IoT-Geräte: «Wir müssen Security in unserer Denkweise verankern»

Drei Aspekte sind für die Entwicklung sicherer IoT-Geräte entscheidend. Welche das sind und wie diese miteinander verbunden sind, erklärt Reto Amstad von der CyOne Security im Interview.

Sichere IoT-Geräte: Ein Interview mit Reto Amstad von der CyOne Security
Reto Amstad: «Sicherheitsfunktionen nützen jedoch wenig, wenn diese vom Integrator nicht entsprechend genutzt und umgesetzt werden.» (Bild: Susanne Seiler)
 
Von Markus Back (Text) und Susanne Seiler (Fotos)

Welche typischen Fehler beobachten Sie bei der Entwicklung von IoT-Geräten?

Sehr oft wird die Sicherheit zugunsten der Funktionalität vernachlässigt. Das sehen wir beispielsweise bei Start-ups im medizintechnischen Bereich. Diese konzentrieren häufig ihre kompletten Ressourcen auf die Funktionsweise eines IoT-Gerätes und befassen sich mit dem Thema Sicherheit meist erst dann, wenn die Entwicklung fast schon abgeschlossen ist. Das ist der eine Punkt. Der andere Punkt betrifft die Pflege des Produktes. Weil sich Updates nur schwer oder gar nicht aufspielen lassen, nimmt das Sicherheitsniveau der Geräte über die Zeit sukzessive ab.

Sicheres IoT-Gerät beachtet drei Aspekte

Welche Punkte sollten demnach bei der Entwicklung eines IoT-Gerätes unbedingt beachtet werden?

Aus unserer Sicht bestimmen drei Aspekte ein sicheres IoT-Gerät: Das sichere Produkt, die sichere Integration und der sichere Betrieb. Um ein IoT-Ökosystem umfassend und «end to end» zu schützen, braucht es zunächst sichere IoT-Produkte mit entsprechenden Sicherheitsfunktionen in der Hard- und Software. Bereits bei der Entwicklung gilt es konsequent auf Datentrennung, Nachvollziehbarkeit, sichere Schnittstellen, Monitoring und Updatefähigkeit zu achten.

Sicherheitsfunktionen nützen jedoch wenig, wenn diese vom Integrator nicht entsprechend genutzt und umgesetzt werden. Daher ist die sichere Integration der zweite entscheidende Faktor. Und schliesslich müssen IoT-Produkte laufend den verändernden Cyber-Risiken und Technologieentwicklungen angepasst werden, damit ein sicherer Betrieb möglich ist.

«Integrierte Sicherheit fehlt oftmals noch»

IoT-Geräte fassen in ersten industriellen Anwendungen Fuss und sorgen so für eine weitere Verschmelzung von IT und OT. Was bedeutet das aus sicherheitstechnischer Sicht?

IT und OT haben grundsätzlich andere Prioritäten bei den Schutzzielen. Während in der IT schon länger ein grosser Fokus auf Vertraulichkeit und Integrität gelegt wird, ist in der OT in den meisten Fällen die Sicherstellung der Verfügbarkeit der heilige Gral, was Einfluss auf die eingesetzten Systeme hat.

Sicherheitsfunktionen bei industriellen Kontroll- und Steuerungssystemen sind erst in den letzten Jahren aufgekommen. Da diese aber sehr lange Lebenszyklen haben, fehlt in OT-Infrastrukturen die integrierte Sicherheit heute oftmals noch. Wenn wir jetzt OT und IT miteinander verbinden, zum Beispiel durch den Einsatz von IoT-Anwendungen, schaffen wir in einer bisher sehr hierarchisch organisierten Kommunikationsstruktur zusätzliche Schnittstellen auf verschiedenen Ebenen und damit mögliche Einfallstore.

Zur Person Reto Amstad

Reto Amstad ist Wirtschaftsingenieur und war in dieser Position in verschiedenen Funktionen bei Siemens Schweiz tätig. Zuletzt begleitete er dort die Position als Consultant für Digital Enterprise Services and Industrial Security, bevor er im Juli 2021 zur CyOne Security AG in Steinhausen wechselte. Dort berät er als Senior Security Consultant Unternehmen unter anderem bei der Entwicklung von sicheren IoT-Devices. In seiner Freizeit ist der 33-Jährige begeisterter Ruderer und gerne auf Reisen.

Welches Netz ist aus Ihrer Sicht gefährdeter, das IT- oder das OT-Netz?

Da gibt es keine abschliessende Antwort drauf, da jedes dieser Netze ein anderes Sicherheitsbedürfnis hat und es verschiedene Methoden gibt, diese Sicherheit zu gewährleisten. Je nachdem, welches Ziel ein Cyberkrimineller verfolgt, hat er auf der einen Seite den kleineren Widerstand als auf der anderen Seite.

Was sollte aus Ihrer Sicht unbedingt zu diesem Thema gesagt werden?

Wir benötigen eine Denkweise, in der Security bei der Entwicklung eines Produktes genauso selbstverständlich ist wie die Safety-Aspekte.

Das funktioniert aber nur, wenn schon während der Ausbildung der Grundstein dafür gelegt wird, oder?

