Independent Competence Platform
for Integrated Security in Switzerland.

01.08.2019
by: Axel Noack - Endian Spa

Unabhängigkeit bewahren bei der Auswahl einer IoT-Plattform

IT-Sicherheit hat die gleiche Priorität wie die Funktionalität, wenn vernetzte „Dinge“ mit einer IT-Landschaft verbunden werden
IoT-Plattformen gelten als das Zentrum digitaler Geschäftsmodelle: Sie bieten alle technischen Voraussetzungen, um Daten von den unterschiedlichsten Geräten und Prozessen zu sammeln und zu analysieren. Wie groß das Potential von IoT-Plattformen ist, lässt sich mittlerweile an zahlreichen Erfolgsbeispielen belegen. Ein wichtiges Einsatzszenario ist beispielsweise die Predictive Maintenance, die vorausschauende Wartung, mit der sich die Anlagenverfügbarkeit und damit die Effizienz eines Unternehmens deutlich steigern lässt. Doch trotz all der Chancen haben etliche Unternehmen noch Vorbehalte gegen den Einsatz von IoT-Plattformen. Bei einer Befragung des deutschen IT-Branchenverbands Bitkom sprachen sich 18,9 Prozent der Unternehmen gegen eine Nutzung von IoT-Plattformen aus. Bei der Frage nach den Gründen rangierten Bedenken hinsichtlich der Datensicherheit und Datenintegrität mit 57,7 Prozent klar an vorderster Stelle.

„Endian verbindet seit 2011 die Themen Cyber-Security und Automation. Hier treffen zwei verschiedene Wertesysteme aufeinander, die zukünftig verschmelzen werden. Die IoT-Plattform muss diese unterschiedlichen Welten verstehen und ein Bindeglied zwischen beiden sein,“ sagt Raphael Vallazza, CEO von Endian, einem der führenden Cybersecurity-Hersteller für Industrie 4.0. „Für die Automation beispielsweise sind die monatlich wiederkehrenden Kosten für die Wartung ein völlig neuer Aspekt in der Kalkulation. Doch IoT-Plattformen sind ein sicherheitsrelevantes Werkzeug und müssen deshalb kontinuierlich gepflegt werden. Entsprechende Anpassungen der Software an die lange Laufzeit von Maschinen ist wiederum eine Herausforderung der Cyber-Security, die mit Maschinen Lebenszyklen von mehr als 30 Jahren rechnen muss. Viele vergessen, dass das Betriebssystem Linux keine 30 Jahre alt ist.“

Wie können Unternehmen also eine IoT-Plattform einsetzen, ohne die Souveränität zu verlieren und ihre IT-Sicherheit zu gefährden? Endian erklärt worauf Unternehmen achten müssen:

Erfolgsfaktor Flexibilität
Innovative Industrieunternehmen haben ein berechtigtes Interesse daran, die Hoheit über ihre Daten zu behalten. Eine IoT-Plattform sollte daher flexibel sein und dem Kunden die Entscheidung überlassen, wer die Plattform betreibt und wo sie gehostet wird. Eine On-Premises Lösung wie die ENDIAN CONNECT PLATFORM beispielsweise bietet mehrere Optionen: Sie lässt sich in das eigene Rechenzentrum, ins Rechenzentrum eines Dienstleisters und Systemintegrators oder beim Cloud-Anbieter seiner Wahl installieren. Somit behält der Kunde seine Datenhoheit. 

Skalierbarkeit und Open Source
Da die Digitalisierung nicht bei Null beginnt, muss eine IoT-Plattform in der Lage sein, bereits bestehende Strukturen problemlos zu integrieren. Auch zukünftige Integrationen sollten jederzeit möglich sein, denn bei den extrem kurzen Innovationszyklen in der Informationstechnologie lässt sich nicht vorherzusehen, welche Neuigkeiten der Markt in den nächsten fünf bis zehn Jahren hervorbringen wird. Plattformen, die auf Open Source Technologien basieren und API-Schnittstellen bieten, sind für diese unterschiedlichen Szenarien am besten geeignet. Ihre Architektur- und Quelloffenheit macht sie flexibel und herstellerunabhängig. Auch individuelle Erweiterungen sind jederzeit möglich. Außerdem sollten IoT-Plattformen die Option bieten, Analyse-Dashboards selbst zu erstellen und damit unabhängig von Drittanbietern zu bleiben. Ferner sollte die IoT-Lösung mit dem Kunden mitwachsen und auch bei gleichzeitiger Nutzung von tausenden Gateways performant blieben. 

