Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware
Das Thema IoT (Internet of Things) begleitet uns bereits seit mehr als 20 Jahren. Sie alle haben wahrscheinlich schon etwas über den „intelligenten Kühlschrank“ gehört oder gelesen. Dieser ist immer gut gefüllt, weil er beispielsweise Milch, Käse und Wurst selbstständig nachbestellt, wenn die Produkte zur Neige gehen. Diese moderne Form des Tischlein-deck-dich-Märchens sollte das Potenzial der vernetzten Welt aufzeigen, doch ganz so weit ging es nicht.
Neben fehlender Vertriebswege im Lebensmittelhandel war dafür lange Zeit auch die mangelnde Netzabdeckung verantwortlich. Letzteres ist heute anders und wird künftig durch den kommenden Mobilfunkstandard 5G endgültig kein Problem mehr darstellen. Die zunehmende Digitalisierung unserer Wirtschaft – und auch unserer Gesellschaft – gibt der Realisierung der vollständig vernetzten Welt weiteren Aufschwung.
Das Potenzial und die Versprechungen für mehr Komfort, nützliche Informationen und optimierte Ressourcennutzung sind groß. Jedoch sorgen sich die Konsumenten um ihre Privatsphäre und haben Angst vor Hackern. In einer jährlich durchgeführten Konsumentenbefragung
sorgte sich mehr als die Hälfte der Befragten um ihre Privatsphäre. Jeder Dritte befürchtet einen Angriff durch Hacker. Da erscheint es beinahe paradox, dass ebenfalls ein Drittel der aktuellen Nutzer in der Studie das IoT für die Gebäude- und Wohnungssicherheit einsetzen.
Vollkommen unbegründet sind diese Befürchtungen nicht, denn es gibt gleich mehrere Problemfelder für die IoT-Security:
Neue Updates versorgen regelmäßig Büro-Computer und Kommunikationsgeräte wie Smartphones oder Tablets und schließen neu aufgedeckte Sicherheitslücken. Dahingegen ist dies bei IoT-Geräten oftmals weder vorgesehen noch technisch möglich.
Lösung: IoT-Lösungen brauchen eine Patch-Funktion als Standard, um Sicherheitslücken per Softwareaktualisierung schließen zu können.
Sicherheitsexperten mahnen die unzureichende Qualitätssicherung von IoT-Geräten an. Im Kampf um Marktanteile vernachlässigen Hersteller die Sicherheit zugunsten eines zeitlichen Vorsprungs gegenüber Mitbewerbern. Verstärkt wird diese Tendenz durch kurze Produktzyklen und geringe Gewinnmargen.
Lösung: Auch für die Qualitätssicherung sind Standards notwendig, die die Geräte gegen Hackerangriffe absichern. Zudem bewähren sich Bug-Bounty-Programme während der Produktentwicklung. Dabei suchen Sicherheitsexperten speziell nach Softwarefehlern und erhalten eine Belohnung, wenn sie fündig werden. Für die Hersteller lohnt sich das oft selbst bei hohen Belohnungen, denn sie sparen die Kosten für Rückrufaktionen und verbessern ihre Reputation.
Die Hardware der IoT-Geräte muss speziell dafür entwickelt sein, dass sie permanent mit dem Internet verbunden ist. Das macht sie potentiell für Hacker erreichbar und interessant.
Lösung: IoT-Geräte benötigen eine Sicherheitsarchitektur, die Verschlüsselungstechnologien für die lokale Datenspeicherung nutzt und einen dedizierten Co-Prozessor zur Durchführung von Verschlüsselungsoperationen einsetzt.
Viele IoT-Geräte erheben Service-Daten und schicken sie an den Hersteller, beispielsweise um bevorstehende Wartungen schon vor einem drohenden Defekt durchführen zu können. Solche Datenströme müssen auch deshalb genügend abgesichert werden, weil sie über die IP-Adresse personenbezogen sein können. Folglich fallen sie damit unter die neue Europäische Datenschutzverordnung (EU-DSGVO).
Lösung: Die Datenverbindungen müssen immer über verschlüsselte Verbindungen mit starker Authentifizierung hergestellt werden. Das erfordert in der Regel einen höheren Aufwand für die Einrichtung, was die Verbraucher aber für den Schutz ihrer Daten akzeptieren.
