IoT-Security: Um diese 6 Probleme müssen wir uns kümmern

Geposted am 30/01/2018

 Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware

Das Thema IoT (Internet of Things) begleitet uns bereits seit mehr als 20 Jahren. Sie alle haben wahrscheinlich schon etwas über den „intelligenten Kühlschrank“ gehört oder gelesen. Dieser ist immer gut gefüllt, weil er beispielsweise Milch, Käse und Wurst selbstständig nachbestellt, wenn die Produkte zur Neige gehen. Diese moderne Form des Tischlein-deck-dich-Märchens sollte das Potenzial der vernetzten Welt aufzeigen, doch ganz so weit ging es nicht.

Neben fehlender Vertriebswege im Lebensmittelhandel war dafür lange Zeit auch die mangelnde Netzabdeckung verantwortlich. Letzteres ist heute anders und wird künftig durch den kommenden Mobilfunkstandard 5G endgültig kein Problem mehr darstellen. Die zunehmende Digitalisierung unserer Wirtschaft – und auch unserer Gesellschaft – gibt der Realisierung der vollständig vernetzten Welt weiteren Aufschwung.

 

Skepsis bei den Konsumenten

Das Potenzial und die Versprechungen für mehr Komfort, nützliche Informationen und optimierte Ressourcennutzung sind groß. Jedoch sorgen sich die Konsumenten um ihre Privatsphäre und haben Angst vor Hackern. In einer jährlich durchgeführten Konsumentenbefragung
sorgte sich mehr als die Hälfte der Befragten um ihre Privatsphäre. Jeder Dritte befürchtet einen Angriff durch Hacker. Da erscheint es beinahe paradox, dass ebenfalls ein Drittel der aktuellen Nutzer in der Studie das IoT für die Gebäude- und Wohnungssicherheit einsetzen.

 Vollkommen unbegründet sind diese Befürchtungen nicht, denn es gibt gleich mehrere Problemfelder für die IoT-Security:

 Problem 1: Fehlendes Patch-Management

Neue Updates versorgen regelmäßig Büro-Computer und Kommunikationsgeräte wie Smartphones oder Tablets und schließen neu aufgedeckte Sicherheitslücken. Dahingegen ist dies bei IoT-Geräten oftmals weder vorgesehen noch technisch möglich.

 Lösung: IoT-Lösungen brauchen eine Patch-Funktion als Standard, um Sicherheitslücken per Softwareaktualisierung schließen zu können.

 Problem 2: Fehlende Qualitätssicherung

 Sicherheitsexperten mahnen die unzureichende Qualitätssicherung von IoT-Geräten an. Im Kampf um Marktanteile vernachlässigen Hersteller die Sicherheit zugunsten eines zeitlichen Vorsprungs gegenüber Mitbewerbern. Verstärkt wird diese Tendenz durch kurze Produktzyklen und geringe Gewinnmargen.

 Lösung: Auch für die Qualitätssicherung sind Standards notwendig, die die Geräte gegen Hackerangriffe absichern. Zudem bewähren sich Bug-Bounty-Programme während der Produktentwicklung. Dabei suchen Sicherheitsexperten speziell nach Softwarefehlern und erhalten eine Belohnung, wenn sie fündig werden. Für die Hersteller lohnt sich das oft selbst bei hohen Belohnungen, denn sie sparen die Kosten für Rückrufaktionen und verbessern ihre Reputation.

 Problem 3: Fehlendes „Design for IoT“

 Die Hardware der IoT-Geräte muss speziell dafür entwickelt sein, dass sie permanent mit dem Internet verbunden ist. Das macht sie potentiell für Hacker erreichbar und interessant.

 Lösung: IoT-Geräte benötigen eine Sicherheitsarchitektur, die Verschlüsselungstechnologien für die lokale Datenspeicherung nutzt und einen dedizierten Co-Prozessor zur Durchführung von Verschlüsselungsoperationen einsetzt.

 Problem 4: Privatsphärenschutz

 Viele IoT-Geräte erheben Service-Daten und schicken sie an den Hersteller, beispielsweise um bevorstehende Wartungen schon vor einem drohenden Defekt durchführen zu können. Solche Datenströme müssen auch deshalb genügend abgesichert werden, weil sie über die IP-Adresse personenbezogen sein können. Folglich fallen sie damit unter die neue Europäische Datenschutzverordnung (EU-DSGVO).

 Lösung: Die Datenverbindungen müssen immer über verschlüsselte Verbindungen mit starker Authentifizierung hergestellt werden. Das erfordert in der Regel einen höheren Aufwand für die Einrichtung, was die Verbraucher aber für den Schutz ihrer Daten akzeptieren.

 Problem 5: Sicherheitskonzept endet beim Kunden

Selbst wenn Hard- und Software vom Hersteller maximal abgesichert sind, entsteht über eine schlecht oder gar nicht gesicherte Benutzerschnittstelle ein Sicherheitsrisiko. Deaktivierte Passwortabfragen oder leicht zu merkende und damit leicht zu knackende Passwörter bieten Hackern leichten Zugang zu IoT-Systemen.

