Mit IIoT-Sicherheit den Betrieb schützen

Autor/Redakteur: Mirco Kloss, Business Development Manager Operational Technology DACH bei Fortinet/gg

Die digitale Transformation von Unternehmen, auch vierte industrielle Revolution genannt, funktioniert größtenteils durch Automatisierung, künstliche Intelligenz (KI) und immer schnellere technologische Innovationen. Gestützt von Automatisierung und Datenaustausch werden industrielle Prozesse und Maschinen immer intelligenter und modularer. Ein Kernfaktor dabei: Das Internet der Dinge (Internet of Things, IoT) und das industrielle Internet der Dinge (IIoT). Die so vernetzten intelligenten Geräte liefern mit geringem Aufwand kontextbezogene Informationen in Echtzeit. Das ermöglicht Unternehmen ebenso wie einzelnen Personen die Prozesse und Interaktionen zu interpretieren und optimieren.

Bild: Fortinet

McKinseys Schätzung, dass die Investitionen in IoT-Technologie über das Jahr 2022 um 13,5 Prozent zulegen würden, überrascht daher wenig. Solch ein Wachstum trägt indes zu einer Explosion an Produktions- und Industriedaten bei. Diese Daten werden unter anderem erhoben, um die Produktivität zu steigern, Vorgänge zu beobachten und die vorausschauende Wartung zu verbessern. Allein angesichts der schieren Menge geschäftskritischer Daten, die IoT- und IIoT-Geräte erzeugen, müssen Unternehmen diese digitalisierten Technologien dringend absichern.

Warum IIoT-Sicherheit so wichtig ist

Cyberkriminelle wissen um die Bedeutung dieser Datenflüsse und versuchen, die Angreifbarkeit von IoT- und IIoT-Geräten auszunutzen. Denn diese Geräte erzeugen, wie bereits dargelegt, eine immer stärker zunehmende Menge strukturierter und unstrukturierter Daten und sind zum Teil in globalen Ökosystemen vernetzt. Das stellt selbst die besten Organisationen vor Herausforderungen. Erschwerend kommt hinzu, dass viele dieser Geräte drahtlos sind (WLAN oder 5G). Häufig haben sie zudem für die Fernwartung Kommunikationskanäle zu ihren Herstellern, was sie zu einer potenziellen Hintertür in das Produktionsnetzwerk macht.

Viele Unternehmen sind aber nicht gut auf diese Schwachstellen in IoT- und IIoT-Geräten vorbereitet. Die allgegenwärtige Vernetzung von Geräten, Benutzern und verteilten Netzwerken stellt sogleich eine große Herausforderung für herkömmliche, separate Sicherheitslösungen dar. Die Abwehrbemühungen auf einzelne Punkte im Netzwerk zu fokussieren, wird zunehmend unwirksam. Das Fehlen einer zentralen Sichtbarkeit über alle Geräte, Anwender und das gesamte Netzwerk schafft „blinde Flecken“, die Cyberkriminelle ausnutzen können.

Laut einer EY-Studie fürchtet knapp die Hälfte der Unternehmen, die Sicherheit ihrer IoT- und IIoT-Elemente nicht ausreichend nachvollziehen zu können. Auch um ihre Fähigkeit, Viren abzuwehren und Sicherheitslücken zu patchen, machen sie sich Sorgen. Verschärft wird diese Komplexität zusätzlich, wenn IIoT-Geräte mit kabelgebundenen Geräten in denselben Netzwerksegmenten genutzt werden. Das kann eine genaue Zuordnung der Geräte deutlich erschweren.

Bewusstmachen: wichtige IoT- und IIoT-Sicherheitsrisiken

Aus Security-Perspektive stellen IoT- und IIoT-Geräte ein hohes Risiko dar. Ein Problem: Die meisten Geräte wurden ohne Sicherheitsfunktionen entwickelt. Eine Vielzahl von Geräten sind „kopflos“ (headless), ihnen fehlt also ein traditionelles Betriebssystem und oft sogar der nötige Speicher und die Rechenleistung, um eine Sicherheitskomponente oder eine Security-Software zu installieren. Darüber hinaus haben eine alarmierende Anzahl von Geräten die Passwörter in ihrer Firmware festgeschrieben.

Das Ergebnis: Viele IoT-Geräte lassen sich nicht patchen oder mit Updates versehen. Und selbst wenn Sicherheitsfunktionen auf einem Gerät installiert werden können, ist die zugrundeliegende Software häufig aus frei verfügbarem Code zusammengestellt oder ungetestet. Indem Angreifer also eine breite Palette bekannter Schwachstellen ausnutzen, können selbst eventuell vorhandene Security-Tools umgangen werden. Sind diese Geräte dann kompromittiert, können die meisten Organisationen die Sicherheitsverletzung erst entdecken, wenn sie sich bereits auf Systeme und Daten auswirkt.