IIoT-Sicherheit – Erfolg als Risikofaktor
Das Konzept der Industrie 4.0 beruht im Wesentlichen auf der Digitalisierung und Vernetzung der Produktion, Logistik und Verwaltung eines Unternehmens. Seine zwei Kernbausteine: die mit dem Unternehmensnetzwerk und dem Internet verbundenen Geräte, Sensoren und Maschinen – das Internet of Things (IoT) und das Industrial Internet of Things (IIoT). Doch wo bleibt die IIoT-Sicherheit?
Seit Jahren schon arbeiten Unternehmen weltweit an einer möglichst umfassenden Implementierung der Industrie 4.0 – auch in Deutschland. Laut einer IDC-Umfrage vom Ende des vergangenen Jahres will knapp die Hälfte der DACH-Unternehmen in diesem Jahr die Geschwindigkeit, mit der sie ihre IoT- und IIoT-Parks ausbauen, merklich anheben.
Dabei stehen sie allerdings vor der Herausforderung, die wachsende Zahl ihrer vernetzten Endgeräte effektiv vor unerwünschten Fremdzugriffen abzusichern. Die Absicherung von IoT und IIoT erfolgt über die Vergabe von digitalen Identitäten und von mit diesen verknüpften digitalen Zertifikaten. Über sie lässt sich die Authentizität der einzelnen IoT- und IIoT-Entitäten ermitteln und verifizieren und IIoT-Sicherheit schaffen.
IIoT-Sicherheit – immer Angriffe zeigen Dringlichkeit
Welche Folgen ein erfolgreicher Angriff auf IoT- und IIoT-Geräte, -Sensoren und -Maschinen eines Unternehmens haben kann, wurde in der internationalen Medienberichterstattung schon vor Jahren anschaulich demonstriert. Erinnert sei hier nur an die Presseberichte über die Fernsteuerung eines Jeeps durch Whitehat-Hacker, den Hack eines Casinos über ein Fischtank-Thermometer und den Verkada-Videokamera-Hack der es Angreifern ermöglichte, Live-Einblicke in angeschlossene Fabriken, darunter auch die Produktionsstätten von Tesla, zu gewinnen.
Nun liegen die genannten Vorfälle allesamt schon einige Jahre zurück. Cyberrisiken für IoT und IIoT bestehen aber nach wie vor, haben in den vergangenen Jahren sogar eher zu, denn abgenommen. Laut der Keyfactor-Untersuchung Digital Trust in a Connected World: Navigating the State of IoT Security vom vergangenen Jahr hatten 69 Prozent aller Unternehmen zwischen 2020 und 2023 einen Anstieg der Angriffe auf ihre IoT- und IIoT-Parks zu verzeichnen. 97 Prozent erklärten, dass das Management und die Absicherung von IoT und IIoT für sie mittlerweile eine echte Herausforderung darstelle, 98 Prozent auch und gerade im Hinblick auf das Zertifikatsmanagement.
Und dennoch: Fast die Hälfte – 43 Prozent – gab 2023 an, dass ihre IoT und IIoT ‘ausreichend’ geschützt sei und vertrauen ihrer IIoT-Sicherheit. Ihre Vermutung: da IoT und IIoT (noch) nicht angegriffen wurden oder einen Angriff erfolgreich überstanden hatten, müssten sie ausreichend abgesichert sein.
In diesem Jahr nun sieht es nicht viel besser aus. So kommt Keyfactors 2024 PKI & Digital Trust Report zu dem Ergebnis, dass Unternehmen in den vergangen zwei Jahren im Schnitt drei Vorfälle zu beklagen hatten, in denen abgelaufene Zertifikate für einen Ausfall verantwortlich waren; drei weitere, in denen fehlende Audits und Compliance-Vorgaben des Schlüssel- und Zertifikatsmannagents der Auslöser waren; und schließlich drei weitere Vorfälle, bei denen es durch verloren gegangene oder gestohlene Schlüssel und Zertifikate zu Datenschutzverletzungen oder Sicherheitsvorfällen kam. Im Schnitt, so die Keyfactor-Erhebung, benötigte ein Unternehmen drei Stunden, um einen Vorfall aufzuspüren, drei weitere, um ihn zu beheben; bei einem durchschnittlichen Personalbedarf von acht Personen – pro Vorfall.
Kein Wunder, dass im diesjährigen Report 72 Prozent der Befragten der Aussage zustimmen, dass ein effektives Management der Maschinenidentitäten ihres Unternehmens für sie eine wachsende Herausforderung darstelle. Hätten sie die Möglichkeit, ihre Public Key-Infrastruktur (PKI) von Grund auf neu zu konzipieren, nur zwei Prozent würden sie so lassen, wie sie derzeit ist.
Ein Wert, der zu denken geben sollte. Und dennoch: Auch in diesem Jahr gaben wieder 55 Prozent der Befragten an, dass ihr Unternehmen über eine ‘voll ausgereifte’ Strategie zum Management seiner Maschinenidentitäten verfüge.
Ein Vergleich der beiden Keyfactor-Untersuchungen zeigt: in Punkto IoT- und IIoT-Zertifikatsmanagement scheint sich ein erheblicher Teil der IT- und OT-Entscheider nach wie vor zu sehr in Sicherheit zu wiegen. Die logische Folge: der Bedarf an Investitionen in die Anhebung der Sicherheit von IoT und IIoT wird nicht gesehen, notwendige Entscheidungen hinausgezögert. Ein Irrglaube. Nur weil man keinen Sicherheitsvorfall zu beklagen hat, nur weil man Angriffe erfolgreich überstanden hat, sollte man nicht darin nachlassen, sein Identitäts- und Zertifikatsmanagement weiter zu optimieren, seine Public Key Infrastruktur weiter fein zu justieren. Spielraum nach oben, das zeigen die beiden Untersuchungen mehr als deutlich, ist bei den meisten Unternehmen – in- wie außerhalb des DACH-Raums – immer noch mehr als reichlich vorhanden.