Cybersecurity: Neue Sicherheitsstandards für IoT-Geräte

Im Interview mit Michael Jacob - General Manager bei Kontron AIS GmbH

Im Bereich der Cybersecurity gelten IoT-Geräte gemeinhin als kritisches Sicherheitsrisiko. So wie im Smart-Home-Bereich Endgeräte noch immer kaum oder gar nicht gesichert sind, weisen auch Fertigungs- und Industrieanlagen mitunter große Lücken in IT- und OT-Sicherheit auf. Einer Studie von Trend Micro aus dem Jahr 2022 zufolge gaben 90 Prozent der deutschen Unternehmen in den Bereichen Strom-, Öl- und Gasversorgung sowie Fertigung an, innerhalb von 12 Monaten von Cyberangriffen betroffen gewesen zu sein. Dabei entstand ein durchschnittlicher Schaden von etwa 2,9 Millionen Euro.¹

Meistens zielen derartige Hackerangriffe auf die Erpressung der Unternehmen ab. Ebenso könnten die Anlagen aber auch in gefährliche Zustände versetzt werden und somit massive Personen- und Umweltschäden verursachen. Als Schnittstelle von Information Technology (IT) und Operational Technology (OT) müssen IIoT-Lösungen (Industrial Internet of Things) deshalb besonders lückenlose Sicherheitstechniken gewährleisten.

Ab August 2024 treten daher auf EU-Ebene der sogenannte Cybersecurity Act sowie der Cyber Resilience Act in Kraft. Von da an gilt unter anderem eine CE-Kennzeichnungspflicht von IoT-Geräten. Bereits 2020 wurde in den USA der IoT Cybersecurity Improvement Act verabschiedet.

Im Interview erklärt Michael Jacob, General Manager bei der Kontron AIS GmbH, was die neuen Cybersecurity-Richtlinien für Hersteller, Kunden und Anwender bedeuten.  

¹ https://resources.trendmicro.com/IoT-survey-report.html

1. Cybersicherheit wird in der EU-Richtlinie 2014/53/EU behandelt. Ab August 2024 soll die Erweiterung der
sogenannten Funkgeräterichtlinie (RED) zu höheren Standards von IoT-Geräten verpflichten. Was bedeutet das konkret für Hersteller, Händler und Integratoren von IIoT-Lösungen?

Es bedeutet im Wesentlichen, dass IIoT-Lösungen ab August 2024 sicherheitsrelevante Anforderungen einhalten müssen. So müssen die Geräte über angemessene Sicherheitsfunktionen zur Verhinderung oder Abwehr von Cyberangriffen verfügen. Dazu gehören beispielsweise Verschlüsselung, Authentifizierung und Zugriffskontrolle. Bevor IoT-Geräte also ab August 2024 verkauft werden dürfen, muss die Einhaltung dieser Anforderungen durch eine Konformitätsbewertung nachgewiesen werden. Es ist die Aufgaben der Hersteller, Händler und Integratoren sicherzustellen, dass ihre IIoT-Lösungen den neuen Anforderungen entsprechen, um rechtliche Konsequenzen zu vermeiden und das Vertrauen der Kunden in ihre Produkte zu erhalten. Dies beinhaltet ebenso das aktualisierte Netzwerk- und Informationssicherheitsgesetz – kurz NIS 2 – welches ab Oktober 2024 geltend wird. Auch aufgrund der zunehmenden Cyberangriffe auf die überwiegende Mehrheit der EU-Unternehmen in den letzten drei Jahren hat die EU die Leitlinien des NIS adaptiert und das NIS 2 veröffentlicht. Das NIS 2 wird derzeit im nationalen Recht und den branchenspezifischen Anforderungen umgesetzt. Diese Anforderungen werden in der EU ab Oktober 2024 verbindlich (ETSI EN 303 645 und NIST 8259A) und werden z.B. für die Bereiche Medizin, Transport, Industrie und andere digitale Dienste verpflichtend werden.

a. Der Cybersecurity Improvement Act ist 2020 in den USA in Kraft getreten. Demnach müssen Hersteller von IoT-Geräten neue Sicherheitsnormen und Vorschriften einhalten. Inwiefern unterscheiden sich diese Normen von den Neuerungen in der EU? 

