24. February 2016

Internet of Things: Sicherheit lässt zu wünschen übrig

Internet of Things: Sicherheit lässt zu wünschen übrig

Thema Nummer Eins an der diesjährigen CES (Consumer Electronics Show) in Las Vegas war das Internet of Things und die Erkenntnis, dass keines dieser neuen IoT Geräte mit einem verlässlichen Sicherheitskonzept aufwarten kann. Damit drängt sich die Frage auf, ob nun das IoT das Ende von Security und Privacy bedeutet, oder aber ob Security – oder genauer das Fehlen von Security – das Ende des IoT bedeutet.

Das Internet of Things (IoT) verbindet die reale Welt mit dem Internet. Intelligente Gegenstände sollen Menschen in ihren Tätigkeiten unterstützen und dabei nicht auffallen. So wird vom Kühlschrank bis zum Auto bald alles miteinander vernetzt sein und sich in einem konstanten Datenaustausch befinden. Aktuelle Gartner-Prognosen sagen voraus, dass bis 2020 rund 50 Milliarden verbundene Geräte zu erwarten sind. Dabei sollen Umsätze von IoT-Anbietern im selben Zeitraum auf über 300 Milliarden USD ansteigen. Diese Umsätze werden nicht etwa mit diesen Geräten selbst erzielt, sondern – analog zu den TV Konsolen – mit neuen Services und Dienstleistungen erwirtschaftet, welche dank der IoT Geräte überhaupt erst möglich sind. Angesichts dieser Zahlen wird klar, dass IoT nicht einfach nur ein weiterer Trend ist – nein, es ist die Zukunft des Geschäfts.

Fehlende Sicherheit

Letztendlich geht es um Informationen und Daten, welche von den verbundenen Geräten gesammelt und zur Auswertung und Steuerung von Geschäfsprozessen an eine leistungsfähige Cloud übermittelt werden. Laut IDC sollen bereits im Jahr 2020 etwa 4000 GB an Daten pro Person in der Cloud gespeichert sein. Grund genug, uns mit der Sicherheit dieser Daten zu befassen. Letztendlich hängt der Erfolg des Internet of Things von der Akzeptanz der Benutzer ab – gelingt es nicht deren Interessen zu wahren und speziell die Privatsphäre zu garantieren, wird der angekündigte Durchbruch des IoT wohl noch etwas auf sich warten lassen.

Gegenwärtig überbieten sich die IoT Gadget-Hersteller insbesondere im Consumer Segment mit neuen Features und verlassen sich bei der Sicherheit auf bekannte, vom Internet übernommene Konzepte. Aber nicht nur im Consumer Segment zeigen sich hier Schwächen. Auch die Entwickler-Communities, welche seit über zehn Jahren an IoT-optimierten Kommunikationsprotokollen wie CoAD oder Mqtt arbeiten, haben das „Security Problem“ auf ihren Pendenzenlisten immer noch nicht abgehackt. In Ermangelung geeigneter Methoden wird dann oftmals auf einfache User/Passwort Konzepte zurückgegriffen – bedauerlicherweise ein in diesem Kontext gänzlich ungeeignetes Verfahren. Nicht zuletzt deshalb, weil hier gar kein User vorhanden ist, welcher ein Passwort eingeben könnte.  

Security-Anforderungen an das IoT-Universum

Die Security-Anforderungen an ein IoT-Universum sind bedeutend komplexer. Dabei gilt es primär zwischen stationären und mobilen Geräten zu unterscheiden.

Bei stationären Geräten ist die Situation noch einigermassen überschaubar. Die Geräte befinden sich normalerweise in einem bekannten Netzwerk und kennen bzw. vertrauen ihren Kommunikationspartnern. Solche Geräte lassen sich auch einigermassen sicher in geschlossenen Netzwerken – z.B. für Smart-Homes – über gesicherte Wifi-Netzwerke betreiben.

Ganz anders sieht die Situation bei mobilen Geräten aus. Allen voran natürlich unsere Smartphones, bald aber auch intelligente, selbstfahrende Autos oder Leitsysteme jeglicher Art. Wifi-Security, Passwörter usw. scheitern hier, weil vorgängig keine Schlüsselvereinbarungen getroffen werden können. Dennoch müssen aber sowohl Sender, als auch Empfänger von Daten eindeutig und nachprüfbar identifiziert werden können. Zudem hat der Inhaber der Daten, also letztlich der Anwender, den Anspruch bestimmen zu können, welche Geräte ihn kontaktieren dürfen und welche Informationen er zur Verfügung stellen will. Vorbehaltlich der eben genannten Benutzerzustimmung muss dann zudem gewährleistet werden, dass die Geräte auch über entsprechende Netzwerke die Kommunikationsprotokolle tatsächlich kommunizieren können. Dabei sollen idealerweise keine zusätzlichen Kommunikationskosten, z.B. für GSM Daten, anfallen, unabhängig davon, auf welchem Kontinent man sich gerade befindet.

