Datenautobahn mit Sicherheitslücken: Warum ein IoT-Prüfsiegel notwendig ist

September 19, 2017
Datenautobahn mit Sicherheitslücken: Warum ein IoT-Prüfsiegel notwendig ist

Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware 

Smart Cities gehören zu den vielen positiven Dingen, die das Internet of Things mit sich bringt. Die chinesische Stadt Yinchuan zum Beispiel, über die ich in meinem letzten Beitrag berichtet habe, zeigt auf erstaunliche Weise, wie IoT und Big Data zur Steigerung der Lebensqualität in Großstädten beitragen können. Die zunehmende Vernetzung in allen Lebensbereichen erfordert jedoch spezielle Sicherheitsmaßnahmen für IoT-Anwendungen und Geräte. Welche Entwicklungen zeichnen sich auf Gesetzesebene ab, um schlecht programmierte, aber mit dem Internet verbundene Devices vor Hackern abzusichern und im Internet of Things Datenschutz zu gewähren?

Sind unsere Geräte IoT-sicher?

Es sind oft ganz harmlose Geräte, zum Beispiel Spielzeug oder Spülmaschinen, die Hackern, Viren und DDoS-Attacken die Türe öffnen. Wie Golem im März dieses Jahres berichtete, gab es im Webserver einer Spülmaschine für Labore eine Sicherheitslücke, die den Zugriff auf die Daten des Servers erlaubt. Der Hersteller dieser Maschine hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen. Genau hier liegt in vielen Fällen das Problem: Die klassischen Hersteller dieser Geräte sind oft nicht mit allen Wassern gewaschen, was die Sicherheit im Internet of Things angeht. Viele Unternehmen machen ihre Geräte zwar internetfähig, kümmern sich jedoch nicht um Sicherheits-Updates und haben häufig keine Infrastruktur aufgebaut, über die etwaige Schwachstellen gemeldet werden können. Sie müssten sich das Wissen und die Tools, um ihre Geräte IoT-fähig und IoT-sicher zu gestalten teuer zukaufen. Davor scheuen sich viele Unternehmen.

Security-by-Design als mögliche Lösung

Umso mehr ist es erforderlich, die Sicherheit im IoT gesetzlich zu regeln. Die USA haben sich jetzt entschieden, diese Gefahren mit einem Gesetz zu bannen. Ein neuer Gesetzesvorschlag, der Internet of Things Cybersecurity Act, legt für alle mit dem IoT verbundenen Geräte Sicherheitsstandards fest. Per Gesetz sind Anbieter dann verpflichtet, sicherzustellen, dass sämtliche IoT-Geräte gepatcht werden können, dass sie keine einprogrammierten bzw. nicht änderbaren Passwörter enthalten und auch keine Sicherheitslücken und Schwachstellen aufweisen. Regelmäßige Patches und Updates auf einem Betriebssystem zum Beispiel sorgen dafür, dass täglich neu auftretende Schwachstellen in der Informationsstruktur verhindert werden. Der Ansatz, der hinter dem US-amerikanischen Gesetzesvorschlag steckt, heißt Security-by-Design. Das bedeutet, dass grundlegende Sicherheitsstandards und Tools bereits bei der Entwicklung der Software, der Sensoren oder der IoT-Geräte integriert werden. Das ist effektiver und auch kostengünstiger als Software im Nachhinein nachzurüsten. Das Gesetz ist meiner Meinung nach ein großer Schritt in die richtige Richtung. Allerdings werden primäre Sicherheitsmaßnahmen alleine langfristig nicht ausreichen, um alle Risiken auszuschließen. Weder in den USA noch in Deutschland. Gefragt sind zusätzliche Gesetze, die tiefgreifendere Maßnahmen wie Code-Härtung einbeziehen. So können zum Beispiel böswillige Manipulationen bzw. Reverse Engineering verhindert werden.

Cybersecurity: Auch Deutschland sieht Handlungsbedarf

Auch hierzulande sind die Möglichkeiten für Hacker und Cyberkriminelle in lebenswichtige oder sogar private Netze und Datenpools einzugreifen mannigfaltig. Schwachstellen befinden sich fast überall, ob es die Sensoren bei der Verkehrs- und Ampelsteuerung oder das Smart Toy, das sich mitten im Privatleben befindet und als Puppe getarnt unverschlüsselte Daten wie Sprach- oder Videoaufzeichnungen, Standorte, Verhaltensweisen oder andere persönliche Informationen auf wenig oder gar nicht gesicherten Servern speichern. Das zumindest wird mit dem § 90 des deutschen Telekommunikationsgesetz (TKG) wortwörtlich verboten. Gesetzwidrig sei es laut TKG, wenn Gegenstände durch ihre Form einen anderen Gegenstand vortäuschten oder als Alltagsgegenstände getarnt seien und dadurch das nicht öffentliche gesprochene Wort oder das Bild einer anderen Person unbemerkt aufnehmen können. Solche Geräte seien in Deutschland unabhängig von einer expliziten Warnung der Netzagentur verboten. Dieses Verbot traf bisher auf mehr als 400 Geräte dieser Art zu. Das Bewusstsein dafür, dass dringend Maßnahmen erforderlich sind, ist auch bei den deutschen Unternehmern vorhanden, wie die IDG Studie “Security Automation 2017” zeigt. Kein Wunder, denn die Bedrohung durch immer komplexere Cyber-Angriffe nimmt massiv zu. Darauf reagiert inzwischen auch der deutsche Gesetzgeber, zum Beispiel mit KRITIS, einer gemeinsamen Initiative des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Was genau hinter dieser Internetplattform zum Schutz kritischer Infrastrukturen steckt, erfahren Sie in einem unserer nächsten Blogbeiträge.

Was ist Ihre Meinung? Brauchen wir auch in Deutschland ein IoT-Prüfsiegel oder zumindest ein Gesetz oder eine Verordnung, die den Datenschutz im Internet of Things regelt? Ich freue mich auf eine rege Diskussion mit Ihnen auf Twitter, LinkedIn oder XING!


 
Related Posts
 

Vernetzte medizinische Geräte, intelligente Operationssäle, Wearables und Tracking leisten wichtige Beiträge zu einem gesünderen Leben, stabileren Heilungsverläufen und besseren Prozessen im Krankenhaus. Sind Sie bereit für Healthcare IoT?

Um die Potentiale des IIoT-Konzepts voll ausschöpfen zu können, müssen Modelle, Methoden und Werkzeuge erstellt werden, mit denen die Unternehmen die IoT-Sensordaten am Rand des Netzwerks intelligent verarbeiten können. Die Schlüsselinnovation liegt in der „IoT-isierung“!

Das Internet der Dinge als Retter der Umwelt: Wo ist Smart Environment schon heute Realität und wie funktioniert das?

Die Großstädte der Zukunft benötigen innovative Lösungen, um Urbanisierung und Klimawandel Stand zu halten! Wie genau das mit Hilfe von IoT umgesetzt werden kann, zeigt die chinesische Smartcity Yinchuan als Paradebeispiel. Doch was genau macht diese Stadt so smart und gibt es auch vergleichbare Beispiele in Europa?

 
 
Blog Archive