#Security: Die neue Realität eines nationalen CERT

20. Februar 2020, 10:00
  • kolumne
  • cert
  • iot
  • schweiz
  • #security
image

Das Internet of Things (IoT) und die Operational Technology (OT) haben unsere Risikolandschaft stark verändert. Für eine umfassende, zukunftsweisende CERT-Tätigkeit baut SWITCH vertieftes Security-Know-how auf.

Die Digitalisierung eröffnet der Wirtschaft grosse Chancen. Insbesondere wenn durch die intelligente Verknüpfung von Daten und Informationen innovative Geschäftsmodelle entstehen, die auch disruptive Folgen für etablierte Wertschöpfungsketten haben können. Ein gutes Beispiel liefert die Plattformökonomie mit Vertretern wie Airbnb oder Uber. Wie üblich sind grosse Chance auch mit neuen Risiken verbunden.

Drastische Verschärfung der Bedrohungslage

Mit der zunehmenden Vernetzung von IT mit OT haben Cyberangriffe plötzlich nicht nur Folgen im virtuellen Raum, sondern können neu auch ganz real zu Sach- und Personenschäden führen. Beispiele reichen von Manipulationen an Medizinalgeräten in einem Spital bis zur Abschaltung von Hochöfen in einer Giesserei. Mit steigender Relevanz der IT wird das Schadensausmass für die Wertschöpfung markant grösser. Durch die schnell anwachsende Zahl vernetzter, potentiell unsicherer "Dinge" - wir sprechen von Milliarden solcher Dinge - und der Vernetzung von allem mit allem, wachsen die Angriffsfläche und Eintrittswahrscheinlichkeit von Cyber-Vorfällen stark an. Und steigendes Schadensausmass multipliziert mit steigender Eintrittswahrscheinlichkeit verheisst für die Entwicklung der Risikolandschaft nichts Gutes.

SWITCH-CERT rüstet auf

Diese kontinuierliche Verschlechterung der Risikolandschaft geht mit einer steigenden Anzahl Sicherheits-Vorfälle einher. Um in diesem neuen Umfeld erfolgreich agieren zu können, benötigt SWITCH-CERT, zusätzlich zur hohen Kompetenz in IT-Security, profundes Wissen in der IoT- und OT-Security. Zudem betreibt SWITCH in der Schweiz zusammen mit dem Verein ONIA das nationale Backend des Open Source IoT Netzwerks "The Things Network" und ist dort auch mit Sicherheitsthemen konfrontiert. Auch deshalb bauen wir zusammen mit internationalen Partnern systematisch IoT- und OT-Security-Kompetenzen auf. Diese Fähigkeiten werden allen Kundengruppen, insbesondere auch den Schweizer Hochschulen, zugute kommen, weil alle Kunden in verschiedenen Ausprägungen mit dem Thema konfrontiert sind.

Marktversagen im Consumer-IoT

Die Prognosen für IoT sind eindrücklich. Gartner schätzte, dass 2019 rund 14.2 Milliarden vernetzte "Dinge" in Betrieb waren und dass diese Zahl bis 2021 auf 25 Milliarden steigen wird.
In der Studie "Market Pulse Report IoT" von 2017 (Gartner/Weltbank via 'GrowthEnabler'),  sagt Gartner, dass mehr als 60% dieser "Dinge" Consumer-IoT betreffen.
Wie ist es aber um deren Sicherheit im Internet bestellt? In Anbetracht bekannter Angriffe über IoT, z.B. für Distributed Denial of Service (DDoS) Angriffe, können wir nicht von genügender Sicherheit ausgehen. Dies, obwohl IoT je nach Einsatzgebiet sehr hohe Anforderungen an die Verfügbarkeit der Plattform und an die Integrität der Daten stellt.
Der Grund dafür wird sehr schnell klar, wenn man darüber nachdenkt, wer ein Interesse an sicheren "Dingen" hat. In geschäftlichen Anwendungen ist dieses Interesse klar vorhanden, weil die Kunden selber Sicherheitsanforderungen haben oder erfüllen müssen. Ganz anders sieht es bei Privatnutzern aus. Wenn die negativen Folgen eines Missbrauchs niemand spürt – nehmen wir als Beispiel einen unbemerkten Missbrauch einer Videokamera für einen DDoS-Angriff – verändert sich bezüglich Sicherheit nichts. Solange die Kunden keinen Druck aufbauen, gibt es für die Hersteller bei den tiefen Margen keinen Anreiz, in die Sicherheit zu investieren. Ein klarer Fall von Marktversagen im Bereich des Consumer-IoT. Mit ein Grund dafür ist auch die Unfähigkeit von Staaten, rechtzeitig griffige Normen für eine angemessene Sicherheit von IoT bereitzustellen und diese per Gesetz auch durchzusetzen.

