European Cyber Security Month (ECSM): IoT und Smart Devices – mit Sicherheit digital und smart

von Trend Micro

 

 

 

 

 

Im Rahmen des ECSM (European Cyber Security Month) geht es diese Woche um „IoT und Smart Devices – mit Sicherheit digital und smart“. Da dies die letzte Woche des Monats ist, besteht diese „Woche“ aus acht Tipps, die bis zum Monatsende reichen. Thematisch werden wir vier Themen beleuchten – jeweils aus Sicht des Konsumenten bzw. im Firmeneinsatz. Viele Herausforderungen sind bei beiden vergleichbar und unterscheiden sich nur in Details. Umzusetzende Maßnahmen und Vorgehensweisen sind deshalb ähnlich, wenn auch technisch anders umzusetzen.

Tag 1 :Die Geister die ich rief … und vergaß! Behalten Sie die Übersicht im Smart Device Dschungel!

Smart Devices – der Begriff klingt unscheinbar – hat eine gewisse Sprengkraft. Stellen Sie sich doch mal direkt zwei Fragen: Wie viele Smart Devices haben Sie bei sich im Haushalt? Welche (haushaltsfremden) Geräte haben Zugriff auf Ihr WLAN?

Bei der ersten Frage steht die Wahrnehmung im Vordergrund. Im Laufe der Zeit vergisst man häufig, welche Geräte sich so „ansammeln“ und welche von diesen Geräten (bzw. deren Hersteller) persönliche Daten jeglicher Art speichern. Aus eigener Erfahrung und von Bekannten kann ich durchaus berichten, das ein „verschätzen“ um den Faktor drei bis zehn nicht ungewöhnlich ist …

Bei der zweiten Frage stellen Sie sich das Szenario vor, dass Ihre Kinder das WLAN Passwort mit Freunden und Bekanntenteilen. Wieso sollte es zuhause anders sein, als im offenen Firmen WLAN. Hier ist das Vergessen über Zeit ein Problem. Wenn das Passwort nie geändert wird, sammelt sich im Laufe der Zeit so einiges an Geräten an, die das WLAN inkl. Passwort kennen.
Beiden Herausforderungen ist eins gemein: Fehlende Übersicht!

Glücklicherweise lässt sich diese recht simplen mit „Hausmitteln“ oder kostenlosen Werkzeugen schnell herbeischaffen: Viele Homerouter bieten heute eingebaute Funktionen, die angemeldete Geräte anzeigen – oft inkl. historischer Daten. Ein kurzer Blick in diese Listen gibt Ihnen eine Übersicht über Geräte geben, die sich in Ihrem WLAN tummeln. Wenn dort (wenig überraschend) Geräte auftauchen, die Ihnen nicht bekannt sind, ist der nächste Schritt interessant. Wenn Ihr Router diese Funktionen nicht besitzen, gibt es mit Trend Micros „HouseCall™ for Home Networks“  eine kostenlose Alternative für Windows, Mac, Android und iOS.

Wenn Sie unbekannte Geräte finden, hilft eine Maßnahme: WLAN Passwort ändern!

Die Geräte (oder „Gastnutzer“) fangen schnell an zu „schreien“, wenn sie keine Verbindung mehr haben. Oder Sie selbst, dass etwas nicht so funktioniert wie vorher (z.b. TV Streaming Dienste). Dann aber können Sie dem „unbekannten“ Gerät ein physisches Äquivalent zuweisen.
Da das dauernde Wechseln von WLAN Passwörten auf die Dauer lästig ist (insb. wenn Sie dieses über komische Tastaturen auf Ihren Geräten eingeben), bietet sich hier eine andere Strategie an: Viele moderne Route bieten die Möglichkeit an, Gastnetze anzulegen. Nutzen Sie diese Möglichkeit um verschiedene Arten von Nutzern (Geräte, Personen, Gäste) in verschiedene Netze zu segmentieren. Z.B. ein „statisches“ Gerätenetz und Personen oder Gästenetze mit regelmäßig wechselnden Passwörtern.

Um das manuelle Eingeben von Passwörtern zu erleichtern, können Sie die Informationen wie Netzwerkname, Verschlüsselung und Passwort als QR Code generieren und ausdrucken (https://qifi.org/). Dann reicht ein abscannen des Codes um online zu gehen. Manche Router bieten das generieren des QR-Codes sogar als eingebaute Funktion.

Für die Maker unter Ihnen gibt es z.B. Projekte, die mittels eines Raspberry Pi ein weiteres WLAN aufmachen und die diese Codes automatisch aktualisiert anzeigen (https://github.com/NicoHood/guestwlan).

Zusammengefasst gilt es, die Übersicht zu wahren. Denn leider zeigt die Erfahrung, das viele „Nutzer“ im Laufe der Zeit vergessen werden. Dies kann man aber mit einfachen und kostenlosen Maßnahmen lösen.

