IoT-Security: Um diese 6 Probleme müssen wir uns kümmern

January 30, 2018
IoT-Security: Um diese 6 Probleme müssen wir uns kümmern

Das Internet der Dinge steht seit vielen Jahren als Synonym für eine hochtechnisierte Zukunftsvision, in der nahezu alles miteinander vernetzt ist und Informationen austauschen kann. Die Verknüpfung der realen mit der digitalen Welt soll für mehr Komfort, Informationen, Effizienz und Sicherheit sorgen. Doch gerade in puncto Sicherheit gibt es aktuell noch einige Problemfelder, um die wir uns dringend kümmern müssen.

 Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware

Das Thema IoT (Internet of Things) begleitet uns bereits seit mehr als 20 Jahren. Sie alle haben wahrscheinlich schon mal etwas über den „intelligenten Kühlschrank“ gehört oder gelesen, der immer gut gefüllt ist, weil er beispielsweise Milch, Käse und Wurst selbstständig nachbestellt, wenn diese Produkte zur Neige gehen. Diese moderne Form des Tischlein-deck-dich-Märchens sollte das Potenzial der vernetzten Welt aufzeigen, doch ganz so weit ging es dann nicht. Neben fehlender Vertriebswege im Lebensmittelhandel war dafür lange Zeit auch die mangelnde Netzabdeckung verantwortlich. Letzteres ist heute bereits anders und wird künftig durch den kommenden Mobilfunkstandard 5G endgültig kein Problem mehr darstellen. Die zunehmende Digitalisierung unserer Wirtschaft – und auch unserer Gesellschaft – gibt der Realisierung der vollständig vernetzten Welt weiteren Aufschwung.

 

Skepsis bei den Konsumenten

 So groß das Potenzial und die Versprechungen für mehr Komfort, nützliche Informationen und optimierte Ressourcennutzung auch sind, die Konsumenten sorgen sich um ihre Privatsphäre und haben Angst vor Hackern. In einer jährlich durchgeführten Konsumentenbefragung sorgte sich mehr als die Hälfte der Befragten um ihre Privatsphäre und jeder Dritte befürchtet einen Angriff durch Hacker. Da erscheint es beinahe paradox, dass ebenfalls ein Drittel der aktuellen Nutzer in der Studie das IoT für die Gebäude- und Wohnungssicherheit einsetzen.

 Vollkommen unbegründet sind diese Befürchtungen nicht, denn es gibt gleich mehrere Problemfelder für die Sicherheit im IoT-Bereich:

 Problem 1: Fehlendes Patch-Management

 Während Büro-Computer und Kommunikationsgeräte wie Smartphones oder Tablets regelmäßig mit neuen Updates versorgt werden, die neu aufgedeckte Sicherheitslücken schließen, ist dies bei IoT-Geräten oftmals weder vorgesehen noch technisch möglich.

 Lösung: IoT-Lösungen brauchen eine Patch-Funktion als Standard, um Sicherheitslücken per Softwareaktualisierung schließen zu können.

 Problem 2: Fehlende Qualitätssicherung

 Sicherheitsexperten mahnen die unzureichende Qualitätssicherung von IoT-Geräten an. Im Kampf um Marktanteile vernachlässigen Hersteller die Sicherheit zugunsten eines zeitlichen Vorsprungs gegenüber Mitbewerbern. Verstärkt wird diese Tendenz durch kurze Produktzyklen und geringe Gewinnmargen.

 Lösung: Auch für die Qualitätssicherung sind Standards notwendig, die die Geräte gegen Hackerangriffe absichern. Zudem haben sich Bug-Bounty-Programme während der Produktentwicklung bewährt. Dabei suchen Sicherheitsexperten speziell nach Softwarefehlern und erhalten eine Belohnung, wenn sie fündig werden. Für die Hersteller lohnt sich das oft selbst bei hohen Belohnungen, denn sie sparen die Kosten für Rückrufaktionen und verbessern ihre Reputation.

 Problem 3: Fehlendes „Design for IoT“

 Die Hardware der IoT-Geräte muss speziell dafür entwickelt sein, dass sie permanent mit dem Internet verbunden ist. Das macht sie potentiell für Hacker erreichbar und interessant.

 Lösung: IoT-Geräte benötigen eine Sicherheitsarchitektur, die Verschlüsselungstechnologien für die lokale Datenspeicherung nutzt und einen dedizierten Co-Prozessor zur Durchführung von Verschlüsselungsoperationen einsetzt.