Der Cybersecurity Improvement Act legt besonderen Wert auf die Sicherheit von IoT-Geräten, die von der US-Regierung genutzt werden. Diese Geräte müssen den Sicherheitsanforderungen der Regierung entsprechen, um für den Einsatz in den entsprechenden Behörden überhaupt zugelassen zu werden. Die EU-Richtlinie hingegen gilt für alle IoT-Geräte unabhängig vom jeweilen Einsatzort.

Ein weiterer Unterschied liegt im Grad der Transparenz. In den USA müssen Hersteller komplett offenlegen, welche Software und Firmware auf ihren Geräten installiert ist und wie lange sie noch unterstützt werden. So sollen Sicherheitslücken schnell erkannt und behoben werden können. In der EU geht es 

hingegen vor allem um die Sicherheit von IoT-Geräten im Allgemeinen.

2. Welche besonderen Herausforderungen stellen vernetzte Systeme an die Sicherheitsbeauftragten?

Die Herausforderungen sind sehr vielfältig und reichen vom wesentlichen Aufbau der IoT-Komponenten selbst bis hin zu deren Wartung.

Komplexität: Vernetzte Systeme sind oft sehr komplex und bestehen aus vielen verschiedenen Komponenten, die miteinander kommunizieren. Das erschwert es Sicherheitsbeauftragen zum einen Schwachstellen zu identifizieren, zum anderen notwendige Sicherheitsmaßnahmen umzusetzen.
 

Interoperabilität: Vernetzte Systeme müssen oft mit anderen Systemen und Geräten kommunizieren.. Die dadurch möglichen Sicherheitslücken können von Angreifern ausgenutzt werden. Hier notwendige Sicherheitsmaßnahmen könnten die Interoperabilität erschweren.
 

Datenintegrität: In den Systemen werden große Datenmengen verarbeitet, die von verschiedenen Quellen stammen – ein großer Angriffspunkt für Manipulationen jeglicher Art. Um diese oder weitere Fehlfunktionen zu vermeiden, ist es sehr wichtig sicherzustellen, dass zu verarbeitende Daten korrekt und vertrauenswürdig sind.
 

Zugriffskontrolle: Typischerweise haben verschiedenen Personen Zugriff auf vernetzte Systeme und Daten. Um unberechtigte Aktionen zu verhindern, müssen bei der Systemgestaltung verschiedene Zugriffsebenen und -berechtigungen berücksichtigt werden.
 

Cyberangriffe: Vernetzte Systeme sind anfällig für Cyberangriffe, die von außen oder innen kommen können. Zur Abwehr und Verhinderung müssen Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection und Verschlüsselung zum Einsatz kommen.
 

Menschliches Versagen: Das Hauptproblem sind immer noch menschliche Fehler. Unsichere Passwörter oder fehlerhafte Konfigurationen sind für vernetzte Systeme weiterhin die größten Sicherheitsrisiken. Schulungen und Richtlinien für Mitarbeiter können zur Fehlerminimierung beitragen und müssen in den Unternehmen fest verankert werden.
 

Wartung und Aktualisierung: Um Sicherheitslücken zu schließen und neue Bedrohungen abzuwehren müssen vernetzte Systeme regelmäßig aktualisiert und gewartet werden. Entsprechend implementierte Prozesse und Verfahren stellen dabei sicher, dass die Systeme immer auf dem neuesten Stand sind.

3. Wie können wir in Zukunft Industrie- und Fertigungsanlagen noch besser vor Cyberangriffen schützen?

Trotz großer Risiken stehen uns eine ganze Reihe von Maßnahmen zu Verfügung.