 Lösung: Benutzerschnittstellen müssen so abgesichert sein, dass der Risikofaktor Mensch so gering wie möglich gehalten wird. Dazu gehören Vorgaben für sichere Passwörter und die Verwendung von SSL-Übertragungen.

 Problem 6: Überholte Compliance

Die bestehenden Sicherheitsrichtlinien bei den Herstellern von IoT-Geräten sind oft veraltet. Darüber hinaus beziehen sie übermittelte Nutzerdaten unter Umständen nicht mit ein. Diese liegen auf einem Gateway und könnten von der IT eingesehen werden.

 Lösung: Die Compliance-Richtlinien müssen Teil der Produktentwicklung werden und Nutzerdaten dürfen nur verschlüsselt auf dem Gateway liegen.

 Alles nur Theorie?

 Zugegeben, das hört sich alles sehr theoretisch an. Jedoch ist es das leider nicht. Hacker erkannten längst ihr eigenes Potenzial in IoT-Lösungen und nutzen die eine oder andere Sicherheitslücke bereits aus. Bekannt wurde beispielsweise das „Mirai-Botnetz“. Dabei handelte es sich um ein Netz aus Hunderttausenden schlecht gesicherten und ungepatchten Überwachungskameras. Mit ihnen führten drei US-Studenten im August 2016 eine der bis dahin größten Serien von „Denial-of-Service-Attacken“ durch und legten weite Teile des Internets lahm.

Eine ruhmlose Bekanntheit erlangte auch Fiat-Chrysler. Computerexperten hackten zu Demonstrationszwecken über mehrere Sicherheitslücken im Infotainmentsystem einen für den US-Markt hergestellten Jeep Cherokee aus der Ferne. Sie schalteten kurzerhand den Motor aus. Die Folge waren ein unschätzbarer Reputationsverlust und eine Rückrufaktion für 1,4 Millionen Fahrzeuge. Und auch der eingangs schon erwähnte intelligente Kühlschrank kann zum Ziel von Hackern werden. Ein Modell von Samsung hatte zwar nominell eine sichere Verbindung zum Internet, aber das dafür zuständige SSL-Zertifikat war fehlerhaft implementiert und erlaubte so „Man-in-the-Middle-Attacken“.

Die Hersteller sind also weiterhin gefordert, ihre IoT-Lösungen maximal abzusichern (IoT-Security) und sich auf Standards zu verständigen. Auch als Anwender sollte man sich mit den Aspekten der IoT-Security beschäftigen und diese beim Kauf berücksichtigen. Denn auch hier gilt: Eine Kette ist nur so stark wie das schwächste Glied.

Wie Sie neue Business-Modelle mit IoT finden, lesen Sie hier.

Welche Sicherheitsbedenken aber auch -lösungen für IoT-Anwendungen im industriellen und Konsumentenumfeld fallen Ihnen noch ein? Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedInXing und Twitter.


Kategorie: Nachrichten

Schlagwörter: ,

Ähnliche Artikel

Geposted am 27/04/2017 von blogsadmin

Die größten Hindernisse für IoT-Projekte

Als IoT-Experte bin ich täglich mit Unternehmen in Kontakt, die gerne entsprechende Projekte umsetzen möchten und fantastische Visionen verfolgen. Doch während in den USA die Innovationen kräftig vorangetrieben werden, scheint Deutschland bei IoT-Projekten stets mit angezogener Handbremse zu fahren.

2 minuten gelesen
Geposted am 23/08/2016 von blogsadmin

5 Gründe, warum sich Kfz-Hersteller radikal neu erfinden müssen

Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware „Die bislang geltenden Regeln in der Automobilindustrie werden neu definiert” – wahre Worte, die BVDW-Vizepräsident Achim Himmelreich da von sich gibt. Die Digitalisierung soll nun auch bei der Automobilbranche im Mittelunkt stehen, was konkret bedeutet, dass sich KFZ-Hersteller derzeit radikal neu erfinden. Dieter Zetsche, der CEO […]

4 minuten gelesen
Geposted am 31/01/2017 von blogsadmin

Mobile First: Wann arbeiten endlich alle mobil?

Jederzeit und an jedem Ort arbeiten zu können – das soll die Zukunft des Arbeitsplatzes sein. Dennoch ist dieses in vielen deutschen Unternehmen bisher kaum möglich. Es stellt sich daher die Frage, warum alle von „Mobile First“ sprechen, doch fast niemand diesen Anspruch umsetzt? Woran scheitert die Umsetzung bislang? Und welche Herausforderungen gibt es dabei?

3 minuten gelesen

Kommentare

Keine bisher Kommentare

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

© 2018 VMware EMEA Blog
© 2018 VMware EMEA Blog
This site uses cookies to improve the user experience. By using this site you agree to the privacy policy