Eingabehilfen öffnen

  • Inhaltsskalierung 100%
  • Schriftgröße 100%
  • Zeilenhöhe 100%
  • Buchstabenabstand 100%

"Die Zahl der Angriffspunkte wächst exponentiell
mit der Komplexität der Vernetzung."

Interview mit Thomas Jakubiak, Bereichsleiter msg security advisors

"Die Zahl der Angriffspunkte wächst exponentiell mit der Komplexität der Vernetzung."

Interview mit Thomas Jakubiak, Bereichsleiter msg security advisors

In IoT-Netzwerken stehen Millionen von Geräten, Sensoren und anderen Komponenten miteinander in Verbindung, die teilweise nie dafür ausgelegt waren. Was das für die Sicherheit der dahinterliegenden Systeme bedeutet und wie IoT-Netzwerke resilient gestaltet werden können beschreibt, Thomas Jakubiak, Bereichsleiter msg security advisors.

 

Herr Jakubiak, Welche Rolle spielt Resilienz im Kontext des IoT?

Thomas Jakubiak: Resilienz beschreibt die Fähigkeit, sich an unkontrollierbare Veränderungen anzupassen . Wenn sie etwa aufgrund von unvorhergesehenen Ereignissen eintreten, sollte das gesamte System trotzdem sicher bleiben. Versteht man das IoT als Vernetzung unterschiedlichster Endpunkte, die über das Internet miteinander in Kontakt treten und Daten austauschen, wird Resilienz hochrelevant. Denn die Architekturen und Komponenten, die dort heute im Einsatz sind, wurden ursprünglich nicht für diese Art von Betrieb gebaut. Das bedeutet, dass man sich durch eine Vernetzung Probleme einhandeln kann, die genau über diese Vernetzung entstehen und die es erlauben, die Wirkungskette eines Eingriffs in diese Vernetzung unglaublich zu erhöhen. Im Sinne der Resilienz müssen Unternehmen, die im IoT unterwegs sind, neue Wege finden, um mit diesen Risiken umzugehen.

 

Wodurch sind IoT-Netzwerke so anfällig für Cyber-Attacken?

Thomas Jakubiak: Wir haben es gewissermaßen mit einer doppelten Unsicherheit zu tun: Neben der mangelnden Fähigkeit zur Cyber Security auf Ebene der einzelnen Komponenten, kommt auch die mangelnde Fähigkeit zur Cyber Security in der vernetzten Umgebung selbst dazu. Was im Moment noch fehlt, ist bei diesen Komponenten die Möglichkeit, Cyber Security zu kontrollieren, das heißt, die Eigenschaften dieser Produkte mit geregelten Standards und geregelten Maßnahmen kontrollieren zu können.

Nehmen wir beispielsweise Thermostate, die im industriellen Kontext eingesetzt werden. Früher war ein Thermostat einfach ein Gerät, das man irgendwo aufschrauben konnte, um die Temperatur hoch oder runterzudrehen. Inzwischen verfügen diese Geräte über die Möglichkeit, vernetzt zu agieren, damit sie fernwartbar sind und untereinander in Beziehung treten können. All das geschieht jedoch, ohne dass in irgendeiner Form kontrolliert wird, wer zum Beispiel diese Dienste bedient oder wer auf diesen Service zugreift. Das ist nichts, was in der installierten Software oder dem installierten Netzwerk funktional vorgesehen ist. Das bedeutet wiederum, dass für den Fall von Angriffen, aber auch für den Fall von Störungen im System, das System selber nicht mit Fähigkeiten ausgestattet ist, um in irgendeiner Form mit diesem Vorfall umzugehen.

 

Warum wurden diese Sicherheitsaspekte bei der Entwicklung dieser smarten Produkte nicht mitgedacht?

