Das Internet of Things erfordert völlig neue Sicherheitskonzepte
Hacker und Internet-Betrüger scheinen mit dem Internet of Things (IoT) ein neues lukratives Angriffsfeld entdeckt zu haben. Berichte über manipulierte IoT-Anwendungen häufen sich in jüngster Zeit. Und schon wird über das „Internet der gehackten Dinge“ gespottet. Die QSC-Tochterfirma Q-loud GmbH ist selbst einer der profiliertesten Anbieter von IoT-Lösungen in Deutschland.
Mit einem der Q-loud-Geschäftsführer – Christian J. Pereira – sprachen wir über Gefahren und Sicherheitskonzepte.
Herr Pereira, Hacker öffnen Türen von Autos, die ihnen nicht gehören. Sie manipulieren Heizungsthermostate in Häusern anderer Leute und greifen in die Steuerung von Industrieanlagen ein. Macht IoT unsere Welt unsicherer und damit schlechter?
Pereira: Zunächst hilft das Internet of Things uns bei der Digitalisierung, die uns überaus großen Nutzen bringt. Die Vernetzung von Maschinen und Geräten mit Hilfe von IoT-Technologien revolutioniert Industrieprozesse ebenso wie Alltagsabläufe, macht so etwas wie die Energiewende erst steuerbar und schafft nicht zuletzt viele neue Geschäftsmodelle.
Klar ist auch: Abwarten ist keine Strategie. Digitalisierung ist nicht mehr aufzuhalten, ebenso wenig wie Industrie 4.0 – also die Selbststeuerung vernetzter Maschinen mithilfe winziger Computer-Chips und IoT-Systeme, die direkt in die Anlagen integriert werden.
Viele Unternehmen erkennen inzwischen die neuen Chancen der Digitalisierung und Vernetzung. Sie müssen sich allerdings im Klaren darüber sein, dass Unternehmen damit zwangsläufig zum IoT-Cloud-Betreiber – inklusive Kundenportal, Device Management und anderen Funktionen – werden. Ob man will oder nicht.
Und hier kommt der Sicherheitsaspekt ins Spiel?
Pereira: Genau. Cloud und Vernetzung bedeuten zwangsläufig eine Öffnung nach außen – und das verändert alles.
In den früher üblichen, proprietären IT-Landschaften bestand die Schutzstrategie der Unternehmen in der Regel aus Abschottung. Die CIOs haben dafür gesorgt, dass Unbefugte ihre IT-Räume nicht betreten konnten. Sie haben mächtige Firewalls, Antispam- und Antivirenprogramme installiert und damit verhindert, dass fremde Software auf ihre Rechner kam. Sie haben sich mit ihren Mitarbeitern über BYOD gestritten usw.
Aber diese Abschottungsstrategie funktioniert jetzt nicht mehr. Das Internet of Things basiert auf Offenheit und Kommunikation. Es lebt davon, dass andere Zugriff auf ihre Devices haben. Es entstehen digitale Ecosysteme, in denen fremde Maschinen sich mit ihren Systemen vernetzen. Also brauchen sie hierfür völlig neue Sicherheitsmaßnahmen.
Wie sieht denn ein Schutzkonzept für IoT-Systeme idealerweise aus?
Pereira. Bei IoT müssen wir ganz neu über Security nachdenken. Denn wenn IoT-Anwendungen genutzt werden, darf Sicherheit nicht erst bei Servern und Übertragungswegen ansetzen. Sie muss bereits in die kleinsten Einheiten, die Microchips, integriert sein, die in Maschinen und Geräte eingebaut werden, damit diese sich vernetzen können. Schon sie müssen mit einer eigenen wirkungsvollen Verschlüsselung ausgestattet sein.
Das Internet of Things besteht ja aus vielen verschiedenen Elementen: Hardware, Software, Übertragungswegen, Rechenzentren. Durch diese enorme Bandbreite entsteht eine neue Dimension an Komplexität, die sich auch in der Sicherheitsarchitektur widerspiegeln muss: Alle diese Elemente müssen für sich abgesichert sein, so dass trotz der Offenheit in der Summe ein möglichst weitgehender Schutz entsteht.
Wie setzen Sie selbst solche Überlegungen bei Q-loud um?
Pereira: Wir verstehen uns als Vorreiter einer ganzheitlichen IoT-Lösung, also eines Full-Stack-Angebots. Entsprechend bieten wir alle Elemente, die dafür nötig sind und haben auch jeweils passende Sicherheitslösungen im Einsatz. Dabei sorgen wir dafür, dass alle Schutzmechanismen im Zusammenspiel funktionieren.
Gehen wir doch mal die Bereiche durch, die wir schützen müssen:
- Punkt eins geht es um die Mikroprozessoren, die in die verwendete Hardware eingebaut werden – zum Beispiel in Komponenten der Mess- und Regelungstechnik (Aktoren, Sensoren) sowie in Endgeräte, zum Beispiel Garagentorantriebe oder Gabelstapler, Gas- und Wärmemengenzähler – um mal einige Beispiele von Q-loud-Kunden zu nennen. Bei Q-loud ist jeder dieser Chips individuell verschlüsselt, jedes Device erhält damit einen eigenen Schlüssel. Damit schützen wir jedes IoT-Gesamtsystem vor so genannten Replay-Attacken, mit denen Hacker die Authentifizierungs- und Zugangsdaten stehlen wollen, um so die Kontrolle über die Geräte zu bekommen.
