IoT – Teil 2: IoT-Kommunikationsprotokolle – Sicherheitsprobleme und professionelle Alternativen

IT-Grundlagen 05. März 2025

In der IoT-Kommunikation kommen häufig drahtlose Protokolle wie Zigbee, Z-Wave und Enocean zum Einsatz, die speziell für Anwendungen mit niedrigem Energieverbrauch und begrenzten Netzwerkressourcen entwickelt wurden. Diese Protokolle erfüllen grundlegende Anforderungen, sind jedoch oft nicht für die hohen Sicherheitsanforderungen in professionellen Unternehmensnetzwerken ausgelegt. Dieser Beitrag beleuchtet die Einschränkungen einfacher IoT-Protokolle und zeigt, wann Unternehmen auf professionelle, sicherere Alternativen setzen sollten.

Einschränkungen und Sicherheitsprobleme der einfachen IoT-Protokolle

Viele gängige IoT-Protokolle wurden für einfache, energieeffiziente Anwendungen entwickelt und weisen daher spezifische Schwächen auf, die sie für den Einsatz in sicherheitssensiblen Umgebungen weniger geeignet machen. Dies hat mehrere Gründe:

Begrenzte Rechenleistung und Speicherkapazität: Viele IoT-Geräte sind mit minimaler Hardware ausgestattet, um Kosten und Energieverbrauch gering zu halten. Diese Geräte haben oft nicht die nötige Rechenleistung oder Speicherkapazität, um starke Verschlüsselung und komplexe Authentifizierungsverfahren zu unterstützen, da solche Sicherheitsfunktionen mehr CPU-Leistung und RAM beanspruchen würden.
Energieeffizienz und längere Batterielaufzeit: Die meisten IoT-Geräte sind für den Dauerbetrieb ausgelegt und laufen oft ohne regelmäßigen Batteriewechsel oder direkten Anschluss an eine Stromquelle. Sicherheitsmechanismen wie Verschlüsselung und Authentifizierung erfordern zusätzliche Energie und belasten den Akku stärker, was die Batterielaufzeit drastisch reduzieren kann. Um dies zu vermeiden, wird oft auf solche Sicherheitsmaßnahmen verzichtet oder es werden vereinfachte Varianten genutzt.
Fehlende Netzwerksegmentierung und zentrale Kontrolle: Da Protokolle wie Zigbee, Enocean und Z-Wave keine IP-Adressierung verwenden, ist eine logische Segmentierung, wie sie in IP-basierten Netzwerken durch VLANs oder Firewalls möglich ist, nicht umsetzbar. Alle Geräte kommunizieren direkt miteinander, was die Angriffsfläche vergrößert und Lateral Movement – also die Bewegung eines Angreifers innerhalb des Netzwerks – erleichtert.
Abhängigkeit vom Gateway: Da die Kommunikation dieser IoT-Protokolle in das Unternehmensnetzwerk übersetzt werden muss, ist das Gateway der einzige Punkt, an dem eine Sicherheitsüberwachung und -kontrolle möglich ist. Ein Angriff auf das Gateway könnte jedoch potenziell alle daran angeschlossenen IoT-Geräte kompromittieren, was das gesamte Netzwerk gefährdet.

Erweiterte und professionelle Protokolle für sichere IoT-Anwendungen

Für Unternehmen mit hohen Sicherheitsanforderungen gibt es alternative Protokolle und erweiterte Versionen, die speziell auf die Absicherung von IoT-Geräten in professionellen Umgebungen ausgelegt sind. Diese Protokolle bieten mehr Kontrolle, besseren Schutz und lassen sich besser in Unternehmensnetzwerke integrieren:

