24. February 2016

Internet of Things: Sicherheit lässt zu wünschen übrig

Internet of Things: Sicherheit lässt zu wünschen übrig

Thema Nummer Eins an der diesjährigen CES (Consumer Electronics Show) in Las Vegas war das Internet of Things und die Erkenntnis, dass keines dieser neuen IoT Geräte mit einem verlässlichen Sicherheitskonzept aufwarten kann. Damit drängt sich die Frage auf, ob nun das IoT das Ende von Security und Privacy bedeutet, oder aber ob Security – oder genauer das Fehlen von Security – das Ende des IoT bedeutet.

Das Internet of Things (IoT) verbindet die reale Welt mit dem Internet. Intelligente Gegenstände sollen Menschen in ihren Tätigkeiten unterstützen und dabei nicht auffallen. So wird vom Kühlschrank bis zum Auto bald alles miteinander vernetzt sein und sich in einem konstanten Datenaustausch befinden. Aktuelle Gartner-Prognosen sagen voraus, dass bis 2020 rund 50 Milliarden verbundene Geräte zu erwarten sind. Dabei sollen Umsätze von IoT-Anbietern im selben Zeitraum auf über 300 Milliarden USD ansteigen. Diese Umsätze werden nicht etwa mit diesen Geräten selbst erzielt, sondern – analog zu den TV Konsolen – mit neuen Services und Dienstleistungen erwirtschaftet, welche dank der IoT Geräte überhaupt erst möglich sind. Angesichts dieser Zahlen wird klar, dass IoT nicht einfach nur ein weiterer Trend ist – nein, es ist die Zukunft des Geschäfts.

Fehlende Sicherheit

Letztendlich geht es um Informationen und Daten, welche von den verbundenen Geräten gesammelt und zur Auswertung und Steuerung von Geschäfsprozessen an eine leistungsfähige Cloud übermittelt werden. Laut IDC sollen bereits im Jahr 2020 etwa 4000 GB an Daten pro Person in der Cloud gespeichert sein. Grund genug, uns mit der Sicherheit dieser Daten zu befassen. Letztendlich hängt der Erfolg des Internet of Things von der Akzeptanz der Benutzer ab – gelingt es nicht deren Interessen zu wahren und speziell die Privatsphäre zu garantieren, wird der angekündigte Durchbruch des IoT wohl noch etwas auf sich warten lassen.

Gegenwärtig überbieten sich die IoT Gadget-Hersteller insbesondere im Consumer Segment mit neuen Features und verlassen sich bei der Sicherheit auf bekannte, vom Internet übernommene Konzepte. Aber nicht nur im Consumer Segment zeigen sich hier Schwächen. Auch die Entwickler-Communities, welche seit über zehn Jahren an IoT-optimierten Kommunikationsprotokollen wie CoAD oder Mqtt arbeiten, haben das „Security Problem“ auf ihren Pendenzenlisten immer noch nicht abgehackt. In Ermangelung geeigneter Methoden wird dann oftmals auf einfache User/Passwort Konzepte zurückgegriffen – bedauerlicherweise ein in diesem Kontext gänzlich ungeeignetes Verfahren. Nicht zuletzt deshalb, weil hier gar kein User vorhanden ist, welcher ein Passwort eingeben könnte.  

Security-Anforderungen an das IoT-Universum

Die Security-Anforderungen an ein IoT-Universum sind bedeutend komplexer. Dabei gilt es primär zwischen stationären und mobilen Geräten zu unterscheiden.

Bei stationären Geräten ist die Situation noch einigermassen überschaubar. Die Geräte befinden sich normalerweise in einem bekannten Netzwerk und kennen bzw. vertrauen ihren Kommunikationspartnern. Solche Geräte lassen sich auch einigermassen sicher in geschlossenen Netzwerken – z.B. für Smart-Homes – über gesicherte Wifi-Netzwerke betreiben.

Ganz anders sieht die Situation bei mobilen Geräten aus. Allen voran natürlich unsere Smartphones, bald aber auch intelligente, selbstfahrende Autos oder Leitsysteme jeglicher Art. Wifi-Security, Passwörter usw. scheitern hier, weil vorgängig keine Schlüsselvereinbarungen getroffen werden können. Dennoch müssen aber sowohl Sender, als auch Empfänger von Daten eindeutig und nachprüfbar identifiziert werden können. Zudem hat der Inhaber der Daten, also letztlich der Anwender, den Anspruch bestimmen zu können, welche Geräte ihn kontaktieren dürfen und welche Informationen er zur Verfügung stellen will. Vorbehaltlich der eben genannten Benutzerzustimmung muss dann zudem gewährleistet werden, dass die Geräte auch über entsprechende Netzwerke die Kommunikationsprotokolle tatsächlich kommunizieren können. Dabei sollen idealerweise keine zusätzlichen Kommunikationskosten, z.B. für GSM Daten, anfallen, unabhängig davon, auf welchem Kontinent man sich gerade befindet.

