12. Dezember 2015

Security, die Killer-Applikation des IoT

Security, die Killer-Applikation des IoT

Dank der fortschreitenden Miniaturisierung, insbesondere in der Sensorik, wie zum Beispiel bei der MEMS (Microelectromechanical systems) Technology, stehen uns heute Informationen zur Verfügung, die noch vor wenigen Jahren undenkbar schienen.

So enthält ein modernes Smartphone über ein Dutzend verschiedener Sensortypen zur Erfassung von Position, Bewegung, Klima, Licht, Schall, Puls, Annäherung bis hin zu Fingerprintsensoren und Messung gefährlicher Strahlungen.

Angesichts dieser potenziell verfügbaren Informationen allein schon von unserem täglichen Begleiter wirkt der Roman «1984» von George Orwell wie Erinnerungen an eine noch heile Welt. Aber nicht nur wir produzieren und sammeln Daten. Verkehrsüberwachungs- und Leitsysteme, Brandschutz- und andere Sicherheitsanlagen sammeln und speichern Terrabytes Daten, die direkten Einfluss auf unseren Persönlichkeitsschutz oder gar auf unser Leib und Leben haben.

Security im Internet of Things

Angesichts dieser Tatsachen ist es erschreckend festzustellen, dass sich im IoT-Umfeld in Bezug auf Sicherheit nur sehr wenig bewegt. Die meisten der heute verwendeten spezifischen IoT-Protokolle haben das Security-Problem noch immer auf ihrer To-do-Liste. Anwendungen mit erhöhten Sicherheitsanforderungen, wie zum Beispiel Leitsysteme, verfügen daher über eigene in sich geschlossene Netzwerke.

Das IoT wird über kurz oder lang ein weltweites Sensorennetzwerk umspannen – zugänglich über das Internet. Eine neue Strategie für die Sicherung der erfassten Daten von der Quelle bis hin zur Auswertung ist daher gefordert.

Sowohl der Urheber als auch der Empfänger von Daten müssen zweifelsfrei und fälschungssicher identifiziert werden. Ebenso muss die Integrität der Daten über die gesamte Übertragungsstrecke bis hin zum Speicherort gewährleistet werden. Selbstredend ohne zusätzliche oder zu minimalsten Kosten. Denn wer ist schon bereit, für seinen Toaster oder Kühlschrank deutlich mehr zu bezahlen, nur damit er sicher kommunizieren kann?

In sich geschlossene Netzwerke mögen in manchen Fällen noch immer ihre Berechtigung habe, sind aber über kurz oder lang nicht mehr finanzierbar. Sicherheit muss also im «offenen» Internet gewährleistet werden. Hierfür braucht es neue, einfache und effektiv zu implementierende Standards, idealerweise unter Verwendung zusätzlicher kryptografischer Hardware wie sie z. B. auch in EC- und Kreditkarten zu finden sind. Die Mehrkosten für unseren sicheren IoT-Toaster würden in diesem Fall bei unter einem US-Dollar liegen.

Security im IoT ist keineswegs eine Mission Impossible. Selbst mit der uns heute zur Verfügung stehenden Technologie – vorausgesetzt, sie wird richtig angewendet – kann sie selbst Spionageangriffen von Geheimdiensten wiederstehen. Was derzeit aber noch fehlt, sind verbindliche Standards und das breite Wissen, wie diese umzusetzen und anzuwenden sind.

ti&m arbeitet mit Universitäten und Gremien zusammen, um diese Entwicklung voranzutreiben. Mögen George Orwell’s Visionen Visionen bleiben.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Robo Advisor Sparkonto 750x410
Warum Robo Advisor an Sparkonten scheitern

Robo Advisor stellen inzwischen keine Innovation mehr dar. Bereits vor über 10 Jahren wurde davon gesprochen und seit 2009 ist der erste digitale Berater in der Schweiz im Einsatz. Bisher wurde aber der physische Berater nicht ersetzt, noch konnte die grosse Masse der Schweizer Sparkontobesitzer zum Anlegen bewegt werden. Wie also können Robo Advisor einen Mehrwert für den Endkunden bieten?

Mehr erfahren
Lazy Angular: Writing Scalable AngularJS Apps
Lazy Angular: Writing Scalable AngularJS Apps

There are two major issues I have faced in the past few years, when writing AngularJS applications, and I have seen numerous other teams fighting the same battles. Out of these experiences the “Lazy Angular” approach came to life. It gives us a project structure which works for both, large and small applications. And it enables us to keep a somewhat consistent load time as new features come to life and our app grows.

Mehr erfahren
Wie „Joy“ das Einkaufserlebnis revolutionieren wird
Wie „Joy“ das Einkaufserlebnis revolutionieren wird

Nachdem das Jahr 2015 aus unserer Sicht als das Jahr des digitalen Portemonnaies zu Buche schlug, überlegten wir uns, wie wir die Akzeptanz des digitalen, bargeld- und kartenlosen Bezahlens an öffentlichen Verkaufspunkten fördern könnten. Geboren war die Idee einer virtuellen Registrierkasse, welche jegliche Art von digitalen Geldbörsen unterstützen würde.

Mehr erfahren
Self-Sovereign 750x410
Self-Sovereign Identity in der Blockchain

Mehr erfahren
I do not love you
I do not love you

For most readers, the title above probably has a strong negative connotation. What if instead of "you", the name of a company was used? The statement still has the same negative connotation, but an opinion of a customer regarding a company might be even more sensitive – at least from a sales point of view. Such public reviews constitute important sources of information for both prospective clients and companies alike. How can one identify, ideally in an automated way, such polarised opinions in the vastness of today’s cyberspace?

Mehr erfahren