BACnet/IP und KNX IP
- Beschreibung: BACnet/IP und KNX IP sind Standards, die in der Gebäudeautomation häufig eingesetzt werden. Sie basieren auf IP-Technologie und sind daher direkt kompatibel mit Unternehmensnetzwerken.
- Sicherheit: Diese Protokolle bieten standardmäßig Verschlüsselung und Authentifizierung, wodurch die Kommunikation besser abgesichert ist. Da sie IP-Adressen verwenden, können Unternehmen Netzwerksegmentierung und Firewalls einsetzen, um den Zugriff auf die Geräte zu steuern und potenzielle Angriffe abzuwehren.
Zigbee PRO und Z-Wave Long Range
- Beschreibung: Erweiterte Versionen der Standardprotokolle, die zusätzliche Sicherheitsfunktionen bieten. Zigbee PRO unterstützt AES-128-Verschlüsselung und Authentifizierung, um den Zugriff auf das Netzwerk zu kontrollieren.
- Einschränkungen: Trotz dieser Verbesserungen ermöglichen auch diese Protokolle keine vollständige Segmentierung und Absicherung wie IP-basierte Systeme. Für besonders sicherheitskritische Umgebungen sind sie daher nur bedingt geeignet.
LoRaWAN – Weitreichende und verschlüsselte Kommunikation
- Beschreibung: LoRaWAN ist ein Protokoll, das auf geringe Bandbreite und weite Reichweite ausgelegt ist, was es ideal für den Einsatz in verteilten Netzwerken wie Smart Cities macht. Es bietet Verschlüsselung auf Netzwerk- und Applikationsebene.
- Sicherheitsaspekte: LoRaWAN setzt auf ein zentrales Gateway, das mit Sicherheitsmechanismen ausgestattet sein muss, um die verschlüsselte Kommunikation zu gewährleisten. Das Gateway ist der zentrale Punkt für die Absicherung des Netzwerks, was sowohl eine Stärke als auch eine potenzielle Schwachstelle darstellen kann.
MQTT mit TLS-Unterstützung
- Beschreibung: MQTT ist ein Protokoll, das Nachrichten zwischen Geräten und einem zentralen Server oder Broker übermittelt. In professionellen Anwendungen kann es durch TLS verschlüsselt werden, was eine gesicherte Übertragung ermöglicht.
- Vorteile: MQTT unterstützt Authentifizierung und Verschlüsselung und lässt sich zentral konfigurieren und überwachen, was es für viele professionelle IoT-Implementierungen geeignet macht.

Wann sollte man auf professionelle Protokolle umsteigen?

Während Standardprotokolle wie Zigbee und Z-Wave für einfache Anwendungen ausreichen können, sollten Unternehmen in sicherheitssensiblen Umgebungen auf Protokolle wie BACnet/IP, KNX IP oder LoRaWAN setzen. Diese professionellen Protokolle ermöglichen nicht nur eine stärkere Verschlüsselung und Zugriffskontrolle, sondern auch die Integration in bestehende Sicherheitsinfrastrukturen. Besonders in Bereichen wie Gebäudeautomation, Produktionssteuerung oder Gesundheitswesen, in denen Datensicherheit und Betriebssicherheit entscheidend sind, sind professionelle Protokolle unerlässlich.

Fazit

Einfache IoT-Protokolle haben ihre Berechtigung in weniger sicherheitssensiblen Bereichen, erfüllen jedoch oft nicht die Anforderungen in professionellen Umgebungen. Für Unternehmen, die eine hohe Sicherheitsstufe und volle Netzwerksegmentierung benötigen, bieten IP-basierte Protokolle wie BACnet/IP und KNX IP eine weit bessere Grundlage für die sichere IoT-Integration. Im nächsten Beitrag der Serie geht es darum, wie IoT-Geräte in das Unternehmensnetzwerk integriert und effektiv abgesichert werden können.

Comp4U hilft Ihnen, die richtige IoT-Lösung für Ihre Bedürfnisse zu finden und unterstützt Sie bei der sicheren Planung und Implementierung in Ihr Netzwerk.

Unsere Experten stehen Ihnen unter 06103 9707-500 oder per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. zur Verfügung.

IoT Reihe

Cybersecurity

Managed Services

1st-Level-Support bis strategische Beratung

Informationssicherheit

Unternehmen

Fachbeiträge

Neuigkeiten zu IT-Themen und Comp4U

IoT – Teil 2: IoT-Kommunikationsprotokolle – Sicherheitsprobleme und professionelle Alternativen

Einschränkungen und Sicherheitsprobleme der einfachen IoT-Protokolle

Erweiterte und professionelle Protokolle für sichere IoT-Anwendungen

BACnet/IP und KNX IP

Zigbee PRO und Z-Wave Long Range

LoRaWAN – Weitreichende und verschlüsselte Kommunikation

MQTT mit TLS-Unterstützung

Wann sollte man auf professionelle Protokolle umsteigen?

Fazit

Alle Beiträge der IoT Reihe

Initial Access – Der erste Zugang in einen Cyberangriff | MITRE ATT&CK Reihe - Teil 3

DORA und NIS2 im Vergleich – Welche Anforderungen gelten für Ihr Unternehmen?

Reconnaissance – Die erste Phase eines Cyberangriffs | MITRE ATT&CK Reihe - Teil 1

BGP und die unsichtbaren Risiken – Route Leaks und BGP Hijacking | Teil 2

Microsoft Patchday November 2024 – Sicherheitslücken und problematische Updates

Adresse

Kontakt

Fernwartung