Internet der Dinge (IoT) und Operational Technology (OT)

Cybersecurity Map 08:26

Stand der Dinge

Das Internet der Dinge (Internet of Things, IoT) kann als intelligente Vernetzung einer globalen Infrastruktur verschiedenster Geräte mit Funktionen aller Art (z.B. Temperatursensoren, Autos, Lautsprecher, Maschinen, etc.) verstanden werden. Durch die intelligente Vernetzung ist eine neue Verknüpfung von physischen und virtuellen Ressourcen mit gemeinsamen Interaktionen möglich. Die sich daraus ergebenden Möglichkeiten erlauben es darüber hinaus, auch automatisierte Aktionen auszuführen, Informationen zusammenzutragen und weiter zu verwerten.

Die Begriffe Industrie 4.0 und Operational Technology (OT, Betriebstechnologie) vereinen die vierte industrielle Revolution mit dem Einsatz neuer Technologien und technischer Möglichkeiten. «Industrie 4.0» (Der Begriff «Industrie 4.0» adressiert weit mehr IT/OT-Technologie und bezieht sich vor allem auf neue Gesamtkonzepte wie z.B. «Smart Factory» mit umfassender Vernetzung der Systeme und Sensoren sowie Optimierung auf Basis umfassender Daten oder «Predictive Maintenance» als weiterem Themenkreis.) gilt dabei als Oberbegriff der neuen industriellen Welt, in der Maschinen untereinander verbunden und mit modernen Informations- und Kommunikationstechnologien (IKT) vernetzt sind. Mit der Digitalisierung vernetzen sich die unterschiedlichen Welten und Architekturen der klassischen Geschäfts-IT (Information Technology) und OT zunehmend.

Während die klassische IT der Informationsverarbeitung dient, werden mit der OT physische Prozesse in der industriellen Herstellung und Logistik gesteuert. In dieser Verbindung der hochkritischen OT-Systeme (z.B. Atomkraftwerke) mit IT-Systemen, die dem Internet ausgesetzt sind, entstehen neue Schadenspotentiale und Risiken. Deren Beherrschung und Bewältigung ist mit grossen Herausforderungen verbunden und verlangt nach neuen Konzepten.

Die neuen Technologien und die umfassende Vernetzung von OT und IT führen in Wirtschaft, Verwaltung und Gesellschaft zu grossen Entwicklungsschritten, neuen Anwendungsmöglichkeiten und innovativen Geschäftsmodellen, sofern wir die damit verbundenen Risiken angemessen und systematisch managen.

Herausforderungen

Es ist allgemein bekannt, dass der Einsatz neuer Technologien spezifische Risiken hervorbringt. Die flächendeckende Vernetzung von physischen und virtuellen Prozessen erhöht die Sicherheitsrisiken und das mögliche Schadensausmass infolge der deutlich grösseren Angriffsfläche und der steigenden Wichtigkeit von OT und IT für die Wertschöpfung. Ein erfolgreicher Angriff auf ein IoT-Gerät kann direkten Einfluss auf die reale/physische Umgebung haben und so etwa zu einem Stromausfall führen, ein medizinisches Gerät funktionsunfähig machen oder Industrieanlagen beschädigen. Diese Entwicklung führt zu höheren Anforderungen an die Sicherheit, z.B. in Form von sicherer Datenkommunikation und -speicherung. Die erhöhten Sicherheitsanforderungen werden heute oft nicht erkannt oder bewusst nicht berücksichtigt (z.B. bei IoT für die Privatanwendung) um möglichst schnell mit einem günstigen und pseudo-innovativen (”intelligenten”) Gerät am Markt zu sein. Dieser Umstand bedeutet meistens, dass die Sicherheit der Geräte und die Privatsphäre der Benutzer:innen nicht genügend gewährleistet werden können. Im Bereich der Consumer IoT (Produkte für Privatanwendung), ist bezüglich eines genügenden Sicherheitsstandards Marktversagen festzustellen.

Es muss ebenfalls beachtet werden, dass speziell im Industrieumfeld der Fokus klar auf «Safety» (z.B. Unfallvermeidung) und nicht primär auf «Security» (z.B. Schutzmassnahmen vor Angriffen) gelegt wird. Des weiteren ist speziell im OT-Bereich die Lebenszeit der verwendeten Geräte auf mehrere Jahrzehnte ausgelegt, da sie oft in hartenexponierten Umgebungen hohen physikalischen Belastungen ausgesetzt sind. Im Vergleich dazu werden andere intelligente Geräte je nachdem schon nach ein paar Monaten erneuert (z.B. Smart Tags). Dieses sehr grosse Spektrum an Anforderungen und Rahmenbedingungen gilt es zu berücksichtigen, um in jedem Fall genügend sichere Gesamtsysteme zu entwickeln und integrieren zu können.

Die EU reagiert auf die zunehmenden Sicherheitsrisiken von «Produkten mit digitalen Elementen» mit der Einführung einer neuen Verordnung, dem Cyber Resilience Act (CRA). Das europäische Parlament hat im Frühling 2024 mit dem CRA eine gesetzliche Regelung zur Cybersicherheitsprüfung verabschiedet, mit der Mindestanforderungen an die Sicherheit von Produkten gestellt werden. Sie verpflichtet Hersteller dazu, spezifische Prozesse für die Produktentwicklung und den Produktsupport zu befolgen. Betroffen sind alle Unternehmen, die ein Produkt mit digitalem Element herstellen, importieren oder vertreiben, das in der EU verfügbar ist. Der CRA muss nach einer Übergangsfrist voraussichtlich ab Mitte 2027 vollständig eingehalten werden. In der Schweiz hat das Nationale Testinstitut für Cybersicherheit (NTC) seit Mitte 2022 seinen Betrieb aufgenommen. Das NTC identifiziert und testet Produkte auf Schwachstellen, um die von ihnen ausgehenden Cyberrisiken zu reduzieren. Solche Qualitätsprüfungen durch unabhängige Stellen sind in anderen kritischen Industriesektoren wie der Medizintechnik bereits seit längerem fester Bestandteil der Produktzulassung.

