Wenn sich elektronische Geräte vernetzen, leidet die Cybersicherheit

Durch die Digitalisierung können sich elektronische Geräte aller Art miteinander vernetzen und zu sogenannten Smart Things / IoT (Internet of Things) werden. Diese Entwicklung verschafft der Wirtschaft neue Möglichkeiten, sie erhöht aber auch die Risiken - insbesondere, wenn die IT mit Steuerungssystemen kritischer Infrastrukturen wie zum Beispiel Verkehrsleitsystemen oder Schutzsystemen der Stromverteilung verbunden wird. Die Expertinnen und Experten des Cybersecurity Advisory Boards der SATW zeigen auf, welche Risiken daraus entstehen und geben hilfreiche Empfehlungen für Entscheidungsträger aus Politik und Verwaltung. 

Vielfältige Einsatzbereiche 

Smart Things / IoT Geräte sind heutzutage kaum mehr wegzudenken, etwa in der Medizintechnik/Pharma-, Automobil- oder Konsumgüterbranche. Diese Geräte ermöglichen es, physische und virtuelle Ressourcen - wie etwa Produktionsanlagen und Computerprogramme - so miteinander zu verknüpfen, dass für die Wirtschaft neue Anwendungsmöglichkeiten und Geschäftsmodelle entstehen (zum Beispiel Automatisierung von Prozessen, Predictive Maintenance, etc.). Für viele Unternehmen ist der Einsatz von Smart Things / IoT somit eine Notwendigkeit, um wettbewerbsfähig zu bleiben. 

In der industriellen Herstellung und Logistik zum Beispiel, wird durch die zunehmende Vernetzung die klassische IT mit der Operational Technology (OT) verbunden, welche die physischen Prozesse steuert. Das kann zum Beispiel ein Produktionsanlagen- und Maschinensteuerungssystem oder ein Robotik- und Automatisierungssystem sein. Wenn aber betriebskritische OT-Systeme mit IT-Systemen zusammengeführt werden, die mit dem Internet verbunden sind, entstehen nicht nur neue Anwendungsmöglichkeiten und innovative Geschäftsmodelle, sondern auch Schadenspotenziale und Risiken. Und dies in Systemen, die für das Funktionieren der Schweizer Gesellschaft und Wirtschaft essenziell und von strategischer Bedeutung sind.

Welche Risiken können sich daraus ergeben?

1. Ein erfolgreicher Angriff auf ein Smart Thing / IoT-Gerät kann direkten Einfluss auf die physische Umgebung haben und so etwa zu einem Stromausfall führen oder Industrieanlagen beschädigen. Auch Mensch und Tier können zu Schaden kommen.
2. Smart Things / IoT-Geräte, insbesondere Consumer-Produkte, unterliegen einem schnellen Entwicklungs- und Erneuerungszyklus, der "Time-to-Market" wird immer kleiner. Dieser Umstand bedingt oft, dass Geräte auf den Markt gebracht werden, welche die Sicherheit der Geräte und die Privatsphäre der Benutzer und Benutzerinnen nicht genügend gewährleisten. Da die Geräte oft länger im Einsatz stehen als vom Hersteller unterstützt, oder anders eingesetzt werden als vom Produzenten ursprünglich vorgesehen, bleiben eklatante Sicherheitslücken über mehrere Jahre "in Betrieb". Der Markt hat es bislang nicht hinreichend geschafft, bei vernetzten Geräten für einen ausreichenden Sicherheitsstandard zu sorgen. 
3. Bei den Smart Things / IoT-Geräte bestehen auch Privacy-Risiken, zum Beispiel in den Bereichen Geo-Lokalisierung, Audio und Video, Smart Meters, unverschlüsselter Datenverkehr oder unzureichend geschützte Datenspeicherung. Die ungenügenden Sicherheitsfeatures bei IoT-Geräten werden oft mit der Bauweise oder dem Einsatzort in Verbindung gebracht: Teilweise werden die Geräte unabhängig vom Stromnetz betrieben und verfügen deshalb nur über ein beschränktes Energiebudget und beschränkte Rechenleistung. Müssen zudem Daten drahtlos über grössere Distanzen übermittelt werden, hat das meist eine geringe Bandbreite sowie hohe Latenzen zur Folge. Beides führt dazu, dass Hersteller auf den Einsatz von rechen- und speicherintensiver Kryptografie verzichten.  
4. Speziell im Industrieumfeld liegt der Fokus klar auf "Safety" (mit Ziel Prävention von Unfällen) sowie "Availability" (mit Ziel Verfügbarkeit) und nicht primär auf "Security" (mit Ziel Prävention von Cyberangriffen). 
5. Die Zahl und Heterogenität an Smart Things / IoT-Geräten erschwert es, die Geräte sicher zu verwalten. Des Weiteren ist speziell im OT-Bereich die Lebenszeit der verwendeten Geräte auf mehrere Jahrzehnte ausgelegt, da sie oft unter harten Umgebungsbedingungen hohen physikalischen Belastungen ausgesetzt sind. So steigt das Risiko, dass Schwachstellen entstehen, weil das Hardening oder Sicherheits-Patches nicht konsequent durchgeführt werden. Allenfalls gibt es aufgrund der langen Nutzungszeit keine Patches mehr, die Patches können teilweise nicht aus der Ferne erfolgen (eine Skalierung ist nicht möglich) oder mangels fehlender, direkter Erreichbarkeit aus dem Internet wird ein Patchen der Schwachstellen nicht als erforderlich betrachtet (Risikowahrnehmung).  
6. Insbesondere im Start-up-Umfeld fehlen Anreize, in kostspielige Sicherheitseigenschaften zu investieren. Viele Anbieter möchten ihre Produkte primär schnell auf den Markt bringen mit sichtbaren Features, die sich gut verkaufen lassen - Investitionen in die Sicherheit sind maximal zweitrangig.
7. Schwachstellen können auch entstehen, wenn nicht genau festgelegt wurde, wer für die Sicherheit verantwortlich ist. Das SATW Advisory Board empfiehlt insbesondere jenen Unternehmen, diese Frage genau zu klären, deren IT-Fachabteilung mit externen Zulieferern zusammenarbeiten und die über einen Wartungszugriff verfügen.

