Sicherheitsrisiken von Industrie 4.0 und IoT verstehen

Bei Geräten im Internet der Dinge oder von Industrie 4.0 kommt die Sicherheit zu kurz. Security by Design und Privacy by Design sind gefordert.

Die Entwicklung sowohl des Internet der Dinge (IoT, Internet of Things) als auch von Industrie 4.0 schreitet unaufhaltsam voran. Beide Entwicklungen sind dadurch charakterisiert, dass immer mehr Dinge und Systeme direkt (IoT) oder zumindest indirekt (Industrie 4.0) mit dem Internet verbunden werden. 

Wenn man das zentrale Merkmal von Industrie 4.0 nutzen möchte, nämlich die dynamische Steuerung von Produktionsprozessen und ihre Integration mit den Geschäftsprozessen, dann bedeutet das eben, dass produktionssteuernde Systeme vernetzt werden.

Martin Kuppinger,
KuppingerCole Research

Was vernetzt ist, ist aber auch über das Netz angreifbar. Das geht manchmal einfacher, manchmal braucht es auch mehr Aufwand, weil man sich über mehrere Schritte hin zum „Zielsystem“ bewegen muss. Aber wer komplexe Angriffe wie gegen RSA Security, die Stuxnet-Attacke gegen eine iranische Atomanlage oder andere der Advanced Persistent Threats (APT) genannten Angriffe der letzten Jahre beobachtet hat, muss erkennen, dass solche Angriffe längst die Normalität sind. Dazu gehören auch Angriffe auf Industrieanlagen, wie vergangenes Jahr auf ein deutsches Stahlwerk.

Nicht umsonst erhöht das neue IT-Sicherheitsgesetz die Anforderungen an die Betreiber von kritischen Infrastrukturen. Bedauerlicherweise leidet das Gesetz unter einer Reihe von Konstruktionsfehlern, angefangen von der Frage, welche Unternehmen sich nun genau dem Gesetz unterwerfen müssen und welcher „Stand der Technik“ (hoffentlich nicht der der Bundestagsverwaltung) nun einzuhalten ist.

Wer sich ein Bild davon machen möchte, wie die reale Bedrohungslage aussieht, der sollte sich mit der Suchmaschine Shodan beschäftigen. Shodan ist eine Suchmaschine für vernetzte Geräte, vom Kühlschrank bis hin zu Industrieanlagen in Fabriken. Wer hier beispielsweise nach der Zeichenkette „default password“ country:de sucht, bekommt mehrere Hundert Ergebnisse angezeigt – IP-Adressen, Art des Systems und zumeist eben auch die Standardbenutzernamen und -kennwörter. Zu vielen Systemen gibt es noch weitere umfassende Informationen. Kurz gesagt: Kaum ist ein System verbunden, schon kann es auch gefunden werden.

Kaum ist ein System verbunden, schon kann es auch gefunden werden.

Deshalb muss man über Sicherheit bei IoT und Industrie 4.0 nachdenken, bevor man Systeme vernetzt. Sicherheit darf kein Thema sein, dem man sich irgendwann hinterher widmet, womöglich erst, wenn etwas schief gegangen ist. Wer sich mit IoT und Industrie 4.0 beschäftigt, muss sich auch mit Security by Design und Privacy by Design beschäftigen und diese Konzepte zu Grundprinzipien seiner Arbeit machen.

Das gern ins Feld geführte Argument, dass darunter die „time to market“ leidet, ist dabei schlicht falsch. Das mag für den Markteintritt richtig sein, wenn man die entsprechenden Haftungsrisiken, Reputationsrisiken und andere Risiken ignorieren oder in Kauf nehmen möchte. Es ist aber auf mittlere Sicht falsch. Wer Security und Privacy by Design nicht beherrscht, verliert die nötige Agilität und kann zudem nicht schnell und flexibel auf veränderte regulatorische Rahmenbedingungen reagieren.

Wenn man ausgewählte Daten mit neuen Geschäftspartnern gezielt teilen möchte, dann muss das durch Anpassungen der Zugriffsberechtigungen auf diese Daten geschehen können – nicht durch die Entwicklung neuer Anwendungen oder die Anpassung von Code. Das setzt aber moderne Sicherheitskonzepte voraus. Security und Privacy by Design sind die Basis für die Agilität – und sie helfen dabei, die Risiken zu reduzieren, die durch die Exposition von Dingen und Systemen im Internet entstehen.

Über den Autor:
Als Gründer und Principal Analyst, betreut Martin Kuppinger den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und gilt als bekannter Kolumnist und Autor für technische Artikel und Rezensionen in einigen der renommiertesten IT-Zeitschriften in Deutschland, Österreich und der Schweiz. Martin Kuppinger ist ebenfalls ein etablierter Referent und Moderator bei Seminaren sowie Kongressen und besitzt einen Bachelor in Economics. 

Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit und vieles mehr hinzu. Durch sein Wirtschaftsstudium gelingt es ihm, seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über WLAN-Sicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close