–––

Tag 2: Die Geister, die ich hörte! Wenn die Inventur mehr Geräte findet als erwartet.

Wie viele vernetzte Geräte haben Sie in Ihre Produktion? Wissen Sie es genau? Kennen Sie deren Funktionen und Verwalter? Diese Fragen lassen sich in der Realität kaum beantworten. Eine Reihe von Geräten kennt man aus der Original Dokumentation bzw. aus dem täglichen Umgang.
Selbst Produktionsumgebungen sind kaum noch statisch. Der Trend zur schleichenden Veränderung ist auch hier zu beobachten. Leider in den meisten Fällen durch den Zuwachs an Geräten.

Wie erhält man eine aktuelle Übersicht über die Geräte bzw. macht „Inventur“?

Fragt man Experten aus der Office-IT so lautet die Antwort schnell „Scannen Sie doch einfach ihr Netzwerk“. Mit Tools wie nmap (https://nmap.org/) ist in Office-IT Netzen schnell eine Übersicht zu erstellen. Es gibt sogar spezielle Scripts (z.B. https://github.com/jpalanco/nmap-scada), die es nmap erlauben den Typ des OT-Gerätes zu erkennen.

Aber an dieser Stelle eine WARNUNG: SCANNEN SIE UNTER KEINEN UMSTÄNDEN IHR PRODUKTIONSNETZ MIT NETZWERKSCANNERN!

Was auf den ersten Blick widersinnig erscheint ist leider schmerzvolle Erfahrung: Das scannen von Netzen sollte keine Veränderung in Geräten hervorrufen. Die Praxis zeigt, dass dies nicht der Fall ist. Von Abstürzen bis hin zu subtilen Veränderungen im Verhalten, ausgelöst durch Scanvorgänge im Rahmen von Penetration Tests, ist im Produktionsumfeld alles möglich.
Aber wie kommt man zu einer aktuellen Inventurliste? Immerhin ist dies der erste Schritt, um unbekannte Geräte zu erkennen und unter Umständen zu entfernen.
Vereinfacht gesagt ist das passive Mithorchen die sicherste Alternative. D.h. Sie konfigurieren am (Root-)Switch einen sogenannten Span/Mirror Port, auf dem sämtlicher Netzwerkverkehr gespiegelt wird. An diesem „listen-only“ Port lauschen Sie und protokollieren Sender und Empfänger.

Eine kostenlose bzw. kostengünstige „Selbstbau“ Lösung besteht aus einem Laptop mit Software zum Aufnehmen/Dekodieren von Netzwerkverkehr. An dieser Stelle sei z.B. Wireshark (https://www.wireshark.org/) empfohlen. Standardmäßig schneidet Wireshark sämtlichen Verkehr mit. Da wird die Festplatte schnell zu klein. Wenn es daher „nur“ um die Inventur geht, kann man die aufgezeichneten Daten massiv filtern. In der Praxis bewährt haben sich folgende Filterkriterien:
ARP: In den ARP Anfrage/Antwort Paketen sehen Sie gleichzeitig MAC und IP Adressen. Damit können Sie passiv Ethernet MACs entsprechenden IP Adressen zuweisen.
DHCP: In den meisten Produktionsumgebungen wird im festen IP Adressen gearbeitet. Ein aktiver DHCP Server ist oft ein Indikator für einen „vergessenen“ Router bzw. Fernwartungszugang.
Nicht IP-Pakete: Einige Geräte nutzen zwar Ethernet zur Kommunikation, aber nicht IP (z.B. BACNet). Durch das mitschneiden der Pakete erlangen Sie zumindest deren MAC Adressen. In großen Netzen lohnt es sich zudem, BDPU/STP Pakete aus dieser Regel auszunehmen, um nicht in Daten zu ertrinken.
Broadcast/Multicast Traffic: Optional sämtlicher Verkehr an Ethernet Broadcast/Multicast MAC Adressen.

Mit diesen Kriterien erlangen Sie schnell eine zumindest grobe Übersicht über beteiligte Geräte. Eingebaute Funktionen bei Wireshark können diese Daten auszuwerten: Listen von Geräten, Adressen und Kommunikationsbeziehungen bzw. Verkehrsaufkommen.
Letztendlich bietet sich der Ansatz das passiven Mitlesens allgemein an. Werkzeuge wie Trend Micros Deep Disvovery Inspector gehen wesentlich weiter. Hier werden nicht nur „Gesprächspartner“ augfgeschlüsselt, sondern auch die Kommunikationsinhalte untersucht. Infizierte System bzw. anomale Kommunikation fallen damit schnell auf. Diese aus der Office-IT bekannten Funktionen haben auch im OT Umfeld ihre Daseinsberechtigung. Insbesondere, wenn im OT-Netz „normale“ PCs und Server, z.B. als HMI System oder Datahistorian betrieben werden.

