Bei diesen Ausmaßen ist es keine Übertreibung, von einer bevorstehenden Explosion der vernetzten Geräte zu sprechen. Branchenexperten und Konsumenten reiben sich bereits die Hände nach Kühlschränken, die uns vor leeren Milchkartons warnen, fernsteuerbaren Heizungen via Smartphone und Autos, die ebenso zum Streamen von Entertainmentinhalten und zur mobilen Kommunikation dienen wie zur Personenbeförderung.

Das IoT wird unser Verhältnis zum Internet aller Wahrscheinlichkeit nach härter auf die Probe stellen als jemals zuvor. Doch zunächst müssen wir es schaffen, den Plan in einem derartig riesenhaften Maßstab Realität werden zu lassen. Obwohl es klar ist, dass Milliarden neuer Geräte in einem Netzwerk eine Kettenreaktion auslösen, gibt es bisher nur wenig Literatur zu der Frage, wie das IoT praktisch umgesetzt werden soll. Das beinhaltet die Komponente, was das IoT für Netzwerke und IT-Abteilungen bedeutet, und wie wir eine ausreichende Sicherheit gewährleisten können.

Eine aktuelle Umfrage unter 400 IT-Experten im Netzwerkbereich, die im Auftrag von Infoblox durchgeführt wurde, untersucht die Auswirkungen dieses exponentiellen Wachstums an vernetzten Geräten auf Unternehmensnetze und auf die verantwortlichen Abteilungen. Die Ergebnisse zeigen, dass die Mehrheit der Unternehmen bereits die Anfänge einer IoT-Infrastruktur angelegt haben; 78 Prozent der Befragten gaben an, bereits Dinge wie Netzwerk-Kartenleser, Kassen und Getränkeautomaten in ihrem Netzwerk integriert zu haben. 73 Prozent nannten Überwachungsgeräte wie CCTV-Systeme als Teil ihres Netzwerks.

Herausforderung Sicherheit

Ein erster Schritt in Richtung IoT scheint also getan. Doch die Umfrage zeigte auch, dass fast zwei Drittel der Netzwerkexperten das IoT als Sicherheitsbedrohung sehen. Der Anstieg an neuen Objekten und massenhaft vergebenen IP-Adressen bedeutet für Netzwerkteams, dass sie mehr denn je jederzeit genau identifizieren und auditieren können müssen, wer in ihrem Netzwerk unterwegs ist. Sicherheitsverantwortliche sehen zudem, dass all diese zusätzlichen Geräte und IP-Adressen auch Schwachpunkte in der IT-Infrastruktur des Unternehmens darstellen.

Des Weiteren ergab sich, dass bisher nur sehr wenige Unternehmen (rund 35 Prozent) IoT-spezifische Infrastrukturen bereits in Betrieb genommen haben, etwa dedizierte Netzwerke oder Management-Systeme. In vielen Fällen werden IoT-Geräte stattdessen an das Unternehmensnetz angeschlossen – dies gaben 46 Prozent der Befragten an. Da jedes verbundene Gerät ein Einfalltor für Malware darstellen kann, ist mit dieser Strategie ein klares Sicherheitsrisiko verbunden.

Doch es geht auch anders. So lässt sich stattdessen ein logisch oder physisch getrenntes Netzwerk für Dinge errichten. Andere Unternehmen lösen das Problem, indem sie die IoT-Geräte ausschließlich in ein Gäste-WLAN eingliedern, das zwar den benötigten Internetzugriff bietet, jedoch meist keinen Zugriff auf interne Ressourcen, wie Domain-Controller oder Datenbank- und File-Server, erlaubt. Auf der anderen Seite gibt es Dinge im IoT, die genau diesen Zugriff benötigen. Zudem bieten Gäste-Netze meist wenig bis gar keine Authentifizierung, unvorhersehbare Performance und keine Traffic-Priorisierung – all das sind wiederum Voraussetzungen einiger IoT-Teilnehmer. Von Gäste-Netzen als IoT-Lösung sollten Unternehmen daher lieber Abstand nehmen.

Unsichere Geräte

Viele IoT-Geräte leiden darunter, dass ihre minimalistischen Rechenkräfte ihren Sicherheitsfunktionen einen Riegel vorschieben. Die Mehrheit der Geräte unterstützt beispielsweise keine robusten Mechanismen zur Authentifizierung. Netzwerkadministratoren müssen auf schwächere Alternativen zurückgreifen – wenn solche existieren. Daher fällt es in manchen Fällen Unternehmen schlicht schwer, bestimmte Geräte überhaupt in ihr Netzwerk zu lassen. Dennoch müssen die IT-Abteilungen Netzwerk-Zugriffs-Policies für alle verbundenen Geräte durchsetzen, um die Sicherheit des gesamten Netzes nicht zu gefährden und die vorhandenen Ressourcen effizient zu nutzen.