Anforderungen an OT-Security

Laptops oder Smartphones verfügen über genügend Rechenleistung und Arbeitsspeicher, dass sie problemlos mehrere Aufgaben ohne Auswirkung auf den Benutzer gleichzeitig abarbeiten können. Dazu gehören beispielsweise die Verschlüsselung von Dateien oder deren Überprüfung auf Viren. Im Büroalltag ist das Einspielen von Updates oder auch ein Neustart des Arbeits-Laptops tolerierbar. Die kurze Unterbrechung hat eine vernachlässigbare Auswirkung auf den Tagesablauf der Mitarbeitenden.
Im Gegensatz dazu sind OT-Geräte so gebaut, eine Aufgabe möglichst effizient und unterbruchsfrei auszuführen. Verfügbarkeit und Sicherheit der Geräte haben absolute Priorität. Ein Sicherheitsupdate eines Elektroautos darf logischerweise nicht durchgeführt werden, wenn dieses gerade auf der Autobahn unterwegs ist.
Kommen zu einer Hauptaufgabe zusätzliche Sicherheitsaufgaben dazu, sind OT-Geräte nicht in der Lage, diese ohne Beeinträchtigung ihrer Hauptaufgabe abzuarbeiten. Zwei Beispiele: Wenn genau in dem Moment des Bargeldbezugs am Bancomaten ein Sicherheitsupdate eingespielt wird und der Kunde deswegen auf sein Geld warten muss, ist dies nicht in seinem Interesse. Oder wenn ein Pulsüberwachungsgerät im Spital seine Arbeit nicht mehr verrichten kann, weil der Virenscanner die gesamten Ressourcen des Gerätes braucht, kann dies lebensbedrohlich sein.

Lange Lebensdauer als Hürde

OT-Geräte sind auf eine viel längere Lebensdauer ausgelegt als Geräte im Consumerbereich oder der Business-IT. Es ist nicht unüblich, dass Bancomaten heute noch mit Windows XP oder dass eine Chip-Herstellungsmaschine noch mit MS-DOS betrieben werden. Laborausrüstungen im Medizinalbereich, als weiteres Beispiel, bleiben ohne weiteres länger als 30 Jahre in Betrieb. Dies stellt die Betreiber vor hohe Anforderungen, da über den Verlauf von Jahrzehnten eine Vielzahl verschiedener Geräte mit unterschiedlichen Softwareversionen mit dem Firmennetzwerk verbunden werden. Neben den Sicherheitsthemen im Betrieb geht damit auch eine hohe Komplexität des Gesamtsystems einher. Und Komplexität ist grundsätzlich ein Feind der Sicherheit.
Eine weitere Herausforderung im OT-Bereich stellt die Zeitspanne von Verkauf, Projektierung, Herstellung und Inbetriebnahme einer Anlage dar. Sie kann grösser sein als die offizielle Lebensdauer eines PC-Betriebssystems. Das heisst, war bei Vertragsunterzeichnung für eine Fertigungsanlage noch Windows 7 Standard, kann bei der Inbetriebnahme bereits Windows 10 aktuell und Windows 7 nicht mehr erhältlich sein.
Im Medizinalbereich, in der Luftfahrt oder auch bei der Eisenbahn müssen OT-Geräte zudem zertifiziert sein, damit sie für den Betrieb zugelassen werden. Die Zertifizierung ist jeweils für den Softwarestand bei Auslieferung gültig. Der Betreiber würde die Zertifizierung und somit die Betriebserlaubnis verlieren, wenn er auf solchen Geräte nachträglich eine Endpoint Protection-Lösung oder einen Sicherheitspatch des Betriebssystems installieren würde.