 Problem 4: Privatsphärenschutz

 Viele IoT-Geräte erheben Service-Daten und schicken sie an den Hersteller, beispielsweise um bevorstehende Wartungen schon vor einem drohenden Defekt durchführen zu können. Solche Datenströme müssen auch deshalb genügend abgesichert werden, weil sie über die IP-Adresse personenbezogen sein können und damit unter die neue Europäische Datenschutzverordnung (EU-DSGVO) fallen.

 Lösung: Die Datenverbindungen müssen immer über verschlüsselte Verbindungen mit starker Authentifizierung hergestellt werden. Das erfordert zwar in der Regel einen höheren Aufwand für die Einrichtung, aber für den Schutz ihrer Daten werden die Verbraucher das akzeptieren.

 Problem 5: Sicherheitskonzept endet beim Kunden

 Selbst wenn Hard- und Software vom Hersteller maximal abgesichert sind, kann über eine schlecht oder gar nicht gesicherte Benutzerschnittstelle ein Sicherheitsrisiko entstehen. Deaktivierte Passwortabfragen oder leicht zu merkende und damit leicht zu knackende Passwörter bieten Hackern leichten Zugang zu IoT-Systemen.

 Lösung: Benutzerschnittstellen müssen so abgesichert sein, dass der Risikofaktor Mensch so gering wie möglich gehalten wird. Dazu gehören Vorgaben für sichere Passwörter und die Verwendung von SSL-Übertragungen.

 Problem 6: Überholte Compliance

 Die bestehenden Sicherheitsrichtlinien bei den Herstellern von IoT-Geräten sind oft veraltet und beziehen übermittelte Nutzerdaten unter Umständen nicht mit ein. Diese liegen auf einem Gateway und könnten von der IT eingesehen werden.

 Lösung: Die Compliance-Richtlinien müssen Teil der Produktentwicklung werden und Nutzerdaten dürfen nur verschlüsselt auf dem Gateway liegen.

 Alles nur Theorie?

 Zugegeben, das hört sich alles sehr theoretisch an, doch leider ist es das nicht. Hacker haben längst ihr eigenes Potenzial in IoT-Lösungen erkannt und die eine oder andere Sicherheitslücke bereits ausgenutzt. Bekannt wurde beispielsweise das „Mirai-Botnetz“. Dabei handelte es sich um ein Netz aus Hunderttausenden schlecht gesicherten und ungepatchten Überwachungskameras, mit denen drei US-Studenten im August 2016 eine der bis dahin größten Serien von „Denial-of-Service-Attacken“ durchführten und weite Teile des Internets lahmlegten.

 Eine ruhmlose Bekanntheit erlangte auch Fiat-Chrysler. Ein für den US-Markt hergestellter Jeep Cherokee wurde von Computerexperten zu Demonstrationszwecken aus der Ferne über mehrere Sicherheitslücken im Infotainmentsystem gehackt und sie schalteten kurzerhand den Motor aus. Die Folge waren ein unschätzbarer Reputationsverlust und eine Rückrufaktion für 1,4 Millionen Fahrzeuge.

 Und auch der eingangs schon erwähnte intelligente Kühlschrank kann zum Ziel von Hackern werden. Ein Modell von Samsung hatte zwar nominell eine sichere Verbindung zum Internet, aber das dafür zuständige SSL-Zertifikat war fehlerhaft implementiert und erlaubte so „Man-in-the-Middle-Attacken“.

 Die Hersteller sind also weiterhin gefordert, ihre IoT-Lösungen maximal abzusichern und sich auf Standards zu verständigen. Aber auch als Anwender sollte man sich mit den Sicherheitsaspekten beschäftigen und diese beim Kauf berücksichtigen. Denn auch hier gilt: Eine Kette ist nur so stark, wie das schwächste Glied.

Welche Sicherheitsbedenken aber auch -lösungen für IoT-Anwendungen im industriellen und Konsumentenumfeld fallen Ihnen noch ein? Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedInXing und Twitter.


 
Related Posts
 

Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, …

Read More

https://www.youtube.com/watch?v=Z2CVNkijbqc

Jahrelang haben wir von VMware über den digitalen Arbeitsplatz geredet. …

Read More

 Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, …

Read More

Wie Mobilität und Flexibilität Mitarbeiter stark macht

Mit neuen Technologien und …

Read More

 
 
Blog Archive