Wie man Wilderer aus dem Internet der Dinge vertreibt

Überrascht erfuhr Biologieprofessor Steven Cooke von der Carleton University in Ottawa beim Betreten des kanadischen Banff Nationparks, dass dort VHF-Funkempfänger untersagt sind. Der Hintergrund: Fotografen hatten solche Geräte genutzt, um mit Funkchips bestückte Tiere aufzustöbern. Prompt machte Cooke dies zu seinem Forschungsthema – und musste feststellen, dass die Funksender, mit denen Tierschützer und Forscher Wildtiere versehen, weltweit Ziel von Missbrauch sind. So hatten australische Behörden solche Tags zur Haijagd genutzt, während Wilderer in Indien versucht hatten, die GPS-Halsbänder Bengalischer Tiger zu hacken, um die bedrohten Tiere bequemer erlegen zu können. „Cyberwilderei“, so Cooke, ist ein „beunruhigendes und unerwartetes Problem“.

„Unerwartet“ ist der Missbrauch von Daten aus dem Internet of Things (IoT) für IT-Fachleute eigentlich nicht. Denn das IoT lockt mit lukrativen Möglichkeiten, die Datenfülle allseits vernetzter Dinge – laut Gartner sollen es noch dieses Jahr 8,4 Milliarden, 2020 über 20 Milliarden sein – für Echtzeit-Monitoring, Big-Data-Analysen und automatisierte Abläufe zu nutzen. Dazu müssen die Daten vor unbefugtem Zugriff geschützt sein – sei es durch „Cyberwilderer“ oder andere Neugierige. Doch die IoT-Datensicherheit hat noch zwei weitere Dimensionen: die Vertrauenswürdigkeit der Datenquellen und die Integrität der Datenbestände. Kann man sich zum Beispiel nicht darauf verlassen, dass ein Sensor vertrauenswürdig ist und somit korrekte Angaben liefert, sind die erhobenen Daten wertlos. Gleiches gilt, wenn sich nachträgliche Manipulationen an Messdaten nicht ausschließen lassen.

Datensicherheit ist damit die Achillesferse des IoT: erstens im Endverbrauchermarkt, da hier ständig neue Geräte und Apps auf den Markt kommen, die mangelhaft oder gar nicht vor Manipulation geschützt sind; zweitens im Unternehmensumfeld, da IoT-Gerätschaft häufig an der Grenze zwischen IT und OT (Operational Technology) zum Einsatz kommt. Die IT-Abteilung hat es dann mit fremden Geräten, Protokollen und Technologien zu tun, während ihre Kollegen von der Betriebstechnik jahrzehntelang geschlossene Systemarchitekturen gewohnt waren; hier galten Systeme als sicher, die verlässlich liefen – was im IoT aber kein Beweis für Sicherheit ist.

Die „Connect and Protect“-Methodik von HPE Aruba zielt darauf ab, unsichere Geräte in vertrauenswürdige Daten zu verwandeln.

Erforderlich ist ein Sicherheitskonzept, das den Datenverkehr über den gesamten IoT-Stack von der physischen Anbindung eines Endpunkts (per Kabel oder Funk) bis zur Auswertung ganzer Gerätelandschaften in der Cloud umfasst. HPE Aruba hat dafür die „Connect and Protect“-Methodik entwickelt. Die Aruba-Lösungen setzen an der Datenquelle selbst an: Sie rücken den Demarkationspunkt, ab dem die Daten als verlässlich gelten, möglichst nahe an den Endpunkt heran. Ist – wie im IoT häufig der Fall – die Einbindung älterer, nicht IP-fähiger Hardware nötig, umfasst dies die Konvertierung der Übertragungstechnik (per Medienkonverter, zum Beispiel von Mobilfunk zu Ethernet) sowie der Datenströme (zum Beispiel mittels IP-Gateway von proprietären Protokollen zu IP). Hinzu gesellen sich eine Authentifizierung des Endgeräts, Verschlüsselung der Daten, Datenübertragung über gesicherte Tunnel, rollen- und richtlinienbasierte Zugangskontrolle sowie auf oberster Ebene Analytics-Funktionalität.

Hierbei gelten alle Geräte und Benutzer als unsicher, bis das Gegenteil bewiesen ist. In diese Bewertung fließen gemäß dem „Adaptive Trust Defense“-Ansatz von Arubas ClearPass-Portfolio möglichst viele Kontextinformationen über das Geräte- und gegebenenfalls das Nutzerverhalten mit ein. Adaptive Trust ersetzt so altmodisches Perimeterdenken – das im IoT nicht mehr greift, da „alles mit allem“ kommuniziert – durch die laufende Überwachung der Endpunkte und Anwender in Hinblick auf Warnzeichen – bis hin zur Big-Data-Analyse, die offenlegt, dass sich ein Endpunkt plötzlich anders verhält als in den Wochen oder Monaten zuvor.

Wer sich auf der CeBIT mit den Experten von HPE Aruba diskutieren möchte, wie man Wilderer im IoT vermeidet, kann sich hier dafür anmelden.

HPE Aruba sorgt mittels „Adaptive Trust Defense“ für den umfassenden Schutz von IoT-Umgebungen.