Selbst wenn Hard- und Software vom Hersteller maximal abgesichert sind, entsteht über eine schlecht oder gar nicht gesicherte Benutzerschnittstelle ein Sicherheitsrisiko. Deaktivierte Passwortabfragen oder leicht zu merkende und damit leicht zu knackende Passwörter bieten Hackern leichten Zugang zu IoT-Systemen.
Lösung: Benutzerschnittstellen müssen so abgesichert sein, dass der Risikofaktor Mensch so gering wie möglich gehalten wird. Dazu gehören Vorgaben für sichere Passwörter und die Verwendung von SSL-Übertragungen.
Die bestehenden Sicherheitsrichtlinien bei den Herstellern von IoT-Geräten sind oft veraltet. Darüber hinaus beziehen sie übermittelte Nutzerdaten unter Umständen nicht mit ein. Diese liegen auf einem Gateway und könnten von der IT eingesehen werden.
Lösung: Die Compliance-Richtlinien müssen Teil der Produktentwicklung werden und Nutzerdaten dürfen nur verschlüsselt auf dem Gateway liegen.
Zugegeben, das hört sich alles sehr theoretisch an. Jedoch ist es das leider nicht. Hacker erkannten längst ihr eigenes Potenzial in IoT-Lösungen und nutzen die eine oder andere Sicherheitslücke bereits aus. Bekannt wurde beispielsweise das „Mirai-Botnetz“. Dabei handelte es sich um ein Netz aus Hunderttausenden schlecht gesicherten und ungepatchten Überwachungskameras. Mit ihnen führten drei US-Studenten im August 2016 eine der bis dahin größten Serien von „Denial-of-Service-Attacken“ durch und legten weite Teile des Internets lahm.
Eine ruhmlose Bekanntheit erlangte auch Fiat-Chrysler. Computerexperten hackten zu Demonstrationszwecken über mehrere Sicherheitslücken im Infotainmentsystem einen für den US-Markt hergestellten Jeep Cherokee aus der Ferne. Sie schalteten kurzerhand den Motor aus. Die Folge waren ein unschätzbarer Reputationsverlust und eine Rückrufaktion für 1,4 Millionen Fahrzeuge. Und auch der eingangs schon erwähnte intelligente Kühlschrank kann zum Ziel von Hackern werden. Ein Modell von Samsung hatte zwar nominell eine sichere Verbindung zum Internet, aber das dafür zuständige SSL-Zertifikat war fehlerhaft implementiert und erlaubte so „Man-in-the-Middle-Attacken“.
Die Hersteller sind also weiterhin gefordert, ihre IoT-Lösungen maximal abzusichern (IoT-Security) und sich auf Standards zu verständigen. Auch als Anwender sollte man sich mit den Aspekten der IoT-Security beschäftigen und diese beim Kauf berücksichtigen. Denn auch hier gilt: Eine Kette ist nur so stark wie das schwächste Glied.
Wie Sie neue Business-Modelle mit IoT finden, lesen Sie hier.
Welche Sicherheitsbedenken aber auch -lösungen für IoT-Anwendungen im industriellen und Konsumentenumfeld fallen Ihnen noch ein? Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedIn, Xing und Twitter.
Kategorie: Neuigkeiten & Highlights
Jederzeit und an jedem Ort arbeiten zu können – das soll die Zukunft des Arbeitsplatzes sein. Dennoch ist dieses in vielen deutschen Unternehmen bisher kaum möglich. Es stellt sich daher die Frage, warum alle von „Mobile First“ sprechen, doch fast niemand diesen Anspruch umsetzt? Woran scheitert die Umsetzung bislang? Und welche Herausforderungen gibt es dabei?
Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware „Die bislang geltenden Regeln in der Automobilindustrie werden neu definiert” – wahre Worte, die BVDW-Vizepräsident Achim Himmelreich da von sich gibt. Die Digitalisierung soll nun auch bei der Automobilbranche im Mittelunkt stehen, was konkret bedeutet, dass sich KFZ-Hersteller derzeit radikal neu erfinden. Dieter Zetsche, der CEO […]
Neue digitale Bereiche wie Cloud, Enterprise Mobility und IoT sind die Grundlage zur Transformation der klassischen IT-Security zur Cyber-Security. Im ersten Beitrag der VMware Cyber Serie erläutert Matthias Schorer die Grundlagen der neuen Cyberwelt, welche längst Einzug in unser Leben gefunden hat.
Keine Kommentare bisher