- Zweitens schützen wir die Übertragung der Nutzdaten, des so genannten Payloads, vom Mikroprozessor jedes einzelnen in einer IoT-Anwendung eingebundenen Devices. Die Übertragung erfolgt zunächst vom Endgerät zu einem intelligenten Gateway – das die Machine-to-Machine-Kommunikation steuert – und dann schließlich in die Cloud. Auf diesen beiden Transportwegen setzen wir TLS-Verschlüsselung ein.
- Drittens die Cloud: Gemeint ist hiermit unsere Q-loud-Softwareplattform, welche die gesamte IoT-Anwendung steuert und auf der auch die Daten gespeichert werden. Basis für diese Softwareplattform ist übrigens Cassandra, eine Datenbank, die aufgrund ihres Open-Source-Ansatzes von vielen Experten weltweit ständig weiterentwickelt und fortwährend auf Sicherheitslücken überprüft wird. Einige der Q-loud-Entwickler, zum Beispiel mein Kollege Roland Hänel, gehören zu den führenden Experten in Sachen Cassandra.
- Und schließlich befindet sich die Cloud in einem der QSC-eigenen Hochsicherheitsrechenzentren, die TÜV- und ISO-zertifiziert sind und damit besonders hohen Sicherheitsansprüchen genügen.
Es wird im Zuge der IoT-Sicherheitsdiskussion eine stärkere Standardisierung gefordert. Halten Sie das für den richtigen Weg?
Pereira: Von standardisierten Lösungen rate ich ganz klar ab. Die ersten Versuche in diese Richtung zeigen, dass sie Angreifer besonders anlocken. Beispiel ZigBee, das bereits gehackt wurde. Denn klar: Der Anreiz für Angriffe ist bei Standardisierungen besonders groß, weil vermutlich besonders viele Nutzer getroffen werden und größtmöglicher Schaden angerichtet werden kann, wenn eine Attacke erfolgreich ist.
Das heißt aber nicht, dass der Nutzer sich nun verschiedenste Sicherheitslösungen für die IoT-Komponenten einzeln zusammenkaufen sollte. Wir empfehlen ein durchgängiges Sicherheitskonzept aus einer Hand, weil nur so das Zusammenspiel der verwendeten Schutzkomponenten sichergestellt werden kann.
Jedem, der IoT-Lösungen einsetzen möchte, würde ich ohnehin grundsätzlich empfehlen, dies gemeinsam mit einem IoT-Spezialisten zu realisieren und nicht eigene Entwicklungen zu versuchen. Dafür ist das Gebiet zu komplex – gerade im Hinblick auf den Sicherheitsaspekt. Also in diesem Fall besser „Buy“ als „Make“.
Über Christian J. Pereira
Christian J. Pereira ist seit Mai 2016 als einer von zwei Geschäftsführern der Q-loud GmbH tätig, wo er die Bereiche Sales und Consulting verantwortet. Der studierte Maschinenbau-Ingenieur und Informationswissenschaftler startete seine Karriere als Strategieberater. 1990 war er Mitgründer einer Beratungsgesellschaft der Deutsche Telekom Gruppe, wo er als Managing Partner maßgeblich das Wachstum auf über 250 Mitarbeiter mitverantwortete.
2003 gründete er die dtms Solutions GmbH, einen cloud-Diensteanbieter, den er später an die börsennotierte D+S AG veräußerte und dort integrierte. Neben dem Aufbau von Unternehmen im Bereich Social-Analytics, Online-Payment und Cyber Security war er Gründer der neuland Beratung für Digitale Transformation.
Christian Pereira wohnt mit seiner Familie in der Nähe von Köln. Er ist passionierter Golfer und spielt gerne Bridge. Außerdem interessiert er sich für Innovationen, Trends und Technologien – also alles, was die Welt bewegt.
Weitere Informationen:
- Q-loud ergänzt das Industrie-4.0-Exertennetzwerk von Scheer (QSC-Pressemitteilung)
- Christian Pereira: Wir stehen vor der totalen Vernetzung (QSC-Blog)
- IoT-Plattform der Q-loud durch Analysten ausgezeichnet (Q-loud-Website)
- EuroCloud-Konferenz: Nicht warten, sondern starten! (QSC-Blog)
- Q-loud demonstriert schnelle Umsetzung von IoT-Projekten (QSC-Blog)
- Accelerating Digital Leadership (Q-loud-Website)
Kommentare
Pereira: „Von standardisierten Lösungen rate ich ganz klar ab. Die ersten Versuche in diese Richtung zeigen, dass sie Angreifer besonders anlocken.“
Der war gut. Das fällt in die „Security by Obscurity“ Ecke, und hat noch nie funktioniert. Natürlich muss der ganze Krams standardisiert werden! Sonst macht man sich von einem Hersteller abhängig, das ganze wird allgemein als „Walled Garden“ bezeichnet, und ist der absolut falsche Weg.
Aber klar, als Hersteller will man natürlich, dass es dem Endkunden möglichst schwer gemacht wird, woanders hin zu gehen. Schade dass das offenbar auch auf die Q-Loud zutrifft.
Hallo Herr Zacherl,
wie gesagt, auch wir setzen auf Standards (z.B. TLS). Bei der Wahl, Standard/Standard zu implementieren oder Zeit und Aufwand in einen zusätzlichen Schutz zu investieren, haben wir nicht den kostengünstigsten, sondern den aus unserer Sicht verantwortungsvolleren Weg gewählt. Am Ende sind wir aber Dienstleister: wer einen speziellen Standard einsetzen möchte oder muss, bekommt auch das bei uns – der Kunde entscheidet!
Beste Grüße
Christian J. Pereira