändernden Cyber-Risiken stetig anpassen können und für die Betreiber länger einsetzbar bleiben.

4G / 5G Telco Provider

(I)IoT Devices

Secure IoT Device

Die drei relevanten Aspekte in der IoT Security: Sicherheit punkto Konnektivität, Produkt und Integration

Text Reto Amstad

BRANDREPORT • INSEYA AG

SASE – die neue Mitte in der Cybersecurity-Evolution Vernetzung ist der wichtigste Treiber der Digitalisierung. Gleichzeitig macht sie die angebundenen Systeme hochgradig verletzlich, insbesondere mit dem Vormarsch der Cloud und dem Homeoffice. Wie weiter?

Reto Heutschi

L

aptops und Smartphones sind nicht mehr nur auf dem Campus; Cloudservices werden ebenfalls ausserhalb betrieben. Fliesst der Datenverkehr direkt vom Gerät zum Service, was aus Sicht der Verbindungskapazitäten anzustreben ist, werden alle klassischen Sicherheitseinrichtungen umgangen. Die moderne Antwort darauf gibt die Industrie mit der von Gartner 2019 als Secure Access Service Edge (SASE) bezeichneten Lösungskategorie. Sie verschmilzt Vernetzung und Security in eine einzige Plattform und wird aus der Cloud als Service angeboten. Exemplarisch voran geht dabei Cato Networks, welche von Gartner 2021 schon zum dritten Mal als «Sample Vendor» in der SASE-Kategorie in deren «Hype Cycle for Enterprise Networking» ausgezeichnet wurde.

Secure Access Service Edge (SASE) entstand aus der Erkenntnis, dass die separate Behandlung von Netzwerk- und Security-Anforderungen nicht zum Ziel führt. Traditionelle Netzwerk- und Netzwerksicherheitsarchitekturen, die das Unternehmens-Rechenzentrum als Mittelpunkt für den Zugriff positionieren, sind in der neuen Cloud-Welt gemäss Gartner zunehmend ineffektiv – selbst mit der Einführung einiger cloudbasierter Dienste wie Secure Web Gateways, SD-WAN, Web Application Firewalls usw. Gemäss dem 2020 Mid Year Report Data Breach QuickView von RiskBased Security sind die grössten Treiber von exponierten Datensätzen, falsch

NETWORK Router

WAN Op mizer

Edge SD-WAN

konfigurierte Datenbanken und Services. Muss man also viele einzelne Services konfigurieren und aufeinander abstimmen, steigt dieses Risiko stark. SASE ist die Verschmelzung von Netzwerken und Sicherheitslösungen in einem ganzheitlichen, agilen und anpassungsfähigen Service, um digitale Geschäftsmodelle bereitzustellen. Mit SASE findet ein Paradigmenwechsel statt – durch eine voll integrierte Netzwerk- und Sicherheitsplattform, die identitätsgesteuert, cloudnative und global verteilt ist, sowie alle Randbereiche (WAN, Cloud, Mobilgeräte und IoT) sicher miteinander verbindet, sinkt die Komplexität enorm. Parallel wird die Security,

CATO Cloud

SECURITY Network Security as a Service

Next-gen Firewall

Stateful Firewall

z.B. durch die direkt integrierte Managed Detection and Response (MDR) Engine, deutlich gesteigert. Die Möglichkeit, SASE als Service zu beziehen, bietet eine weitere spannende Chance. Viele Organisation hatten zwischenzeitlich einen schönen Teil der IT an externe Anbieter vergeben, da es sehr aufwändig ist, von der Hardware bis zur Applikation alles selbst zu betreiben. Dabei ging viel Flexibilität verloren und der Service für die Nutzer wurde oft schlechter. Da sich Unternehmen bei Cloudservices nicht mehr um den Unterbau kümmern müssen, können sie diese mit wenig Aufwand selbst «betreiben». Man gewinnt Flexibilität und vor allem die Kontrolle zurück und kann wieder einen «Best of Breed»-Ansatz fahren, da nicht alles von ein und demselben Outsourcer bezogen werden muss. Zum Autor: Reto Heutschi ist Mitgründer, Geschäftsleiter und Verwaltungsrat der IT-Security Firma Inseya AG. Inseya ist Cato Networks Distinguished Provider.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.