Thomas Jakubiak: Es gibt den alten Spruch: Das S in IoT steht für Security. Das ist sicher überspitzt, aber es macht deutlich, wo lange Zeit die Prioritäten lagen. Man hat sich zunächst darauf konzentriert, die Dinge so zu tun, dass sie funktioniert haben. Die Prämisse war: ‚Sieh zu, dass die Daten ausgetauscht werden können‘ – und nicht: ‚Sieh zu, dass die Daten sicher ausgetauscht werden können und man zwischen berechtigten und nicht berechtigten Benutzern unterscheiden kann‘. Diese Erkenntnis, dass Security als Eigenschaft implementiert werden muss, setzte sich erst später durch. Heute ist das eine allgemeine Forderung, die auch im neuen Cyber Resilience Act enthalten ist, aber das lag vorher nicht einheitlich und vor allen Dingen nicht verbindlich vor.

Eine ähnliche Verschiebung sehen wir übrigens auch in anderen Bereichen, etwa in der Automobilproduktion. Denn Fahrzeuge kommen traditionell nicht aus der Welt, in der in Software gedacht worden ist und in der deswegen auch in Security gedacht worden ist. Wenn man nun neue Software implementiert, die dann auch Security Aspekte enthält, muss man die Architektur umstellen und sich teilweise komplett neue Gedanken zu dem Produkt machen, das man entwirft. Das heißt, das Produkt fängt nicht mit den ursächlichen Ingenieursleistungen an, sondern mit der Überlegung, wie die Software dafür gestaltet werden muss, die dieses Produkt betreibt und vernetzt. In diese Überlegungen muss zwingend eine Abschätzung der Security Risiken einbezogen werden, warum will jemand das System angreifen, wo sind Schwachstellen im System und wie reagiert das System darauf. Das bedeutet, viele von den Prozessen, die heute mit der Entwicklung solcher Komponenten zu tun haben, müssen umgestellt werden, um Software erfolgreich in die Fahrzeuge zu bringen. Und zwar letztendlich nicht als Add On auf das, was schon da ist, sondern, um das Auto um die Software herum zu bauen und damit eine vollkommen neue Konstellation innerhalb dieser Produktwelt zu schaffen, die softwaregetrieben ist.

 

Viele der digitalen Services, die heute auf vernetzten Produkten aufbauen, waren bei deren Produktion noch gar nicht absehbar? Was bedeutet das für die Sicherheit im IoT?

Thomas Jakubiak: Der Begriff ‚smart‘ beinhaltet für uns, dass etwas mit dem Internet verbunden wird bzw. verschiedene Endpunkte miteinander verbunden werden können. Welche das sind und welche Konstellationen sich dabei ergeben können, ist nicht sicher vorhersehbar. Es hat erst Cyberangriffe gebraucht, um darzustellen, dass dadurch Systeme entstehen, die in ihrer Vernetzungstiefe überhaupt nicht transparent sind und die natürlich auch in denen zusammenwirkende einzelne Komponenten nicht transparent sind.

Das ist eine Gefahr, mit der man sich erst jetzt auseinandersetzt und die übrigens auch nicht nur Security Aspekte betrifft. Auch nicht-sicherheitsbezogene Störungen können dazu führen, dass solche Netzwerke wieder anlaufen müssen. Und dann ist man mit der Frage konfrontiert: ‚Wie kann ich das System in einer komplexen, vernetzten Umgebung wiederherstellen? Das erfordert einen Überblick darüber, wie das heutige Netzwerk aussieht und welche einzelnen Komponenten im Netzwerk enthalten sind. Dazu gehört auch, dass jedes Mal, wenn man eine Komponente im Netzwerk tauscht oder neu hinzufügt, bestimmte funktionale Aspekte überprüft werden, um diese sicher zu integrieren. Und das ist natürlich in der heutigen Welt, wo neue Komponenten, die sich miteinander vernetzen lassen, überall verfügbar sind, eine echte Herausforderung. Auch bestehende Komponenten müssen permanent mit aktueller, bereinigter Software versorgt werden, bei der neu erkannte Schwachstellen behoben sind. Auch diese Software Updates bergen Sicherheitsrisiken, die bei der Konzeption betrachtet werden müssen.