Es gibt auch dedizierte kommerzielle Werkzeuge, die die OT Kommunikation detailliert auswerten und damit z.B. SPS Kommandos wie das Lesen/Schreiben von Registern oder die Veränderung des Zustandes (START/STOP) bzw. die Sender und Empfänger erfassen.
Allen diesen Methoden ist gemein, dass kein Eingriff in das Produktionsnetz stattfindet. Hier wird nur passiv mitgehorcht. Letztendlich „purzelt“ am Ende eine mehr oder weniger genaue Liste von Adressen, Gerätentypen (z.B. via MAC Vendor ID) und Kommunikationsbeziehungen raus. Sollten dabei „ungewöhnliche“ Funde auftauchen (unbekannte Router), haben Sie damit zumindest erstmal das Wissen darüber. Ob diese gesucht/entfernt werden ist dann im Einzelfall zu entschieden.

Zusammengefasst muss man sagen, dass viele aus der Office-IT bekannte und bewährte Methoden zur Inventur in OT-Netzen schlichtweg gefährlich sind. Hier bietet sich das passive Mitlesen der Kommunikation an. Dies kann zum Aufbau einer Inventurliste genutzt werden, die dann Grundlage für weitere Aktionen ist. Wichtig ist es jedoch, diese Inventur regelmäßig durchzuführen – ansonsten ist man ganz schnell wieder im Ausgangszustand.

–––

Tag 3: Du sollst nicht wiederverwenden dein Passwort

Passwörter sind und bleiben die primäre Methode zur Authentifizierung. Obwohl andere Technologien wie Zertifikate, (Hardware) Token, SMS oder biometrische Verfahren seit Jahren verfügbar sind, bleibt das Passwort der Standard.
Das heißt, man muss sich Gedanken um sichere Passwörter machen. Selbst wenn Passwörter sterben sollten – das dauert im Zweifelsfall noch ein paar Jahre.

Darüber wie ein gutes Passwort auszusehen hat gibt es verschiedene Meinungen:
Eine Fraktion besteht auf Passwortlänge und Komplexität (also Klein- und Großbuchstaben, Zahlen und Sonderzeichen). Eine andere entgegnet, dass wir Nutzern jahrelang beigebracht haben, sich komplexe Passwörter auszudenken, dies aber nur dazu führt, dass diese aufgeschrieben werden, während die Komplexität für den Computer selber beim Knacken keinen Unterschied macht …

Aber an dieser Diskussion wollen wir uns heute hier nicht beteiligen. Vielmehr geht es um die Menge an Passwörtern, mit denen wir täglich zu kämpfen haben.
Eine bisher nicht beanstandete Regel lautet, dass man jedes Passwort nur genau einmal verwenden soll. Auch Variatonen von Passwörtern (gleiches „Grundpasswort“ Dienstnamen“Variation“) gelten ebenfalls als unsicher. Moderne Passwortknacker erkennen dieses Schema inzwischen und probieren dann das Grundpasswort mit den passenden geänderten Diensten mal eben schnell durch!

Gehen wir nur mal von 20 verschiedenen Accounts eines Benutzers aus, deren Passwörter im Halbjahresrythmus geändert werden müssen. Dies bedeutet im Schnitt einen Passwortwechsel alle neun bis zehn Tage. Mit den Komplexitätsregeln und ohne Passwortrecycling kommt man schnell an einen Punkt, an dem kaum ein Gedächtnis sich dies auf Dauer merken kann.
Alternative Authentifizierungsmechanismn (z.B. Biometrie) sind ein Ausweg. Ein Anderer ist die Reduzierung der sich zu merkenden Passwörter.

Heutzutage lassen sich Passwörter grob auf zwei Arten reduzieren:
Anmeldung über „andere“ Logins, z.B. Facebook (OAuth, OpenID) oder Passwort Manager

