Industrielle IoT-Sicherheit:Herausforderungen und Lösungen

Das exponentielle Wachstum des industriellen IoT liegt mit den jüngsten Prognosen im Plan. Und während wir bis 2025 auf eine Welt mit über 75 Milliarden vernetzten Geräten zusteuern, wird fast ein Drittel in industriellen Anwendungen innerhalb der Fertigung eingesetzt. Aber da die Möglichkeiten in diesem Markt – insbesondere bei Cloud-basierten Drittanbietern von Diensten – weiter zunehmen, sticht ein Problem weniger als Wachstumshemmnis hervor, denn es ist ein Warnsignal, das nicht ignoriert werden sollte. Diese rote Flagge ist die allgegenwärtige Sicherheitsanforderung.

Mit jeder Woche, die vergeht, gibt es eine neue Geschichte über Datenverletzungen in viel größeren Datenbanken als zuvor und bei Unternehmen, die vor solchen Eindringlingen als sicher gelten. Ebenso beunruhigend sind die Fälle, in denen Unternehmen die gesammelten Daten auf eine Weise gespeichert oder verwendet haben, die von den Personen und Unternehmen, die ihnen die Daten anvertraut haben, nie beabsichtigt war. Und mit der zunehmenden Verbreitung von Geräten kann sich das Problem verschlimmern, bevor es sich bessert.

In diesem Artikel diskutieren wir häufige Schwachstellen für industrielle IoT-Netzwerke und wie Sie diese Schwachstellen beheben können, um die Sicherheit Ihres Netzwerks und Ihres Unternehmens zu gewährleisten.

Wie wir hierher gekommen sind

Es gibt zwei grundlegende Gründe, um zu erklären, wie Industrial IoT in dieses Dilemma gelangt ist. Einer basiert auf einfacher Mathematik. Angesichts der exponentiell steigenden Anzahl bereitgestellter Geräte und des Drucks auf die Dienstanbieter, sowohl die Geräte als auch die Plattformen für den Einsatz bereitzustellen, lief die Branche Gefahr, sich selbst zu überholen und mehr zu tun, als Sicherheitsinitiativen und -protokolle absorbieren und darauf reagieren könnten .

Der zweite Grund ist ein Problem, das in der Vergangenheit andere neue und äußerst erfolgreiche Technologien geplagt hat. Das Thema Sicherheit musste nämlich noch nie auf Maschinenebene angegangen werden. Daher wurden keine Standards oder Protokolle entwickelt. In vielerlei Hinsicht bedeutete dies, dass die Anbieter sie entweder ad hoc adressierten, wenn sie auf sie stießen, den vom Kunden ausgewählten Drittanbieter für Sicherheit verwendeten oder sich sogar ausschließlich auf die internen Sicherheitsmaßnahmen des Kunden verließen (oftmals für sich genommen unzureichend).

Hinzu kommt, dass viele Dienstanbieter Firmware-Upgrades nur langsam oder nur sporadisch bereitstellen, da der Drang nach neuen und verbesserten Kernfunktionen oft Vorrang hat. Unabhängig davon, wie das Problem entstanden ist, ist es heute eines der heißesten Probleme in der Branche und eines, mit dem viele zu kämpfen haben.

Standorte von Sicherheitsbedenken

Da Hacker im Umgang mit denselben Datentools und KI-Technologien immer raffinierter werden wie diejenigen, die IoT-Systeme aufbauen, wächst das Risiko einer Datenpanne. Innerhalb einer Fabrik und ihrer verbundenen Systeme gibt es eine Reihe von Orten, an denen ein Verstoß auftreten kann:

• Unsichere Webschnittstellen:Der Ort, an dem Benutzer mit IoT-Geräten interagieren, leidet unter Problemen wie unzureichenden Standardkennwörtern, Sperr- und Sitzungsverwaltungsproblemen und der Offenlegung von Anmeldeinformationen innerhalb des Netzwerks.
• Unsichere Netzwerkdienste: Hier können sich Hacker Zugriff auf das Netzwerk selbst verschaffen, beispielsweise durch offene Ports, Pufferüberläufe und Denial-of-Service-Angriffe.
• Schwache Verschlüsselung: Eine schwache Verschlüsselung oder in einigen Fällen keine Verschlüsselung kann es Eindringlingen ermöglichen, Daten während des Austauschs zwischen Geräten zu sammeln.
• Unsichere mobile Schnittstellen: Da viele Unternehmen Außendienst als Erweiterung ihres Herstellungsbetriebs für Reparatur und Wartung anbieten, leiden mobile Schnittstellen unter dem gleichen Problem der Verschlüsselung und Authentifizierung.

Herausforderungen der IIoT-Sicherheit

Viele Unternehmen haben von vornherein bereits schwache oder unzureichende Sicherheitsvorkehrungen getroffen, was die IoT-Anbieter, die sowohl Dienste als auch Geräte bereitstellen, unter Druck setzt. Mehr als 50 % aller kritischen Infrastrukturvorgänge verwenden veraltete Microsoft-Software, und volle 40 % aller Industriestandorte nutzen das öffentliche Internet.

Dies macht die Maschineninfiltration zu einem Hauptrisiko, da sich die Geräte vermehren, was bedeutet, dass sich raffinierte Hacker möglicherweise Zugang zu einer ganzen Fabrik verschaffen und die Produktionskapazitäten entweder ernsthaft stören oder für einen längeren Zeitraum beschädigen könnten. Es könnte auch als direkte oder indirekte Folge eines Eindringens physisch gefährliche Bedingungen darstellen.

