Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware
Das Thema IoT (Internet of Things) begleitet uns bereits seit mehr als 20 Jahren. Sie alle haben wahrscheinlich schon etwas über den „intelligenten Kühlschrank“ gehört oder gelesen. Dieser ist immer gut gefüllt, weil er beispielsweise Milch, Käse und Wurst selbstständig nachbestellt, wenn die Produkte zur Neige gehen. Diese moderne Form des Tischlein-deck-dich-Märchens sollte das Potenzial der vernetzten Welt aufzeigen, doch ganz so weit ging es nicht.
Neben fehlender Vertriebswege im Lebensmittelhandel war dafür lange Zeit auch die mangelnde Netzabdeckung verantwortlich. Letzteres ist heute anders und wird künftig durch den kommenden Mobilfunkstandard 5G endgültig kein Problem mehr darstellen. Die zunehmende Digitalisierung unserer Wirtschaft – und auch unserer Gesellschaft – gibt der Realisierung der vollständig vernetzten Welt weiteren Aufschwung.
Skepsis bei den Konsumenten
Das Potenzial und die Versprechungen für mehr Komfort, nützliche Informationen und optimierte Ressourcennutzung sind groß. Jedoch sorgen sich die Konsumenten um ihre Privatsphäre und haben Angst vor Hackern. In einer jährlich durchgeführten Konsumentenbefragung
sorgte sich mehr als die Hälfte der Befragten um ihre Privatsphäre. Jeder Dritte befürchtet einen Angriff durch Hacker. Da erscheint es beinahe paradox, dass ebenfalls ein Drittel der aktuellen Nutzer in der Studie das IoT für die Gebäude- und Wohnungssicherheit einsetzen.
Vollkommen unbegründet sind diese Befürchtungen nicht, denn es gibt gleich mehrere Problemfelder für die IoT-Security:
Problem 1: Fehlendes Patch-Management
Neue Updates versorgen regelmäßig Büro-Computer und Kommunikationsgeräte wie Smartphones oder Tablets und schließen neu aufgedeckte Sicherheitslücken. Dahingegen ist dies bei IoT-Geräten oftmals weder vorgesehen noch technisch möglich.
Lösung: IoT-Lösungen brauchen eine Patch-Funktion als Standard, um Sicherheitslücken per Softwareaktualisierung schließen zu können.
Problem 2: Fehlende Qualitätssicherung
Sicherheitsexperten mahnen die unzureichende Qualitätssicherung von IoT-Geräten an. Im Kampf um Marktanteile vernachlässigen Hersteller die Sicherheit zugunsten eines zeitlichen Vorsprungs gegenüber Mitbewerbern. Verstärkt wird diese Tendenz durch kurze Produktzyklen und geringe Gewinnmargen.
Lösung: Auch für die Qualitätssicherung sind Standards notwendig, die die Geräte gegen Hackerangriffe absichern. Zudem bewähren sich Bug-Bounty-Programme während der Produktentwicklung. Dabei suchen Sicherheitsexperten speziell nach Softwarefehlern und erhalten eine Belohnung, wenn sie fündig werden. Für die Hersteller lohnt sich das oft selbst bei hohen Belohnungen, denn sie sparen die Kosten für Rückrufaktionen und verbessern ihre Reputation.
Problem 3: Fehlendes „Design for IoT“
Die Hardware der IoT-Geräte muss speziell dafür entwickelt sein, dass sie permanent mit dem Internet verbunden ist. Das macht sie potentiell für Hacker erreichbar und interessant.
Lösung: IoT-Geräte benötigen eine Sicherheitsarchitektur, die Verschlüsselungstechnologien für die lokale Datenspeicherung nutzt und einen dedizierten Co-Prozessor zur Durchführung von Verschlüsselungsoperationen einsetzt.