Anmeldung über „andere“ Logins
Wer kennt Sie nicht. Die omni-präsenten Buttons auf Webseiten, mit denen man sich mittels eines Facebook-, Google-, Twitter- oder anderer Accounts anmelden kann. Die dahinterliegende Idee ist simpel: Der Authentifizierungsprovider (z.B. Facebook) authentifiziert den Benutzer und die nutzende Webseite bekommt dann eine Art Token. Diese Token enthält Informationen über den Benutzer (z.B. Name und E-Mail Adresse) und gleichzeitig die Rückmeldung, dass dieser sich erfolgreich authentifizierthat.
Damit muss nicht jede App oder Webseite eine sichere Authentifizierung implementieren (was in letzter Konsequenz übrigens gar nicht so einfach ist …), sondern kann die geleistete Arbeit quasi „mitnutzen“.
Aus Benutzersicht hat dies zwei massive Vorteile:
Man muss sich nicht mehr für jeden Dienst ein Passwort merken, sondern nur eins (das des Providers).
Man sich „mit einem Klick“ anmelden oder einloggen.
Leider hat der Facebook Hack der letzten Wochen aber eine Schattenseite ins Bewußtsein gerückt. Das ganze Schema steht (und fällt!) mit der Sicherheit des Authentifizierungsproviders. Im Falle von Facebook hätten die Hacker sich als Benutzer ausgeben können – inkl. der Anmeldung bei anderen Diensten. Potentiell wären bei dem Facebook Hack nicht nur die Facebook Daten selber, sondern alle Dienste betroffen gewesen, bei denen man sich mit Facebook anmelden kann. Dies soll jetzt kein Facebook-Bashing sein. Das grundlegende Problem gibt es bei allen Authentifizierungsprovidern. Und bei Facebook muss man lobend erwähnen, dass nicht nur die eigenen Authentifizierungstoken zurückgesetzt hat, sondern auch Drittanbieter-Token. Technisch hat Facebook mit der Reaktion also alles richtig gemacht.
Das grundsätzliche Problem mit solchen Authentifizierungsprovidern bleibt allerdings. Hier ist es jedermanns eigene Entscheidung, ob man diese Funktionalität, und wenn ja in welchem Umfang, nutzt. Es spricht z.B. nichts dagegen, den „bequemen“ Login für „Wegwerfaccounts“ zu nutzen. Wichtige Accounts bekommen hingegen ein eigenes Passwort …
Das ist dann auch die Überleitung zum zweiten Reduzierungsmechanismus. Denn selbst wenn man Authentifizierungsprovider nutzt, braucht man vielleicht doch Passwörter für „wichtige“ Accounts.

Passwort Manager
Die grundlegende Idee bei Passwort Managern ist ähnlich wie bei der Authentifizierung via Authentifizierungsprovider. Der Benutzer muss sich nur ein Passwort zum entsperren des Passwort Managers merken. Dieser loggt einen dann beim entsprechenden Dienst ein. Die Nutzung von Passwort Managern hat einige Vorteile:
Weniger zu merkende Passwörter: Im besten Fall muss man sich als Benutzer nur ein Passwort zum entsperren des Passwort Managers merken. Dies darf dann bitte auch lang und komplex sein 🙂
Automatisches Ausfüllen von Login Formularen: Die meisten Passwort Manager kommen mit Browser Plugins, die in der Lage sind, Login Formulare zu erkennen und automatisch auszufüllen. Eine Art „Null Klick Login“.
Generieren von sicheren Passwörtern: Meldet man sich bei neuen Diensten an, so kann der Manager automatisch ein sicheres Passwort generieren und speichern.
Automatische Update von Accounts: Viele Passwort Manager können automatisiert Passwörter von Diensten ändern. Man kann mit wenig Aufwand Passwörter vieler Dienste regelmässig ändern.
Darüber hinaus warnen viele Manager, wenn Passwörter doppelt verwendet werden bzw. wenn geklaute Passwörter bekannt werden. Außerdem bieten einige Produkte die Integration von OTPs – One Time Passwords. D.h. sie benötigen zum entsperren des Passwort Managers nicht nur ein statisches Passwort, sondern auch einen sich ständig wechselnden PIN Code, der z.B. auf Ihrem Handy (z.B. Google Authenticator) oder einen Hardwaredevice (z.B.Yubi Key) erzeugt wird.
Passwort Manager gibt es in vielen Variationen. Trend Micros Passwort Manager ist z.B. Teil der Trend Micro Sicherheitsprodukte für Endkunden (https://www.trendmicro.com/de_de/forHome/products/internet-security.html) oder auch einzeln erhältlich (
https://www.trendmicro.com/de_de/forHome/products/password-manager.html). Aber es gibt auch Lösungen auch von anderen Anbietern bzw. als kostenlose Software (z.B. KeePass https://keepass.info/).

Zusammenfassend kann man festhalten, dass man als normaler Benutzer heute in Passwörtern ertrinkt. Mit Authentifizierungsprovidern und Passwort Managern gibt es zwei probate Mittel, diese Flut einzudämmen. Dabei hat man die Wahl zwischen kommerziellen und freien Alternativen. Wichtig ist es aber, eine (oder beide nach Bedarf) diese auch zu nutzen.
Denn sich alle Passwörter merken zu wollen oder überall das gleich Passwort zu nutzen ist keine Alternative!

Tag 4: Du darfst nicht ändern das Wartungskennwort?!?

„Früher war alles besser“ – da waren Anlagen nicht vernetzt und das Wartungskennwort kannte nur, wer Zugriff auf die (gedruckte!) Dokumentation hatte. Heute findet sich fast zu jedem Gerät die Dokumentation online. Im Zweifelsfall sogar ganz modern automatisch aus dem Redaktionssystem erstellt inkl. Seriennummer und Konfiguration des Gerätes. Und wenn es etwas sicherer sein darf, sind die PDFs sogar digital signiert… Schöne neue Welt, oder? Auch ist der Grad der Vernetzung der Anlagen viel höher. War dies früher die Ausnahme, wird dies mehr und mehr zur Regel.