Legacy-Sicherheit ist ebenfalls ein Problem. Eines der wichtigsten Wertversprechen für die industrielle IoT-Bereitstellung besteht darin, dass ältere Geräte mit IoT-Geräten nachgerüstet werden können. Dies ermöglicht längere Gerätelebenszyklen und eine vollständige Integration für den Aufbau einer intelligenten Fabrik, ohne dass teure Investitionsgüter angeschafft werden müssen. Aber die Wahl muss zusammen mit einer sorgfältigen Überlegung getroffen werden, welche Geräte für die Verwendung innerhalb des Systems ordnungsgemäß gesichert werden können, welche Fähigkeiten ein Unternehmen möglicherweise nicht hat und die es möglicherweise nicht erkennt, dass es benötigt wird.

Das Fehlen von Standards und Protokollen in einer Branche, die noch in den Kinderschuhen steckt, aber astronomisch wächst, behindert auch kohärente Sicherheitsfortschritte. Das Gefühl ist, dass IoT-Dienstleister als Geschäftsgemeinschaft zusammenkommen und sich selbst regulieren werden, um Standards und Protokolle für die gesamte Entwicklung zu entwickeln.

Dies würde die Möglichkeit konkurrierender oder sich überschneidender „lokaler“ Protokolle eliminieren und wäre für den Kunden am kostengünstigsten. Bis dahin macht das Fehlen eines Standards die Ad-hoc-Sicherheit zur Norm und betont die Fähigkeiten des bestehenden Sicherheitssystems des Kunden, das möglicherweise bereits seine eigenen Schwächen aufweist.

Industrielle IoT-Sicherheitslösungen

Über 40 % aller Sicherheitsverletzungen bestehen entweder aus Malware- oder Brute-Force-Angriffen. Es gibt aber auch zahlreiche andere Formen des Eindringens. Aufgrund der vielen Möglichkeiten, wie auf die Geräte und Systeme eines Unternehmens zugegriffen werden kann, wird die Sicherheit als aus vier Ebenen bestehend betrachtet; Geräte-, Kommunikations-, Cloud- und Lebenszyklusmanagement. Aufgrund der Geschwindigkeit, mit der die Branche gewachsen ist, verkompliziert dies Sicherheitslösungen, da es keine durchgehende, sofort einsatzbereite Sicherheitslösung gibt.

Aber es gibt Schritte, die von Anbietern und Unternehmen in der Zwischenzeit unternommen werden können, wenn End-to-End-Lösungen entwickelt werden.

Ein solcher Schritt wäre die Segmentierung des IT-Netzwerks, sodass alles, was Geräte steuert, in einem separaten Netzwerk von der restlichen IT-Infrastruktur eines Unternehmens verwaltet wird.

Ein zweiter Schritt, den Dienstleister gehen können, ist die Sicherstellung der „Grundlagen“. Grundlegende Strukturen wie das Sperren von Anmeldeinformationen nach einer kleinen Anzahl von Versuchen und Standard-Anmeldeinformationen, die bei der Aktivierung geändert werden müssen, helfen, den Zugriff auf die Weboberfläche zu sichern. Ebenso kann das Vorschreiben starker Passwortregeln und der Zwei-Faktor-Authentifizierung den unbefugten Zugriff einschränken.

Auf der IT-Ebene wird sichergestellt, dass Dienste nicht anfällig für Pufferüberläufe sind und Ports geschlossen werden, wenn sie nicht verwendet werden, um auch Einbruchswege zu unterbinden. Die gleichen Vorkehrungen können in die Schnittstellen von Mobilgeräten für Passwörter, Sperren und Standardpasswortregeln eingebaut werden. Und natürlich wird eine bessere Disziplin bei der Erstellung und Bereitstellung von Firmware-Upgrades dazu beitragen, die Systemverschlechterung zu reduzieren.

Der vielleicht größte Schritt, der unternommen werden könnte, um Sicherheitsbedenken auszuräumen, wäre, dass die Industrie bei der Entwicklung von Industriestandards und -protokollen an der Selbstregulierung mitarbeitet. Durch die Definition einer Basisarchitektur für viele der oben genannten Probleme und die Standardisierung und Vorgabe ihrer Einbeziehung würden Dienstanbieter und ihre Programmierteams von kleineren Sicherheitsbedenken befreit und könnten sich auf größere und intensivere Sicherheitsprobleme konzentrieren, wenn sie sich entwickeln.

Die Festlegung grundlegender Standards würde allen Systemen einen „Mindestsicherheitsboden“ verleihen, um sowohl die Unternehmen zu schützen, die die Dienste erwerben, als auch die Anbieter, die Systeme in Unternehmen mit unzureichenden oder schwachen Sicherheitssystemen einsetzen.

Sicherheitsherausforderungen werden mit IoT weiter wachsen

Die Sicherheitsherausforderungen für Anbieter von Industrial IoT-Diensten und ihre Kundenunternehmen wachsen. Viele betonen die Sicherheitsseite der Gleichung nicht stark, aber wenn Sie dies nicht tun, werden Gelegenheiten verpasst. Viele Führungskräfte haben angegeben, dass sie bereit wären, mehr für IoT-Geräte und -Dienste zu bezahlen, wenn Sicherheitslösungen Teil des Pakets wären. Aber da die Branche weiter wächst, werden neue Dienste, einschließlich Sicherheit als Teil der Plattform, oder starke Partnerschaften mit Sicherheits-Drittanbietern, auf dem Markt stärker Fuß fassen.