Ein guter Startpunkt ist dabei immer eine umfassende Risikoanalyse, die Schwachstellen in der IT-Infrastruktur von Industrie- und Fertigungsanlagen identifiziert und geeignete Schutzmaßnahmen aufzeigt. Ein weiterer Aspekt sind funktionierende physische und digitale Sicherheitskonzepte. Dies beginnt bei Punkten wie Zugriffskontrolle und Verschlüsselung und reicht bis zur Authentifizierung (z.B. Zwei-Faktor-Authentifizierung) und Überwachung. Schulungen zur Sensibilisierung und Richtlinien für Mitarbeitende sollten in den Unternehmen ebenfalls fest verankert sein, um notwendiges Wissen und die Fähigkeiten zu vermitteln Angriffe zu erkennen und abzuwehren.Bei der Minimierung möglicher Risiken hilft auch eine Netzwerksegmentierung, die Angriffe auf ein bestimmtes Teilnetzwerk begrenzt damit diese sich nicht auf das gesamte System ausbreiten können.

Ebenfalls unerlässlich: regelmäßige Updates. Es ist wichtig, dass alle Systeme und Software in Industrie- und Fertigungsanlagen regelmäßig auf den neuesten Stand gehalten werden, um bekannte Sicherheitslücken für Angreifer zu schließen.Um Schwachstellen in der IT-Infrastruktur aufzudecken, helfen regelmäßige Penetration Tests. Nachgebildete Angriffe mit abgeleiteten Mustern bekannter Angriffsmethoden eignen sich ideal für die Ableitung weiterer geeigneter Schutzmaßnahmen.

4. Mit KontronOS garantiert Kontron ein zuverlässiges sicheres Betriebssystem für Embedded Hardware-Geräte. Was ist das Besondere an KontronOS?

KontronOS ist ein hochsicheres Linux-basiertes Betriebssystem, das speziell für den Einsatz in industriellen Umgebungen entwickelt wurde und Zugang zum offenen Internet bietet. Unser Fokus liegt auf höchster Sicherheit ("Security First") durch kontinuierliche Weiterentwicklung und Pflege. Das System integriert von Anfang an bewährte Maßnahmen zur Absicherung gegen Cyberrisiken und unterliegt regelmäßigen Assessment-Prozessen, um stets die Sicherheit zu gewährleisten.

Unser einzigartiger Ansatz umfasst nicht nur die proaktive Sicherung des Systems, sondern auch die Einrichtung von Mechanismen zur Erfassung und Erkennung von akuten Cyberrisiken mittels CVE Scans. Dadurch sind wir in der Lage, kurzfristige Patches zur Behebung von Risiken bereitzustellen und die Sicherheit kontinuierlich zu verbessern.

Besonders für große Geräteflotten empfehlen wir unser KontronGrid, ein zentrales Management-Tool. Dieses Tool ermöglicht eine zeitnahe Bereitstellung und vollautomatische Ausrollung von Sicherheitsupdates auf ganze Geräteflotten, um eine konsistente Sicherheitsstufe zu gewährleisten. Das KontronGrid ist die ideale Ergänzung zu KontronOS und bietet alle notwendigen Administrations- und Überwachungsmöglichkeiten.

KontronOS ist mehr als nur ein Betriebssystem. Es ist ein Langzeitversprechen für umfassenden Schutz vor Cyberrisiken über die gesamte Betriebszeit Ihrer IIoT-Geräte. Dabei entsprechen wir auch den aktuellen und zukünftigen EU-Regularien, deren Bedeutung in der Industrie zunehmend steigt.

Ein weiterer Vorteil von KontronOS ist seine Flexibilität. Es ist nicht auf die skalierbare Standard-IIoT-Geräteflotte von Kontron beschränkt. Vielmehr können auch kundenspezifische Hardwaresysteme mit spezifischen Anpassungen auf das gleiche hohe Sicherheitsniveau gebracht werden. Somit profitieren Kunden mit individuellen oder maßgeschneiderten Systemen von unserem Sicherheitsversprechen und unserem gebündelten Know-how.