Leider haben sich aber in vielen Fällen die Wartungskonzepte nicht geändert – bzw. der Sicherheitstaspekt davon. Häufig gehen Wartungsfirmen/-techniker leider immer noch davon aus, dass die initialen Wartungskennwörter der Hersteller, so wie sie in der Dokumentation stehen, niemals geändert werden. Von Fällen, bei denen der Techniker unverrichteter Dinge wieder abzieht, weil er sich mit dem Standardkennwort nicht einloggen kann, hört man immer wieder.

Aus Wartungssicht dürfte man das Standardkennwort also nie ändern. Aus Sicherheitssicht sieht das leider ganz anders aus. Da die Anleitungen frei verfügbar im Internet zu finden sind, muss man davon ausgehen, dass die jeweiligen Kennwörter bekannt sind. Es gibt sogar online einsehbare Datenbanken, in denen man bequem nach Hersteller und Gerät suchen kann (z.B. https://cirt.net/passwords oder http://www.defaultpassword.com/). Hinzu kommt, dass die Geräte inzwischen häufig vernetzt sind. Ein Angreifer braucht also keinen physischen Zugang zum Gerät – der Zugriff kann bequem übers Netz stattfinden.

Vor diesem Hintergrund ist es unverzeihlich, heute noch auf den Standardpasswörtern zu beharren. Vielmehr muss man sich über Wartungskonzepte Gedanken machen, die trotz geänderter Kennwörter funktionieren. Dabei sind zwei Dinge zu beachten bzw. kombinieren:

  • Wie/wann/wer ändert Passwörter? Hier spielen unter anderem Passwort Richtlinien der verschiedenen Geräte eine große Rolle.
  • Wie erlangt der Wartungstechniker Zugang zum System bzw. Kenntnis des Passworts.

Für beide Dinge (bzw. deren Integration) gibt es technische Lösungen in Form von Gateways, Proxys oder Remote-Produkten. Aber selbst ein absolutes NO-NO aus der Office IT ist unter Umständen ein gangbarer Weg (nach Risikoabschätzung natürlich):

Stellen Sie sich einfach vor, jede Maschine bekommt nach der Installation ein eigenes Kennwort — im Betrieb läuft dies wahrscheinlich auf eine Excel-Liste hinaus. Davon ist aber abzuraten! Gelangt ein Angreifer nämlich in deren Besitz, ist wieder nichts gewonnen. Aber Papier und Kopien (auf Papier! Nicht elektronisch) sind möglich. Erscheint der Techniker zum Wartungstermin, so bekommt er das jeweilige Passwort mitgeteilt. Auch das Hinterlegen des einzelnen Passworts, z.B. im Schaltschrank, ist eine Alternative.

Bei diesem Szenario dürften bei vielen Alarmglocken schrillen! Passwortlisten im Klartext (Papier), Passwörter bei der Maschine (oder unter der Tastatur). Schaut man sich das Szenario jedoch genauer an, so ist dies immer noch sicherer, als Default-Passwörter zu nutzen. Beim Papierweg ist immerhin physischer Zugriff auf die Passwortliste oder das Passwort im Schaltschrank notwendig.

Dieses Szenario soll lediglich zum Nachdenken anregen. Default-Passwörter auf vernetzten Maschinen sind aus Sicherheitssicht so ziemlich das schlimmste Szenario überhaupt. Aber aus Wartungssicht natürlich praktisch.

Zusammenfassend lässt sich sagen, dass selbst bei einem so einfachen Thema wie „Wartungskennwörter“ nicht alles so einfach ist, wie man meint. Hier müssen die Interessen von Sicherheit und Betrieb gegeneinander abgewägt werden. Problematisch dabei ist, dass abhängig von der technischen Entwicklung die jeweiligen Konzepte angepasst werden müssen. Aber das dürfte inzwischen den meisten klar sein.

Tag 5: Der Preis ist heiß! Security als Verkaufshindernis?

Sicherheitslücken sind und bleiben eines der (wenn nicht das) Einfallstor für Angriffe. Und während man sich beim PC inzwischen daran gewöhnt hat, dass sich Betriebssystem und die meisten Programme selbstständig updaten, ist dies im Bereich der Smart Devices immer noch eine Seltenheit.

Aber wieso ist das so? Smart Devices sind wohl kaum so sicher, dass sie keine Patches benötigen. Viele (gerade günstige) Smart Devices sind mit Sicherheitslücken geradezu gespickt. Noch schlimmer ist aber, dass diese nicht nur keine Auto-Update Funktionen haben, sondern in vielen Fällen auch nicht manuell einzuspielende Updates bereitgestellt werden.