OT-Security by Design

Wie kann ich nun OT-Geräte dennoch sicher betreiben? Hier muss zwischen bestehender und neuer Infrastruktur unterschieden werden. Bereits in Betrieb genommene OT-Geräte können meist nicht mehr sicherer gemacht werden. Da bleibt oft nur die Möglichkeit, die Geräte isoliert zu betreiben und den Datenverkehr zu überwachen. Optimierte Lösungen für diese Security-Fragestellungen können nur aus einer End-to-End-Sicht über die IT-OT-Gesamtsysteme erarbeitet werden.
Bei zu realisierenden Projekten muss OT-Security von Projektbeginn weg eingeplant werden, so dass für alle Beteiligten die Sicherheitsanforderungen ersichtlich sind. Dann können technische und organisatorische Massnahmen kosteneffizient umgesetzt werden. Hier empfiehlt sich unbedingt bestehende Standards anzuwenden. Für OT ist dies die IEC 62443.

Internationale Zusammenarbeit notwendig

Die Anzahl IoT- und OT-Geräte sind enorm hoch. Das belegen die erwähnten Zahlen von Gartner, Daneben ist aber auch die Anzahl Varianten und Kombinationen sehr hoch, wie solche Geräte im Einsatz sind. Hier den Überblick zu behalten, ist äusserst anspruchsvoll und ressourcenintensiv. Die internationale Zusammenarbeit mit anderen CERTs ist für SWITCH so selbstverständlich wie notwendig, um auch auf dieser Ebene nicht nur Erfahrungen und Wissen, sondern auch Kontakte zu den Herstellern auszutauschen für den Aufbau eines vertieften Verständnisses der IoT- und OT-Security.
  • image

    Martin Leuthold

    Seit Februar 2016 leitet Martin Leuthold den Geschäftsbereich Sicherheit und Netzwerk bei der Stiftung SWITCH und ist Mitglied des SATW Advisory Board Cybersecurity. Er twittert als @MLeuthold.

  • image

    Martin Scheu

    Als SWITCH-CERT Mitarbeiter befasst sich Martin Scheu mit der Sicherheit von OT und Industriesteuerungen und engagiert sich für eine sichere Industrie in der Schweiz.

Über #Security: Die Kolumne über Sicherheit erscheint 6 Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.

Loading

Mehr zum Thema

image

Panasonic ernennt neuen Verkaufsleiter für die Schweiz

Oliver Schefer wird ab 2023 die Position des Manager Sales CE für die Schweiz bekleiden. Er berichtet direkt an DACH-Country-Manager Philip Maurer.

publiziert am 29.11.2022
image

Prantl behauptet: Wachstum geht auch ohne neues Personal

Die Rahmenbedingungen für überdurchschnittliches Wachstum sind nahezu perfekt, aber viele Unternehmer behaupten, ohne zusätzliches Personal sei dies gar nicht möglich. Kolumnist Urs Prantl behauptet das Gegenteil.

publiziert am 29.11.2022
image

Innosuisse baut eigenes IT-Sicherheitszentrum auf

Die Schweizerische Agentur für Innovationsförderung will ihre Hauptanwendungen vom BIT lösen und in die Cloud auslagern. In einer Ausschreibung werden dafür 2 externe Dienstleister gesucht.

publiziert am 29.11.2022
image

Parlament fordert digitale Rezepte

Die beiden Kammern haben eine Motion angenommen, in der nach einer medienbruchfreien Übermittlung von Rezepten verlangt wird. Der Bundesrat ist dagegen.

publiziert am 29.11.2022