Anwenderfreundlichkeit
Die erfolgreichsten digitalen Lösungen und Erfindungen der letzten Jahre haben eine Gemeinsamkeit: Sie sind besonders anwenderfreundlich. Im Endkundenbereich sind die Anwender mittlerweile an optisch ansprechende und einfache Benutzeroberflächen gewöhnt. Auch im B2B-Umfeld steigen die Anforderungen in Bezug auf die Handhabung und somit wird auch nur eine intuitiv zu nutzende IoT-Plattform die Akzeptanz der Mitarbeiter finden. Die Anwenderfreundlichkeit verhindert, dass einfachere Lösungen um die Plattform herum entwickelt werden, die dann wiederum das Sicherheitskonzept aushebeln. Ebenfalls sollte die Plattform in bereits bestehende Management-Tools integrierbar sein, damit der Nutzer seine gewohnte Umgebung beibehält.

Intelligente IoT-Gateways statt VPN Router
Über ein IoT-Gateway lassen sich Maschinen und Anlagen sicher mit einer übergeordneten IoT-Plattform verbinden. Die Gateways sind dafür vorgesehen, unterschiedliche Industrie-Protokolle (z.B. S7, OPC UA oder Modbus) auslesen, um sie anschließend in ein einheitliches Kommunikations-Protokoll für die Übertragung an die IoT-Plattform umzuwandeln. Für die Kommunikation mit den übergeordneten Mobil- oder Festnetzen kommt beispielsweise MQTT zum Einsatz, das für das Internet der Dinge optimiert ist. Das Gateway Endian 4i Edge 515 beispielsweise kombiniert mehrere Sicherheitsfunktionen in einem Gerät, unter anderem Intrusion Prevention System (IPS), Firewall, VPN sowie Hardware-Ausfallschutz und kann als Daten-Kollektor genutzt werden. Ein IoT-Gateway sollte außerdem mit eigener Rechnerkapazität ausgestattet sein, um Daten verarbeiten und vorfiltern zu können. Zudem müssen die Gateways herstellerneutral sein, das heißt sie dürfen die Auswahlmöglichkeiten bei IoT-Plattformen nicht einschränken.

Netzwerksegmentierung
Durch die ständig wachsende Zahl von vernetzten Endpunkten wächst die Angriffsfläche für Hacker. Schadsoftware wird zunehmend so konzipiert, dass sie schnell von einem System auf ein anderes übergreifen kann. Außerdem konzipieren Unternehmen ihre Abwehrmaßnahmen meist nur Cyberattacken von außen. Hat ein Angreifer diese Hürde genommen oder umschifft, kann er sich schnell innerhalb eines Netzwerks ausbreiten. Mit einer Segmentierung des Netzwerks in mehrere Teilbereiche lassen sich Cyberangriffe verlangsamen und abschwächen. Für eine effektive Netzwerksegmentierung werden Zonen mit vergleichbarem Schutzbedarf definiert und über IoT-Gateways voneinander abgetrennt.

Verschlüsselung
Eine VPN-Verschlüsselung (SSL und IPSec) sorgt für den sicheren Datenaustausch. Damit lässt sich garantieren, dass Daten während der Übertragung weder entwendet noch manipuliert werden. Auch hier ist es ratsam, Gateways vor die Infrastruktur zu schalten: Die Verschlüsselung lässt sich damit schnell implementieren, ohne dass eine Unterbrechung des laufenden Betriebs erforderlich wird.

Mandantenfähigkeit
Mandantenfähige IoT-Plattformen bieten die Möglichkeit, Daten innerhalb einer Datenbank logisch voneinander abzutrennen und zu verwalten. Über dieses Feature lässt sich die Datensicherheit verbessern: Jeder Anwender erhält nur Zugriff auf die Daten, die für die Erfüllung seiner Aufgaben relevant sind. So kann beispielsweise ein Maschinenbauer für Wartungszwecke Zugang zu einer Maschine beim Kunden erhalten, ohne gleichzeitig Einblick in die genauen Nutzungsdaten der Maschine zu erhalten.

Berechtigungsmanagement
Für die Sicherheit von Maschinen und Anlagen sind sehr granulare Nutzungsrechte erforderlich. Nutzergruppen oder einzelne Nutzer erhalten nur Zugriff auf die Funktionen, für die sie zuvor eine Berechtigung erhalten haben. Sobald ein Anwender das Unternehmen verlässt oder die Abteilung wechselt, können seine Berechtigungen schnell angepasst oder gelöscht werden. Über die Protokollierung aller Zugriffe ist jederzeit nachvollziehbar, wer wann auf einer Maschine eingeloggt war und welche Aktionen er dort durchgeführt hat. 

Fazit: Eine erfolgreiche Digitalisierung erfordert das Vertrauen aller Partner in die zunehmende Vernetzung. Wenn IoT-Plattformen das zentrale Tool für das Konzept von Industrie 4.0 sein sollen, dann müssen sie die Funktionalität und die IT-Sicherheit gleichwertig berücksichtigen.


Security-Finder Schweiz: Newsletter