IoT-Security als interdisziplinäre Aufgabe

Sicher lassen sich an dieser Stelle noch weit mehr Anforderungen finden. Allerdings wird schon nach kurzer Überlegung deutlich, dass IoT-Security eine interdisziplinäre Aufgabe ist.

Die Hardware- und Gerätehersteller sind gefordert, den vertrauenswürdigen Benutzer durch entsprechende Trustet Platform Module oder zumindest durch fälschungssichere HW Cryptomodule zu ersetzten. Telco-Provider sind gefordert, neue Netzwerkdienste und nicht zuletzt Verrechnungsmodelle anzubieten. Letztlich sind künftige Serviceanbieter gefordert Businessmodelle zu entwerfen und Services anzubieten, welche die Privatsphäre des Kunden respektieren und diesem erlauben, massgeblichen Einfluss auf die Verwendung seiner Daten zu nehmen. Es darf bezweifelt werden, dass eine Definition der Verwendung der Daten und somit der Privatsphäre über die heute gängigen Praxis der „General Terms and Conditions“ ausreicht, um das Vertrauen der Kunden zu gewinnen. Ohne dieses Vertrauen wird es schwierig werden, den Kunden für kostenpflichtige Services zu motivieren.

Der Erfolg des IoT hängt also massgeblich davon ab, ob es gelingt den Gordischen-Security-Knoten zu durchschlagen. Dafür braucht es die Mitarbeit auf allen Ebenen. Hardware- und Infrastrukturhersteller sind genauso gefordert wie Standardisierungsgremien und Service-Anbieter. Letztlich werden die IoT Umsätze vorwiegend mit neuen Dienstleistungen erwirtschaftet werden. Die Qualität und damit der Erfolg der Services sind einzig von der Akzeptanz der Kunden abhängig und diese hängt davon ab, ob der Kunde seine Daten in Sicherheit wiegt oder nicht.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Authentication vs. Authorization with OAuth, Does It Really Matter?
Authentication vs. Authorization with OAuth, Does It Really Matter?

While in the security field the terms authentication and authorization have a clearly defined definition, with the introduction of concepts such as “delegated authorization” ambiguity might arise. However, it seems that we know what we intend and therefore should we even bother with such discussions?

find more information
Trust 750x410
Assurance nach ISAE 3000 für das ti&m Hosting

ti&m hat das Hosting nach dem ISAE 3000 Standard auf Wirksamkeit der FINMA Rundschreiben RS 2018/3 RS 2008/21 prüfen lassen. Im Interview erklärt Karsten Burger, und Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und welche Vorteile ti&m-Kunden davon bekommen. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

find more information
Identitätskrise 750x410
Identitätskrise - wer bist du wirklich?

Digitale Identität // Eine zuverlässige digitale Identität ist zentral für eine sichere Informationsgesellschaft. Einige europäische Länder stellen für ihre Einwohner umfassende digitale Identifikationssysteme zur Verfügung. Wo steht die Schweiz und welche Instanzen könnten eine globale digitale Identität bereitstellen?

find more information
Security 750x410
Warum Security ohne Usability zu Fehlern führt!

Neue regulatorische Anforderungen wie PSD2 und GDPR, sowie die ansteigende Bedrohung durch Cybercrime haben das Thema Security ganz oben auf die Agenda gesetzt. Kritisch ist aber, wie diese erhöhten Security-Anforderungen umgesetzt werden. Ungenügende Security macht angreifbar, andererseits kann schlecht umgesetzte Sicherheit zum Business-Killer werden.

find more information
MAC Token Profile: the Never-Ending Battle over Signatures<br/>
MAC Token Profile: the Never-Ending Battle over Signatures

find more information
Harald Boettcher 1000
«Wir erfüllen den höchsten Sicherheitsstandard, ohne dabei an Agilität zu verlieren»

Als Cloud Provider ist Cyber Security ein integraler Bestandteil des Geschäftsmodells von ti&m. Mit der ISO-Zertifizierung 27001 bestätigt eine unabhängige Stelle, dass das Informationssicherheits-Managementsystem von ti&m den höchsten Ansprüchen genügt. Wir haben mit unserem CISO Harald Böttcher über die internationale Norm ISO 27001 gesprochen.

find more information