Problem 4: Privatsphärenschutz
Viele IoT-Geräte erheben Service-Daten und schicken sie an den Hersteller, beispielsweise um bevorstehende Wartungen schon vor einem drohenden Defekt durchführen zu können. Solche Datenströme müssen auch deshalb genügend abgesichert werden, weil sie über die IP-Adresse personenbezogen sein können. Folglich fallen sie damit unter die neue Europäische Datenschutzverordnung (EU-DSGVO).
Lösung: Die Datenverbindungen müssen immer über verschlüsselte Verbindungen mit starker Authentifizierung hergestellt werden. Das erfordert in der Regel einen höheren Aufwand für die Einrichtung, was die Verbraucher aber für den Schutz ihrer Daten akzeptieren.
Problem 5: Sicherheitskonzept endet beim Kunden
Selbst wenn Hard- und Software vom Hersteller maximal abgesichert sind, entsteht über eine schlecht oder gar nicht gesicherte Benutzerschnittstelle ein Sicherheitsrisiko. Deaktivierte Passwortabfragen oder leicht zu merkende und damit leicht zu knackende Passwörter bieten Hackern leichten Zugang zu IoT-Systemen.
Lösung: Benutzerschnittstellen müssen so abgesichert sein, dass der Risikofaktor Mensch so gering wie möglich gehalten wird. Dazu gehören Vorgaben für sichere Passwörter und die Verwendung von SSL-Übertragungen.
Problem 6: Überholte Compliance
Die bestehenden Sicherheitsrichtlinien bei den Herstellern von IoT-Geräten sind oft veraltet. Darüber hinaus beziehen sie übermittelte Nutzerdaten unter Umständen nicht mit ein. Diese liegen auf einem Gateway und könnten von der IT eingesehen werden.
Lösung: Die Compliance-Richtlinien müssen Teil der Produktentwicklung werden und Nutzerdaten dürfen nur verschlüsselt auf dem Gateway liegen.
Alles nur Theorie?
Zugegeben, das hört sich alles sehr theoretisch an. Jedoch ist es das leider nicht. Hacker erkannten längst ihr eigenes Potenzial in IoT-Lösungen und nutzen die eine oder andere Sicherheitslücke bereits aus. Bekannt wurde beispielsweise das „Mirai-Botnetz“. Dabei handelte es sich um ein Netz aus Hunderttausenden schlecht gesicherten und ungepatchten Überwachungskameras. Mit ihnen führten drei US-Studenten im August 2016 eine der bis dahin größten Serien von „Denial-of-Service-Attacken“ durch und legten weite Teile des Internets lahm.
Eine ruhmlose Bekanntheit erlangte auch Fiat-Chrysler. Computerexperten hackten zu Demonstrationszwecken über mehrere Sicherheitslücken im Infotainmentsystem einen für den US-Markt hergestellten Jeep Cherokee aus der Ferne. Sie schalteten kurzerhand den Motor aus. Die Folge waren ein unschätzbarer Reputationsverlust und eine Rückrufaktion für 1,4 Millionen Fahrzeuge. Und auch der eingangs schon erwähnte intelligente Kühlschrank kann zum Ziel von Hackern werden. Ein Modell von Samsung hatte zwar nominell eine sichere Verbindung zum Internet, aber das dafür zuständige SSL-Zertifikat war fehlerhaft implementiert und erlaubte so „Man-in-the-Middle-Attacken“.
Die Hersteller sind also weiterhin gefordert, ihre IoT-Lösungen maximal abzusichern (IoT-Security) und sich auf Standards zu verständigen. Auch als Anwender sollte man sich mit den Aspekten der IoT-Security beschäftigen und diese beim Kauf berücksichtigen. Denn auch hier gilt: Eine Kette ist nur so stark wie das schwächste Glied.
Wie Sie neue Business-Modelle mit IoT finden, lesen Sie hier.
Welche Sicherheitsbedenken aber auch -lösungen für IoT-Anwendungen im industriellen und Konsumentenumfeld fallen Ihnen noch ein? Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedIn, Xing und Twitter.