IoT-Security als interdisziplinäre Aufgabe

Sicher lassen sich an dieser Stelle noch weit mehr Anforderungen finden. Allerdings wird schon nach kurzer Überlegung deutlich, dass IoT-Security eine interdisziplinäre Aufgabe ist.

Die Hardware- und Gerätehersteller sind gefordert, den vertrauenswürdigen Benutzer durch entsprechende Trustet Platform Module oder zumindest durch fälschungssichere HW Cryptomodule zu ersetzten. Telco-Provider sind gefordert, neue Netzwerkdienste und nicht zuletzt Verrechnungsmodelle anzubieten. Letztlich sind künftige Serviceanbieter gefordert Businessmodelle zu entwerfen und Services anzubieten, welche die Privatsphäre des Kunden respektieren und diesem erlauben, massgeblichen Einfluss auf die Verwendung seiner Daten zu nehmen. Es darf bezweifelt werden, dass eine Definition der Verwendung der Daten und somit der Privatsphäre über die heute gängigen Praxis der „General Terms and Conditions“ ausreicht, um das Vertrauen der Kunden zu gewinnen. Ohne dieses Vertrauen wird es schwierig werden, den Kunden für kostenpflichtige Services zu motivieren.

Der Erfolg des IoT hängt also massgeblich davon ab, ob es gelingt den Gordischen-Security-Knoten zu durchschlagen. Dafür braucht es die Mitarbeit auf allen Ebenen. Hardware- und Infrastrukturhersteller sind genauso gefordert wie Standardisierungsgremien und Service-Anbieter. Letztlich werden die IoT Umsätze vorwiegend mit neuen Dienstleistungen erwirtschaftet werden. Die Qualität und damit der Erfolg der Services sind einzig von der Akzeptanz der Kunden abhängig und diese hängt davon ab, ob der Kunde seine Daten in Sicherheit wiegt oder nicht.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Harald Boettcher 1000
«Wir erfüllen den höchsten Sicherheitsstandard, ohne dabei an Agilität zu verlieren»

Als Cloud Provider ist Cyber Security ein integraler Bestandteil des Geschäftsmodells von ti&m. Mit der ISO-Zertifizierung 27001 bestätigt eine unabhängige Stelle, dass das Informationssicherheits-Managementsystem von ti&m den höchsten Ansprüchen genügt. Wir haben mit unserem CISO Harald Böttcher über die internationale Norm ISO 27001 gesprochen.

find more information
digital-identity
The Digital Identity Card

Self-sovereign identity // Today, we already shop and procure the majority of services online, while other areas, such as healthcare services, are increasingly becoming digitalized. As the world becomes more digital, so must our understanding of identity. Together with Lissi, ti&m is exploring new solutions for a digital identity that offer self-sovereignty for the user, and can be applied in various ecosystems.

find more information
Multi-cloud
How to address the security challenge in a multi-cloud business environment

Multi-Cloud // The covid pandemic has shown that enterprises need to move faster than ever to stay competitive and get ahead. Time to market has shortened dramatically from years to days. In a bid to get ahead, today’s enterprises are increasingly turning to multiple, not one, cloud provider to handle aspects of their networking and app development needs.

find more information
2017_09_der-wert-der-identitaet
Der Wert der Identität

Datenschutz // Information ist die Währung des 21. Jahrhunderts. Folgt man diesem Gedanken, so liegt es nahe, dass unsere digitale Identität das Konto ist, über das wir diese Währung handeln.

find more information
MAC Token Profile: the Never-Ending Battle over Signatures<br/>
MAC Token Profile: the Never-Ending Battle over Signatures

find more information
Blog-bild-06
Setup at full speed

Swiss Federal Government // On January 30th, 2019, the Swiss Federal Council passed a resolution to create the National Cyber Security Centre (NCSC). This was established based on existing structures, but had to rapidly develop new services and determine its own form as an organization.

find more information