Die Antwort auf die Frage, woran das liegt, ist leider erschreckend einfach: „Security lohnt sich nicht!“ — zumindest aus Sicht vieler Hersteller. In einer Zeit, in der Time-to-Market und der Preis wichtiger sind als saubere Entwicklung und Pflege, ist dieses Verhalten nicht verwunderlich. Und sobald das Gerät verkauft ist, wird jegliche Pflege nur noch als finanzielles Risiko des Herstellers gesehen. Doch an „Security lohnt sich nicht“ können wir als Verbraucher etwas ändern.

Wenn sich Sicherheit für Hersteller lohnt, werden sie sich auch darum kümmern. Das bedeutet im Umkehrschluss, dass wenn Geräte ohne Sicherheit Ladenhüter bleiben, sorgt das schnell für Aufmerksamkeit. Damit liegt es letztendlich am Verbraucher. Wenn die vorherrschenden Kaufkriterien Preis und oberflächlicher Feature-Check sind, dann wird das schnell „zusammen geklöppelte“ Smart Device aus Fernost gegen solide entwickelte (evtl. lokale) Produkte haushoch gewinnen. Vom Standpunkt der Hardware mögen die Geräte sogar identisch sein, aber die Software bzw. deren Support macht den Unterschied!

Bei beiden mag z.B. etwas von „Built-in Security“ stehen. Aber beim einen ist es ein Lippenbekenntnis als Marketing-Feature, beim anderen echtes Verständnis für Security. Wenn es hart auf hart kommt sogar mit Security Updates …

Fazit: Security ist nicht kostenlos. Solange wir als Verbraucher nicht (mit unserer Kaufentscheidung!) auf Sicherheit Wert legen, ist es für Hersteller nicht sinnvoll, dafür zu sorgen. Damit obliegt es letztendlich den Verbrauchern, Sicherheit zu fordern, aber auch durch manuelle oder Auto-Updates die Geräte dann sicher zu halten.

Tag 6: Patches nicht auf dem heiligen Altar der Verfügbarkeit opfern!

Genauso wie in der Office-IT sind nicht geschlossene Sicherheitslücken auch in der Produktion ein Einfallstor für Angreifer. In der Office-IT lautet die Antwort auf die Frage nach einer Lösung oft salopp: „Patch doch einfach!“ Dies ist für die Office-IT völlig korrekt, in der Produktion jedoch meist nicht praktikabel. Wenn Patchen überhaupt möglich ist, ist es alles andere als „einfach“. Administratoren aus der Office-IT verstehen dies aber häufig nicht. Die Gründe sind so komplex wie vielfältig. Die Produktions-IT macht es sich häufig einfach und nutzt das Argument der Verfügbarkeit (nach dem Motto: „Never touch a running system.“).

Verfügbarkeit ist einer der Gründe, aber nicht der einzige. Häufig sind es Wartungs- bzw. Support-Argumente. Aber auch die funktionale Sicherheit spielt eine Rolle: Ein System wird in einem definierten Zustand abgenommen und in Betrieb genommen. Jede noch so kleine Änderung am System hat danach evtl. Einfluss auf den Support bzw. auf die Safety. Und wer will schon im Fehlerfall eine nicht unterstützte Konfiguration riskieren. Von unvollständigen/fehlerhaften Risikobewertungen im Bereich funktionaler Sicherheit ganz zu schweigen. Fehler, die zu Verletzungen (oder schlimmer) führen, ziehen schnell strafrechtliche Konsequenzen nach sich.

Aber die bisher oft übliche Praxis des „Nicht-Patchens“ ist nicht mehr zeitgemäß, insbesondere bei vernetzten Anlagen. Aus Sicht der funktionalen Sicherheit erfordern auftretende Sicherheitslücken sogar oft eine erneute Risikobewertung – häufig mit entsprechenden Risikominderungsmaßnahmen! Da gibt es auf der einen Seite das Problem, dass ungepatchte Systeme große Einfallstore sind, und auf der anderen Seite stehen die Systeme selbst, die aufgrund möglicher unerwünschter Nebenwirkungen nicht so einfach gepatcht werden können.

Ein möglicher Weg aus dem Dilemma besteht darin, in den sauren Apfel zu beißen und ein für die Produktion angepasstes Patchmanagement einzuführen. Im Gegensatz zur Office-IT muss dieses aber in die Produktionsanforderungen und das Rahmenwerk der funktionalen Sicherheit eingebettet sein. Damit ist sowohl das Aufspielen als auch das Nicht-Aufspielen des Patches, bzw. das verzögerte Aufspielen, Teil des Risikobewertungsprozesses.