Das Problem wird noch verstärkt durch die "IT-Notärzte", die erst gerufen werden, wenn eine andere Business Unit bereits längst eine Kaufentscheidung getroffen hat und nun schnell nach einer Installation verlangt. Die Mehrheit der Befragten (63 Prozent) gab an, dass die Integration des Gerätes, das von einer anderen Abteilung eingekauft wurde, wesentlich schwieriger umzusetzen war, als diese es eingeplant hatte.

Dumme Geräte

Diese Schwierigkeiten kommen nicht überraschend. Unternehmen haben bereits die Erfahrung gemacht, dass viele IoT-Geräte einfach nicht so smart sind wie sie aussehen. Manchen fehlt ein Interface, was die Konfiguration zur Herausforderung macht. Und die Konfiguration ist oft die Aufgabe des Netzwerkadministrators, der nun DHCP-Optionen aufsetzen muss für etwas, das er weder eingekauft hat noch über dessen Eigenschaften er vorher gefragt wurde. Andere Geräte lassen sich nur schwer upgraden. Wieder andere sind für den Privatgebrauch vorgesehen und glänzen im Unternehmen durch die – teilweise totale – Abwesenheit wichtiger Enterprise-Funktionen und Tools.

In einem Universitäts-Netzwerk kann es vorkommen, dass in den Studentenwohnheimen hunderte Apple TVs angeschlossen werden, was die iOS Fernbedienungs-App nahezu nutzlos werden lässt, weil sie die Nutzer mit einer Liste von hunderten angeschlossenen Geräten konfrontiert. Manche Dinge im IoT kranken schlicht am Design. So kann es etwa in einem Krankenhaus passieren, dass ein MRI-System für jedes Gerät die gleiche IP-Adresse nutzte, die nicht veränderbar ist. Ein Administrator muss in einem solchen Fall ein NAT für jede MRI-Maschine einzeln aufsetzen, um sie im Netzwerk verfügbar zu machen.

Diese Art von Funktionsarmut macht nicht vor der Sicherheit halt. Die meisten vernetzten Geräte verzichten auf starke Authentifizierungsmechanismen wie 802.1X und lassen Netzwerkadministratoren keine Wahl, als deren MAC-Adressen als schwache Form der Authentifizierung zu nutzen. Die Sicherung von IoT-Geräten ist daher eine große Herausforderung. Zwar lassen sich VLANs nutzen, um einige Kategorien von Dingen abzutrennen, doch ein VLAN pro Gerätetyp ist sicherlich keine skalierbare Lösung.

Lösungsansätze

Angesichts dieser Tatsachen ist die einzige Überraschung, dass die Zahl der IT-Experten, die sich mit IoT-Sicherheit beschäftigt, nicht dramatisch gestiegen ist. Doch es gibt Taktiken, die Netzwerkadministratoren helfen, ein IoT-Deployment umzusetzen. Zuerst geht es darum, möglichst früh in den IoT-Planungsprozess integriert zu werden. Es ist wichtig, die Minimalanforderungen für Geräte im Netzwerk früh anzugeben, da sie nachher installiert und unterstützt werden müssen. Diese Anforderungen sollten den Support von 802.1X, DHCP, SNMP Management, Remote Upgrades und IPv6 beinhalten.

Der Einsatz von IPv6 kann sehr lohnend sein. Überall in Europa, den Vereinigten Staaten, Kanada und Asien werden IPv4-Adressen mittlerweile rar. Einige der neuen Dinge im IoT werden einen Internetzugriff und Zugriff auf Drittnetze benötigen. Ein Mangel an routingfähigen IP-Adressen sollte nicht zum Stolperstein der IoT-Implementation werden.

Fazit

Das Internet der Dinge repräsentiert neue Möglichkeiten, von denen viele noch nicht einmal in Betracht gezogen wurden. Doch das IoT arbeitet mit Netzwerken und verlässt sich auf die darunter liegenden Netzwerktechnologien, die von Netzwerkmanagern und Administratoren eingesetzt und gewartet werden müssen. Unternehmen müssen sich und ihr Netzwerk daher bereits jetzt auf die Herausforderungen des IoT einstellen, früh in die Planung einsteigen und Sicherheitsprobleme angehen.

ln/Rainer Singer, Systems Engineering Manager Central Europe bei Infoblox