 

Wie verschaffe ich mir einen solchen Überblick über das Netzwerk?

Thomas Jakubiak: Man sollte zunächst den unmittelbaren Wirkungskreis betrachten. Im Falle eines Automobilherstellers geht es dabei beispielsweise um Fragen wie: ‚Welche netzwerkfähigen Komponenten sind im Fahrzeug verbaut?‘ ‚Welche Vernetzungen stelle ich her, wenn ich das Fahrzeug mit einem Back-End vernetze, um bestimmte Services aus diesem Auto aufzurufen oder vernetzt mit anderen Autos auf Informationen zugreifen und austauschen zu können?‘ Das wäre erstmal der Perspektive darauf, was eigentlich im unmittelbaren Handlungsumfeld passiert. Dann folgt der Blick auf die Schnittstellen: ‚Welche externen Services brauche ich zum Beispiel für Navigations- oder Infotainment-Funktionen? Wo habe ich Interfaces zu anderen Netzwerken oder zu anderen Informationen, die ich von außen beziehe?‘

 

Besteht die Gefahr, dass komplexe IoT-Netzwerke, etwa Smart Cities so dynamisch und komplex werden, dass man sie irgendwann nicht mehr überblicken bzw. kontrollieren kann?

Thomas Jakubiak: In Stromnetzen lassen sich heute schon sog. Ripple-Effekte beobachten, die dafür sorgen, dass Dinge, die an einer Stelle im Netzwerk passieren, an einer anderen Ecke Effekte haben können. Es gilt also grundsätzlich: ‚Was ich vernetze, kann sich auch gegenseitig beeinflussen.‘ Und die Anzahl unserer Angriffspunkte wächst natürlich exponentiell mit der Komplexität der Vernetzung.

Auf der anderen Seite gibt es die Möglichkeit, durch Segmentierung von Netzen – also die gezielte Nicht-Vernetzung – eine gewisse Sicherheit zurückzugewinnen. Das geht aber natürlich weit über die einzelne Komponente hinaus und beinhalte auch den strategischen Aspekt. Das ist auch der Grund, warum der Cyber Resilience Act der EU neben der Updatefähigkeit einzelner Komponenten als Garant für Sicherheit, auch das darauf abzielt, ein Bewusstsein für die Kritikalität von Vernetzungen zu schaffen. Die sogenannte Zwiebel- Architektur kann helfen, die steigende Komplexität zu beherrschen. Hierbei wird in den obersten Schichten ein einzelner Zugangspunkt eingerichtet, der gut abgesichert sein muss. Alle darunter liegenden System und Komponenten reagieren auf Bedrohungen, wie es ihre Ressourcen, Rechenzeit und Speicher, erlauben. Damit gewinnt man Kontrolle zurück und kann im Notfall an dem zentralen Knoten reagieren.

 

Hat sich da in den letzten Jahren die Wahrnehmung oder das Bewusstsein für die Relevanz von Security verändert?

Thomas Jakubiak: Absolut. Wir beobachten, dass – ähnlich wie bei der DSGVO – strengere Compliance-Vorgaben dazu führen, dass immer mehr Hersteller diesen Anforderungen folgen. Der Markt und die Kundenanforderungen entwickelt sich eindeutig dahin, Sicherheitsaspekte im Sinne eines Security by Design aktiv in die Produktentwicklung miteinzubeziehen. Das steht auch im Einklang mit den aktuellen, weiterentwickelten EU-Vorgaben. Diese machen klare Vorgaben, wie zukünftige Produkte in diesem Umfeld auszusehen haben.

 

Ist der jetzige Trend zu höheren Security-Standards im IoT auch eine Folge der Sicherheitsvorfälle in den vergangenen Jahren?