Einen anderen Weg stellen so genannte Virtual Patches oder Virtual Shields dar. Die Grundidee besteht darin, die mögliche Ausnutzung der Schwachstelle zu erkennen und zu verhindern. Am System selbst ist kein Eingriff erforderlich, und es ist und bleibt streng genommen ungepatcht/unverändert. Vielmehr wird eine Art Schutzschale um das System gelegt, die verhindert, dass die Schwachstellen ausgenutzt werden können. Diese Schutzschale gibt es vereinfacht in drei Ausprägungen:

  • Virtual Shields auf dem System: Lösungen wie Trend Micro Deep Security™ oder OfficeScan erlauben die Anwendung von Virtual Shields im System. D.h. ein Angriff wird abgewehrt, bevor er die Anwendung erreicht. Obwohl dieser Ansatz (nicht nur im Office Bereich) weit verbreitet ist, gibt es auch einen Aspekt, der in der Produktion nicht verschwiegen werden darf. Je nach Einschätzung kann allein das Einspielen der neusten Erkennungen für Angriffe als Eingriff/Veränderung in das System gesehen werden. Dies fällt unter Umständen in die gleiche Kategorie wie das Aufspielen das Patches selber.
  • Virtual Shields in der Virtualisierungsschicht: Werden Systeme auf einer Virtualisierungsplattform betrieben, so kann die Funktionalität der Schutzschale vom Hypervisor bereitgestellt werden. Deep Security erweitert den VMware Hypervisor unter anderem um diese Funktion. Damit wird Sicherheit quasi transparent von der Infrastruktur, ohne Eingriff in das System, bereitgestellt. Gerade bei sehr IT-nahen Systemen wie Datenbanken, Data Historians oder Auswertungsplattformen ist die Virtualisierung schon weit fortgeschritten.
  • Virtual Shields auf Netzwerkebene: Ein anderer Ansatz schützt ganze Netzwerke bzw. Segmente mit netzwerkbasierten Lösungen wie Trend Micro TippingPoint. Als Intrusion Prevention System (IPS) erkennt es Angriffe auf Netzwerkebene und filtert diese heraus. Gerade beim Übergang vom Office- ins Produktionsnetzwerk können dabei viele Angriffe ohne Einfluss auf die Produktion gefiltert werden. Dank der jahrelangen Erfahrung im Produktionsumfeld ist aber auch die Filterung zwischen Komponenten des Produktionsnetzwerks nichts Ungewöhnliches. Hohe Bandbreite gepaart mit niedriger Latenz bzw. Jitter aber auch hardwarebasierte Fail-Over-Lösungen unterstreichen diesen Anspruch.

Eines muss deutlich sein: Alle vorgestellten Lösungskonzepte sind keine Dauerlösungen! Das Einspielen von Patches ist und bleibt das Ziel. Mit den aufgezeigten Lösungen kann dies jedoch geordnet bzw. in vorgesehenen Wartungsfenstern stattfinden. Und bis dahin sind die Lücken über Virtual Shields geschützt.

Fazit: Der grundsätzliche Patch-Ansatz unterscheidet sich zwischen Office- und Produktions-IT nur wenig. Patchen ist und bleibt unverzichtbar. Deutliche Unterschiede treten aber bei der Risikobewertung im Bereich Safety und dem Fokus auf Verfügbarkeit zu Tage. Patches sollten nie „einfach so“, sondern koordiniert in die Produktion eingebracht werden. Und für die Zwischenzeit stehen mit Virtual Shielding-Lösungen Werkzeuge bereit, die die Systeme bis dahin schützen.

Tag 7: Die wahren Kosten von Smart Devices sind höher, als Sie denken!

Smart Devices werden in Zukunft Teil unseres Lebens sein – ob wir wollen oder nicht. Neben den schon genannten Sicherheitsanforderungen muss jedem der Preis klar sein, den er dafür bezahlt. Damit ist nicht der Kaufpreis gemeint! Vielmehr geht es um die Daten, die diese Geräte über uns und auch andere sammeln. Dabei ist es unerheblich, ob die Geräte selbst online sind und Daten sammeln oder ob es über zugehörige „Companion-Apps“ geschieht.

Ob und wie diese Daten ausgewertet bzw. monetarisiert werden, hängt unter anderem vom Geschäftsmodell des Anbieters ab:

  • Am einen Ende stehen Smart Devices, bei denen zum Kaufpreis ein regelmäßiger „Service“-Beitrag fällig wird. Wird der nicht bezahlt, so erlischt (ein Teil) der Funktionalität.
  • Am anderen Ende geht es um günstige Geräte, bei denen im Kaufbetrag ein (lebenslanger?) kostenloser Dienst enthalten ist.

Beim ersten Modell kann der Hersteller seine laufenden Servicekosten also an den Kunden weitergeben. Beim zweiten Modell kann es passieren, dass nach einiger Zeit das Service-Polster aus dem Kaufbetrag u.U. aufgebraucht ist. Hier überlegt sich der Hersteller dann durchaus Ideen für andere Monetarisierungsmöglichkeiten.

