12. Dezember 2015

Security, die Killer-Applikation des IoT

Security, die Killer-Applikation des IoT

Dank der fortschreitenden Miniaturisierung, insbesondere in der Sensorik, wie zum Beispiel bei der MEMS (Microelectromechanical systems) Technology, stehen uns heute Informationen zur Verfügung, die noch vor wenigen Jahren undenkbar schienen.

So enthält ein modernes Smartphone über ein Dutzend verschiedener Sensortypen zur Erfassung von Position, Bewegung, Klima, Licht, Schall, Puls, Annäherung bis hin zu Fingerprintsensoren und Messung gefährlicher Strahlungen.

Angesichts dieser potenziell verfügbaren Informationen allein schon von unserem täglichen Begleiter wirkt der Roman «1984» von George Orwell wie Erinnerungen an eine noch heile Welt. Aber nicht nur wir produzieren und sammeln Daten. Verkehrsüberwachungs- und Leitsysteme, Brandschutz- und andere Sicherheitsanlagen sammeln und speichern Terrabytes Daten, die direkten Einfluss auf unseren Persönlichkeitsschutz oder gar auf unser Leib und Leben haben.

Security im Internet of Things

Angesichts dieser Tatsachen ist es erschreckend festzustellen, dass sich im IoT-Umfeld in Bezug auf Sicherheit nur sehr wenig bewegt. Die meisten der heute verwendeten spezifischen IoT-Protokolle haben das Security-Problem noch immer auf ihrer To-do-Liste. Anwendungen mit erhöhten Sicherheitsanforderungen, wie zum Beispiel Leitsysteme, verfügen daher über eigene in sich geschlossene Netzwerke.

Das IoT wird über kurz oder lang ein weltweites Sensorennetzwerk umspannen – zugänglich über das Internet. Eine neue Strategie für die Sicherung der erfassten Daten von der Quelle bis hin zur Auswertung ist daher gefordert.

Sowohl der Urheber als auch der Empfänger von Daten müssen zweifelsfrei und fälschungssicher identifiziert werden. Ebenso muss die Integrität der Daten über die gesamte Übertragungsstrecke bis hin zum Speicherort gewährleistet werden. Selbstredend ohne zusätzliche oder zu minimalsten Kosten. Denn wer ist schon bereit, für seinen Toaster oder Kühlschrank deutlich mehr zu bezahlen, nur damit er sicher kommunizieren kann?

In sich geschlossene Netzwerke mögen in manchen Fällen noch immer ihre Berechtigung habe, sind aber über kurz oder lang nicht mehr finanzierbar. Sicherheit muss also im «offenen» Internet gewährleistet werden. Hierfür braucht es neue, einfache und effektiv zu implementierende Standards, idealerweise unter Verwendung zusätzlicher kryptografischer Hardware wie sie z. B. auch in EC- und Kreditkarten zu finden sind. Die Mehrkosten für unseren sicheren IoT-Toaster würden in diesem Fall bei unter einem US-Dollar liegen.

Security im IoT ist keineswegs eine Mission Impossible. Selbst mit der uns heute zur Verfügung stehenden Technologie – vorausgesetzt, sie wird richtig angewendet – kann sie selbst Spionageangriffen von Geheimdiensten wiederstehen. Was derzeit aber noch fehlt, sind verbindliche Standards und das breite Wissen, wie diese umzusetzen und anzuwenden sind.

ti&m arbeitet mit Universitäten und Gremien zusammen, um diese Entwicklung voranzutreiben. Mögen George Orwell’s Visionen Visionen bleiben.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Trust 750x410
Authentication Is Good, Trust Is Better. What About Trusting Delegated Identity?

Trust in a relationship is a must and this is not only holds true for private lives but also in the virtual life. While trustworthiness for established authentication protocols is mainly based on agreement between entities, certificates and keys, trust in the identity delegation context is ambiguous because the owner might not be the consumer of the API. This post addresses some trust concerns when introducing protocols based on identity delegation that de-facto lead to an identity paradigm shift.

Mehr erfahren
aikido 750x410
Digitales Aikido in der Finanzindustrie

Technologische Fortschritte wie Automatisierung und künstliche Intelligenz gehen auch am Private Banking nicht vorbei. Matthias Plattner plädiert für eine Verbindung alter Werte und neuer Technologien und zieht eine Analogie zur Kampfsportart Aikido.

Mehr erfahren
Rüesch_Conrad_Special
Die Digitalisierung braucht agile Strategieprozesse

Althergebrachte Strategiezyklen werden den Anforderungen an die digitale Welt nicht mehr gerecht. Transformationsprozesse stellen völlig neue Anforderungen an die Art und Weise, wie die Strategie in Unternehmen entwickelt werden muss. Ständige Iterationen machen den Unterschied.

Mehr erfahren
Interview
«Das Gesetz unterscheidet nicht zwischen in- und ausländischen Clouds»

Viele Banken haben erst begonnen, sich intensiver mit dem Thema Cloud auseinanderzusetzen. Noch gibt es aber Bedenken, vor allem wie sich die Cloud mit dem Bankgeheimnis vereinbaren lässt. Antworten dazu gibt Martin Hess, Leiter Digitalisierung und Wirtschaftspolitik sowie Direktionsmitglied der Schweizerischen Bankiervereinigung.

Mehr erfahren
Homeoffice_work_business
Banking – made in Swiss Homeoffices

Wandelt sich das Homeoffice nun auch für die Schweizer Bankenwelt zur Normalität? Zumindest ist sicher, dass die Covid-Krise langfristige Auswirkungen auf die Bankenkultur haben wird. Anhand von vier Hypothesen zeigen wir mögliche Veränderungen auf.

Mehr erfahren