Thomas Jakubiak: Es lassen sich bei solchen Entwicklungen immer wieder Zyklen beobachten: So steht in der Anfangszeit neuer Technologiephasen selten die Systemsicherheit im Vordergrund, weil es erstmal um den Realisierungsprozess geht. Wenn dann aber durch die steigende Vernetzung Ereignisse eintreten, die die Sicherheit zu einem Imperativ machen, erfolgt genau die Adaption, die wir heute beobachten – etwa in Form von Security by Design, definierten, kontrollierten Produkteigenschaften für Komponenten und einer Updatepflicht für Hersteller und deren Software. Das kennen wir zum Beispiel auch aus der PC-Welt. Das folgt also auch wieder Prozessen, die wir schon kennen, die wir aber jetzt in einem Bereich übertragen müssen, in dem das bisher noch nicht in der letzten Konsequenz genutzt wurde.

 

Vor dem Hintergrund einer steigenden Sicherheitsanforderungen im IoT – welche Rolle spielen gesamtgesellschaftliche Entwicklungen wie die Corona-Pandemie oder der Krieg in der Ukraine in Bezug auf die Cybersicherheit?

Thomas Jakubiak: Das Bedrohungsempfinden ist stärker geworden. Es entwickelt sich von einem diffusen Gefühl zu einem immer konkreteren unternehmerischen Risikoaspekt. Im Gespräch mit Entscheidern spüren wir diese Tendenz in den letzten 2-3 Jahren sehr deutlich. Ging es beispielsweise beim Thema ISO 27001 früher um die Frage, wofür ein Unternehmen sein Geld ausgibt und in welcher Ausprägung man ein ISMS haben möchte, verfügt der große Teil unserer Kunden heute über ein ISMS, das er entweder zertifizieren lassen hat oder bei dem er sich an einen bekannten Standard anlehnt. Das heißt, Vieles bewegt sich in eine Richtung, die die Dinge sicherer macht. Besonders herausgehoben sind natürlich die KRITIS-Umgebungen, bei denen auch kurzfristige Ausfälle und Fälle von Nichtverfügbarkeit sofort kritische Zustände herbeiführen.

Im Interview

"Was im Moment noch fehlt, ist bei diesen Komponenten die Möglichkeit, Cyber Security zu kontrollieren..."

"Die Prämisse war: ‚Sieh zu, dass die Daten ausgetauscht werden können‘ – und nicht: ‚Sieh zu, dass die Daten sicher ausgetauscht werden können...“

"Wie kann ich das System in einer komplexen, vernetzten Umgebung wiederherstellen?"

"Die sogenannte Zwiebel-​ Architektur kann helfen, die steigende Komplexität zu beherrschen.“

Erfahren Sie mehr.

Jakubiak Thomas Msg 345x380

Thomas Jakubiak

Wir freuen uns auf den Kontakt mit Ihnen!

Weiterführende Themen

  • Dekarboni-sierung

    Dekarboni-
    sierung

    Wie können Städte und Unternehmen ihren CO2-​Footprint reduzieren?





    Mehr lesen

  • 1
  • Energieökosysteme aufbauen

    Energieökosysteme aufbauen

    Was kennzeichnet die Energieversorgung von Morgen?





    Mehr lesen

  • 1
  • Start einer E-Bus-​​Flotte

    Start einer E-Bus-​​Flotte

    Digitalisierung als Schlüssel zur Elektrifizierung.


    Mehr lesen

  • 1

Was wir bieten

  • Branchen-Expertise

    Unsere DNA ist die tiefe Kenntnis der Strukturen, Trends und Zukunftschancen der Kernbranchen!

  • Funktionale Expertise

    Vom Boardroom bis zum Shopfloor kennen wir die Herausforderungen der wichtigsten Funktionen!

  • Daten & Technologie

    Aus smarten Technologien, Systemen und Datenanalytik formen wir Wachstums- und Effizienztreiber!

  • Ökosysteme der Zukunft

    Wir kreieren branchenübergreifende, digitale Ökosysteme für die Geschäftsmodelle der Zukunft!

  • Thought Leadership

    Wir entwickeln Zukunftsszenarien und designen umsetzungsorientierte Transformation Roadmaps!

  • 1