Viele der oben genannten Herausforderungen und Risiken sind erkannt und es bestehen vielversprechende Ansätze/Lösungen für diese Problemstellungen. So hat beispielsweise das National Institute of Standards and Technology (NIST) die Publikation von kryptografischen Algorithmen (Acson) angekündigt, um die im IoT entstehenden und übertragenen Informationen zu schützen. Des Weiteren besteht für Produkte im Consumer Bereich ("Smarthome") mit dem Matter-Protokoll der Connectivity Standards Alliance (CSA) seit kurzem ein branchenweit einheitlicher Standard für zuverlässige, sichere Konnektivität. 

Diese Fragen muss sich die Schweiz stellen

Die Expertinnen und Experten des Cybersecurity Advisory Boards plädieren für die Klärung folgender strategischer Fragestellungen, die für einen sicheren Einsatz der Technologie von zentraler Bedeutung sind. 

• Welche Minimalstandards sollen für Smart Things / IoT gelten? Gibt es spezifische Anforderungen für deren Einsatz bei kritischen Infrastrukturen? Wie erfolgt die Zusammenarbeit mit der EU in diesem Bereich?
• Wer haftet dafür, wenn durch Schwachstellen in den Smart Tings / IoT / OT Geräten Schäden entstehen? 
• Wie kann eine Regulierung ausgearbeitet und umgesetzt werden, auch im Hinblick auf die Umsetzung in der EU?
• Soll die Forschung in der Schweiz zu Smart Things / IoT / OT-Security gefördert werden? Um die Sicherheit auf lange Sicht zu erhöhen, müssten dabei insbesondere Konzepte und Architekturen genauer angeschaut werden. 

Handlungsbedarf für die Schweiz

Die Experten und Expertinnen des SATW Advisory Boards Cybersecurity unterstützen die Förderung des Nationalen Testinstituts für Cybersicherheit (NTC), das, initiiert vom Kanton Zug, bereits aufgebaut wird. Sie empfehlen ergänzend folgende Massnahmen:  

• Risikoanalyse mit Fokus auf Resilienz von Smart Things / IoT.
• Festlegung der Kriterien zum Einsatz von Smart Things / IoT in den kritischen Infrastrukturen.
• Festlegen und Durchsetzen regulatorischer (Minimal-)Anforderungen bezüglich Sicherheit und Resilienz beim Import, Einsatz und der Herstellung von Smart Things / IoT. Regulierung zurückhaltend, technologieneutral und vertrauensbildend ausgestalten, um Innovation nicht zu behindern.
• Förderung von in der Schweiz Wert generierender Forschung, Entwicklung und Vermarktung von Produkten und Dienstleistungen, die der Sicherheit und Resilienz der Smart Things / IoT Infrastruktur dienen; Pflicht des Bundes, solche Produkte und Dienstleistungen, in Evaluationen miteinzubeziehen.
• Sensibilisierung von Wirtschaft und Politik für Smart Things- / IoT-Risiken und Information über mögliche präventive Massnahmen.

Dieser Text wurde im Jahr 2022 in leicht veränderter Form als Beitrag zur neuen Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken verfasst. Die Themenverantwortung liegt bei Daniel Walther, CISO bei Swatch Group Services. 

Folgende Mitglieder des Advisory Boards Cybersecurity haben an der Erarbeitung des Textes mitgewirkt: Karl Aberer, Umberto Annino, Alain Beuchat, Matthias Bossardt, Myriam Dunn Cavelty, Roger Halbheer, Martin Leuthold, Hannes Lubich, Adrian Perrig, Raphael Reischuk, Bernhard Tellenbach, Daniel Walther und Andreas Wespi.