Beide Fälle sind bewusst extrem gewählt. Und keines der beiden Extreme ist ein Beweis für vorhandene oder nicht vorhandene Monetarisierung von Daten. Allerdings sind dies Anhaltspunkte, um die Geschäftsmodelle zu hinterfragen.

Die europäische Datenschutzgrundverordnung (DSGVO) ist hier nicht zwangsläufig anwendbar. Diese betrifft personenbezogene Daten. Aber selbst Daten ohne Personenbezug lassen sich zu Geld machen: etwa das Beispiel einer smarten Kaffeemaschine. Selbst statistische Daten über den Kaffeekonsum aufgeschlüsselt nach Kaffeeart, Tassengröße, Trinkzeitpunkt etc. ist für die Marktforschung interessant – ganz ohne Personenbezug. Kombiniert mit persönlichen Daten wie Alter, Bildung, Wohnort sind die Daten natürlich von deutlich höherem Wert. Aber hier greift u.U. die DSGVO. Da ist es wichtig, genau hinzusehen, was der Konsument bei der Anmeldung mit der Lizenzbedingung abnickt.

Auch ein anderer Aspekt sollte nicht außer Acht gelassen werden: In der Regel wird davon ausgegangen, dass ein Smart Device nur Daten über seinen „Besitzer“ sammelt. Bei einer ganzen Reihe von Geräten gelangen aber unter Umständen unbeteiligte Dritte (z.B. Gäste) ins Datenvisier. Ein sprachgesteuertes Device nimmt vielleicht auch Gäste auf oder Anrufer, die auf dem Anrufbeantworter eine Nachricht hinterlassen. Hier muss jedem klar sein, dass diese Daten technisch erhoben werden können. Ob dies der Fall ist, hängt wieder vom Modell (und der Skrupel?) des Anbieters ab.

Fazit: Bei Smart Devices sollten immer alle Kosten betrachtet werden — nicht nur der Kaufpreis.

Tag 8: Lohnen sich „smarte“ IIoT (Industrial-IoT) Devices?

Auch im Produktionsumfeld sind Smart Devices inzwischen angekommen. Ob nun im Rahmen von Industrie 4.0, Smart Factory oder bei der digitalen Transformation. Die Forderung Maschinen und Produktionsanlagen zu vernetzen und die Vorteile der Vernetzung auszuschöpfen, findet sich überall. In all diesem „Marketingsprech“ stellt aber kaum jemand die Frage, ob dies überhaupt sinnvoll ist, oder ob es sich „lohnt“.

Auf der einen Seite gibt es immer noch genug Prozesse/Produkte abseits von „Losgröße Eins“. Bei großen Fertigungsaufträgen ist häufig durchaus die Steuerung pro Auftrag via MES/MOMS interessant. Ob dies aber eine durchgehende Vernetzung bis zur Feldebene erfordert, steht auf einem anderen Blatt. Auf der anderen stehen Prozesse, bei denen jedes Teil anders sein kann (Stichwort „Built to order“ bzw. „Losgröße Eins“). Diese Produktion funktioniert ohne die durchgehende Vernetzung schlichtweg nicht.

Allerdings geht es bei der bisherigen Betrachtung nur um den Wert der Vernetzung aus wirtschaftlicher Sicht. Aber Vernetzung bietet nicht nur Potenziale, sie birgt auch Gefahren. Bei der Frage, ob es sich „lohnt“, sind diese gegeneinander abzuwägen: Einige Geschäftsmodelle erzwingen geradezu eine Vernetzung. Hier liegt der Ansatz also darin, das Risiko durch entsprechende Security Controls zu adressieren — in welchem Umfang hängt auch hier vom „Risiko-Appetit“ ab. Andere Geschäftsmodelle profitieren von Vernetzung. Auch hier stellt sich die Frage nach den Risikominderungsmaßnahmen und deren Kosten. Übersteigen die Maßnahmen zur Risikominderung die zu erwartenden (Mehr-)Einnahmen, ist die Vernetzung einfach nicht sinnvoll.

In der heutigen Zeit muss aber genau diese Entscheidung, nämlich nicht zu vernetzen, auch akzeptiert werden. Manchmal lohnt es sich einfach nicht. Bevor man sich also blindlings in die schöne neue Welt stürzt, ist die gute alte Risikoabschätzung mehr als angebracht.

Zusammenfassend lässt sich feststellen, dass Vernetzung nicht immer Sinn ergibt. Nicht alles, was technisch machbar ist, ist auch wirtschaftlich sinnvoll. Bei allen Diskussionen um neue und hippe Geschäftsmodelle dürfen Sicherheitsrisiken durch Vernetzung nicht ignoriert werden. Die Kosten für passende Risikominderungsmaßnahmen sind genauso Kenngrößen zur Entscheidung wie mögliche Mehreinnahmen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.