Genau! Es ist wichtig, Auszubildende generell für Cyber-Gefahren zu sensibilisieren. Wir dürfen nicht vergessen, dass die Schweiz als Hightech-Standort besonders von Industrie-Spionage betroffen ist und es Akteure gibt, die gezielt IoT-Schwachstellen ausnutzen, um an geheime und vertrauliche Informationen zu gelangen. Daher muss Security in unserer Denkweise fest verankert sein.

Technikwissen zu: Security

Lesen Sie in Printausgabe #020 von Technik und Wissen, wie sich mit Security by Design das Sicherheitsniveau von IoT-Geräten konstant hochhalten lässt. Zum Abo Printmagazin

Weitere Artikel: Lesen Sie auch zu diesem Thema den Bericht «Vernetzte Produktionen sicher betreiben»

Veranstaltung zum Thema: Technology Update mit dem Thema Connectivity & Security in Zürich am 22.09.2022 (kostenlose Tagung der Firma Beckhoff)

Weitere Artikel, die Sie interessieren könnten

Mit einer Incident-Response-Strategie Risiken minimieren

Eine zeitgemässe Cybersicherheitsstrategie muss gleich zwei grosse Felder abdecken: Schwachstellen-Management inklusive Penetration Testing sowie die sogenannte Incident Response. Letzteres beschreibt die angemessene, entschlossene Antwort auf einen Cyberangriff.

Connectivity und Security ganzheitlich betrachten

«Technik und Wissen» sprach mit den TwinCAT-Produktmanagern Torsten Förder und Sven Goldstein über Transparenz bei Angriffen, bewährte Vorgehen für die Cloud, Security-Design, «Trust On First Use» und über TwinCAT-Cloud-Engineering.

Security Operations Center (SOC)

Die Schweiz sicherer machen

VINCI Energies baut für ihre Marken Axians und Actemium ein internationales IT/OT Security Operations Center (SOC) in Basel auf. In diesem neuen Hub mit Fokus auf Industrie 4.0 vernetzen sich über 300 Cyber-Security-Spezialisten aus der VINCI-Energies-Unternehmensgruppe. 

Mehr Wissen. Immer auf dem Laufenden sein. Folge uns auf Linkedin.

Der Schweizer Maschinenbau

Der Schweizer Maschinenbau hat einen hervorragenden Ruf in der ganzen Welt. Diese Seite ist dieser grossen und wichtigen Branche gewidmet. Viele Artikel und eine interaktive Schweizer Maschinenbaukarte.

Null-Fehler-Produktion mit Agathons adaptivem Vorschub

Tools für die Null-Fehler-Produktion

Neue Tools machen möglich, wovon produzierende Betriebe schon lange träumen: Sie verhindern Fehler. «Technik und Wissen» stellt einige solcher Tools vor, die helfen können, Fehler zu vermeiden und ein Schritt hin zur Null-Fehler-Produktion sind.

Hololens im Einsatz: Selbstversuch des Autors im Switzerland Innovation Park Biel/Bienne.

Augmented Reality ist kein Hexenwerk

Augmented Reality bietet viele Vorteile für Unternehmen. Wie diese genau aussehen und wieso sich der Einstieg trotz der hohen Anschaffungskosten schnell rechnet, erklärt Urs Rüegg von Microsoft Schweiz.

AX-FPS-Schruppfräser von Fraisa

Der Weg vom Trend bis zum innovativen Zerspanungswerkzeug

Welche aktuellen Trends haben einen Einfluss auf die Entwicklungen der Werkzeughersteller und welche innovativen Zerspanungswerkzeuge entstehen daraus? Fraisa, Horn und Mapal geben Auskunft.

Zerspanungswerkzeug von Mikron Tool

Werkzeuge mit einer Prise «Verrücktheit»

Auf welcher Basis entwickeln Werkzeughersteller innovative Zerspanungswerkzeuge? Mikron Tool erklärt es uns und auch, warum «crazy» definitiv ein Kompliment für die Tessiner ist.

PKD-Werkzeug von Gühring

PKD-Werkzeuge richtig einsetzen

Werkzeuge aus hochharten Diamanten stellen alle anderen Schneidstoffe in den Schatten. Doch wer in diese hochwertigen Werkzeuge investiert, sollte sie auch richtig einsetzen!

Multimediastorys von «Technik und Wissen»

Ein grosser Schritt für alle

Der Cybathlon, das Projekt Varileg und das Projekt «VariLeg enhanced» und die Wichtigkeit von Kooperationen zwischen Industriefirmen und Hochschulen.

Das Kleinstgedruckt - 3D-Druck im Mikrometerbereich

Eine preisgekrönte Multimediastory von Chefredaktor Eugen Albisser über den 3D-Druck im Mikrometerbereich.

Ab in die 3. Dimension - Wie HP zum 3D-Druck kam

Eine Multimediastory über HP und wie sie den disruptiven Weg vom 2D-Druck in die dritte Dimension fand.

Impressum

Textquelle: xx

Bildquelle: xx

Redaktionelle Bearbeitung: Technik und Wissen

Eine Publikation von Technik und Wissen

Informationen

Weitere Artikel

Veröffentlicht am:

Übersicht