Das Internet der Dinge (Internet of Things, IoT) kann als intelligente Vernetzung einer globalen Infrastruktur verschiedenster «Smart Things» mit Funktionen aller Art (z.B. Temperatursensoren, Autos, Lautsprecher, Maschinen, etc.) verstanden werden. Durch die intelligente Vernetzung ist eine neue Verknüpfung von physischen und virtuellen Ressourcen mit gemeinsamen Interaktionen möglich. Die daraus entstehenden Möglichkeiten erlauben darüber hinaus auch automatisierte Aktionen auszuführen, Informationen zusammenzutragen und weiter zu verwerten.
Die Begriffe Industrie 4.0 und Operational Technology (OT) vereinen die vierte industrielle Revolution mit dem Einsatz neuer Technologien und technischen Möglichkeiten. «Industrie 4.0» gilt dabei als Oberbegriff der neuen industriellen Welt, in der Maschinen untereinander verbunden und mit modernen Informations- und Kommunikationstechnologien (IKT) vernetzt sind.
Mit der Digitalisierung vernetzen sich die unterschiedlichen Welten und Architekturen der klassischen Geschäfts-IT (Information Technology) und OT zunehmend. Während die klassische IT der Informationsverarbeitung dient, werden mit der OT physische Prozesse in der industriellen Herstellung und Logistik gesteuert. In dieser Verbindung der hochkritischen OT-Systeme (z.B. Atomkraftwerke) mit IT-Systemen, die dem Internet ausgesetzt sind, entstehen neue Schadenspotentiale und Risiken.
Deren Beherrschung und Bewältigung ist mit grossen Herausforderungen verbunden und verlangt nach neuen Konzepten.
Die neuen Technologien und die umfassende Vernetzung von OT und IT führen in Wirtschaft, Verwaltung und Gesellschaft zu grossen Entwicklungsschritten, neuen Anwendungsmöglichkeiten und innovativen Geschäftsmodellen, sofern wir die damit verbundenen Risiken angemessen und systematisch managen.
Es ist allgemein bekannt, dass der Einsatz neuer Technologien spezifische Risiken hervorbringt. Die flächendeckende Vernetzung von physischen und virtuellen «Smart Things» erhöht die Sicherheitsrisiken und das mögliche Schadensausmass infolge der deutlich grösseren Angriffsfläche und der steigenden Wichtigkeit von OT und IT für die Wertschöpfung. Ein erfolgreicher Angriff auf ein IoT-Gerät kann direkten Einfluss auf die reale/physische Umgebung haben und so etwa zu einem Stromausfall führen, einen Herzschrittmacher funktionsunfähig machen oder Industrieanlagen beschädigen. Diese Entwicklung führt zu höheren Anforderungen an die Sicherheit, z.B. in Form von sicherer Datenkommunikation und -speicherung. Die erhöhten Sicherheitsanforderungen werden heute oft nicht erkannt oder bewusst nicht berücksichtigt (z.B. bei IoT für die Privatanwendung) um möglichst schnell mit einem günstigen und pseudo-innovativen «Smart Thing» am Markt zu sein. Dieser Umstand bedeutet meistens, dass die Sicherheit der Geräte und die Privatsphäre der Benutzer nicht genügend gewährleistet werden können. Im Bereich der Consumer IoT (Produkte für Privatanwendung), ist bezüglich eines genügenden Sicherheitsstandards Marktversagen festzustellen.
Es muss ebenfalls beachtet werden, dass speziell im Industrieumfeld der Fokus klar auf «Safety» (z.B. Unfallvermeidung) und nicht primär auf «Security» (z.B. Schutzmassnahmen vor Angriffen) gelegt wird. Des Weiteren ist speziell im OT-Bereich die Lebenszeit der verwendeten Geräte auf mehrere Jahrzehnte ausgelegt, da sie oft in harten Umgebungen hohen physikalischen Belastungen ausgesetzt sind.
Im Vergleich dazu werden andere «Smart Things» je nachdem schon nach ein paar Monaten erneuert (z.B. Smart Tags). Dieses sehr grosse Spektrum an Anforderungen und Rahmenbedingungen gilt es zu berücksichtigen, um in jedem Fall genügend sichere Gesamtsysteme entwickeln und integrieren zu können.
Die heutige Praxis zeigt, dass in der Entwicklung von IoT- und OT-Systemen gängige und bekannte Konzepte (z.B. Security/Privacy by Design) und Standards (z.B. EN IEC 62443) nicht konsequent angewendet werden bzw. noch gar nicht existieren.
Die Prüfung und Zertifizierung von IT-Komponenten und -Systemen wird aktuell sowohl in der Schweiz als auch auf EU-Ebene diskutiert. In der EU wird im Rahmen des Cybersecurity Act über eine gesetzliche Regelung zur Cybersicherheitsprüfung debattiert. Die Diskussionen in der Schweiz drehen sich um ein Konzept zum Aufbau eines Prüfinstituts für vernetzte Geräte unter dem Gesichtspunkt der Cybersicherheit. Die Initiativen möchten erreichen, dass die Sicherheit und Integrität von digitalen Produkten verbindlich geregelt werden. Solche Qualitätsprüfungen durch unabhängige Stellen sind in anderen kritischen Industriesektoren wie der Medizintechnik bereits seit längerem fester Bestandteil der Produktzulassung.
Wie eingangs erwähnt, kann die IoT-Welt grob in zwei Bereiche unterteilt werden:
Aufgrund der Aufteilung der genannten Bereiche ergibt sich jeweils ein anderer Handlungsbedarf pro Kategorie. Durch das mangelnde Sicherheitsbewusstsein mancher Hersteller von «Smart Things» wie auch die teilweise blauäugige Verwendung der Benutzer, ist es notwendig, diese zwei Themen mittels den folgenden Handlungsfeldern zu adressieren:
Die zunehmende Vernetzung im OT-Bereich stellt jeden wirtschaftlichen Sektor vor Herausforderungen, da es hierbei nicht nur um die Integration neuer Systeme geht, sondern auch um die Vernetzung bestehender (alter) Systeme. Durch die hohe Diversität der zu vernetzenden Systeme, welche auch grundlegend andere Anforderungen an Safety, Verfügbarkeit und Lebensdauer haben, sind passende und umsetzbare End-to-End Security-Architekturen (z.B. Zero-Trust-Konzept , Micro-Segmentierung) unumgänglich. Um zusätzlich eine mögliche Verbreitung einer sogenannten Shadow-IT zu verhindern, sind die bestehenden IT-Prozesse und -Schnittstellen entsprechend anzupassen.
EN IEC 62443 - Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme ISA standards