Handlungsbedarf für Politik, Wirtschaft und Gesellschaft: Diese Lücken bestehen aktuell

Wie eingangs erwähnt, kann die IoT/OT-Welt grob in drei Bereiche unterteilt werden:

  • Consumer IoT
  • Industrial IoT
  • OT

Aufgrund der Aufteilung der genannten Bereiche ergibt sich jeweils ein anderer Handlungsbedarf pro Kategorie. Durch das mangelnde Sicherheitsbewusstsein mancher Hersteller von intelligenten Geräten wie auch die teilweise blauäugige Verwendung der Benutzer:innen, ist es notwendig, diese zwei Themen mittels den folgenden Handlungsfeldern zu adressieren:

Consumer und Industrial IoTs

  • Internationale Standardisierung und entsprechende Geräte-Zertifizierungen vor allem im Bereich der Sicherheit anwenden, um Transparenz (welcher Hersteller ist zertifiziert?) und Sicherheit (z.B. Security/Privacy by Design) zu erhöhen. Darauf basierend eine Regulierung vorsehen, um ein genügendes Sicherheitsniveau zu erzwingen. Diese muss in mindestens einem grossen Wirtschaftsraum flächendeckend umgesetzt werden (z.B. EU), um damit eine Wirkung bei den grossen Herstellern zu erzielen.
  • User-Awareness-Initiativen weiterverfolgen, um das Sicherheitsbewusstsein stetig zu erhöhen.
  • Forschung im Bereich IoT-Security, insbesondere bezüglich der Konzepte und Architekturen, um die Sicherheit über kurze Nutzungszeiträume zu gewährleisten (z.B. bei 12 – 36 Monaten Lebensdauer).

OT/Industrie 4.0

  • Die zunehmende Vernetzung im OT-Bereich stellt jeden wirtschaftlichen Sektor vor Herausforderungen, da es hierbei nicht nur um die Integration neuer Systeme geht, sondern auch um die Vernetzung bestehender (alter) Systeme. Durch die hohe Diversität der zu vernetzenden Systeme, welche auch grundlegend andere Anforderungen an Safety, Verfügbarkeit und Lebensdauer haben, sind passende und umsetzbare End-to-End Security-Architekturen (z.B. Zero-Trust-Konzept (Das Zero-Trust-Konzept definiert, das alle Verbindungen und Benutzer jederzeit überprüft werden müssen, unabhängig ob diese intern oder extern sind. Ein alleiniger Schutz von dem Netzwerkperimeter ist nicht mehr ausreichend. “Vertraue niemanden, prüfe alles”. Siehe auch Kolumne inside-IT von Roger Halbheer) Micro-Segmentierung) unumgänglich.
  • Awareness-Initiativen vertiefter auch auf technologischer Ebene durchführen (Bedeutung der OT aufzeigen), um eine mögliche Verbreitung einer sogenannten Shadow-IT zu verhindern. Dazu sind auch die bestehenden IT-Prozesse und -Schnittstellen entsprechend anzupassen.
  • Forschung im Bereich OT-Security, insbesondere bezüglich der Konzepte und Architekturen, um die Sicherheit über sehr lange Nutzungszeiträume zu gewährleisten (z.B. bei 30 Jahren Lebensdauer).

Empfehlungen: So kann die Politik, Wirtschaft und Gesellschaft die Lücken schliessen

  1. Eine Übersicht der aktuellen Lage und der zukünftigen Entwicklungen im IoT-Bereich erstellen und bekannt machen, welche Best Practices bestehen (allenfalls gibt es bestehende Standards und Frameworks).
  2. Eine vertiefte Forschung bzgl. IoT/OT-Security vorantreiben, damit die Security mittels neuer Konzepte und Architekturen in sehr heterogenen Umgebungen auch in Zukunft gewährleistet werden kann.
  3. Minimalstandards in den Bereichen IoT/OT erstellen und normieren sowie mittels entsprechender Regulationen zwingend umsetzen. Eine Zusammenarbeit mit den entsprechenden Stellen in der EU würde eine grössere Wirkung erzielen.

Referenzen

 

Autor:innen und Themenverantwortung 

Umberto Annino, Microsoft | Martin Leuthold, Switch | Daniel Walther, Swatch Group Services

Review Board

Endre Bangerter, BFH | Alain Beuchat, Banque Lombard Odier & Cie SA | Matthias Bossardt, KPMG | Daniel Caduff, AWS | Adolf Doerig, Doerig & Partner | Stefan Frei, ETH Zürich | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Pascal Lamia, BACS | Hannes Lubich, Verwaltungsrat und Berater | Luka Malisa, SIX Digital Exchange | Adrian Perrig, ETH Zürich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, VBS | Bernhard Tellenbach, armasuisse | Andreas Wespi, IBM Research

Weitere Beiträge aus der Cybersecurity Map

 

(Adversarial) Artificial Intelligence

 

Abhängigkeiten und Souveränität

 

Cloud Computing

 

Datenschutz

 

Digitalisierung / E-Government

 

Informationsoperationen und -kriegsführung

 

Quantum computing