24. February 2016

Internet of Things: Sicherheit lässt zu wünschen übrig

Internet of Things: Security leaves much to be desired

Thema Nummer Eins an der diesjährigen CES (Consumer Electronics Show) in Las Vegas war das Internet of Things und die Erkenntnis, dass keines dieser neuen IoT Geräte mit einem verlässlichen Sicherheitskonzept aufwarten kann. Damit drängt sich die Frage auf, ob nun das IoT das Ende von Security und Privacy bedeutet, oder aber ob Security – oder genauer das Fehlen von Security – das Ende des IoT bedeutet.

Das Internet of Things (IoT) verbindet die reale Welt mit dem Internet. Intelligente Gegenstände sollen Menschen in ihren Tätigkeiten unterstützen und dabei nicht auffallen. So wird vom Kühlschrank bis zum Auto bald alles miteinander vernetzt sein und sich in einem konstanten Datenaustausch befinden. Aktuelle Gartner-Prognosen sagen voraus, dass bis 2020 rund 50 Milliarden verbundene Geräte zu erwarten sind. Dabei sollen Umsätze von IoT-Anbietern im selben Zeitraum auf über 300 Milliarden USD ansteigen. Diese Umsätze werden nicht etwa mit diesen Geräten selbst erzielt, sondern – analog zu den TV Konsolen – mit neuen Services und Dienstleistungen erwirtschaftet, welche dank der IoT Geräte überhaupt erst möglich sind. Angesichts dieser Zahlen wird klar, dass IoT nicht einfach nur ein weiterer Trend ist – nein, es ist die Zukunft des Geschäfts.

Fehlende Sicherheit

Letztendlich geht es um Informationen und Daten, welche von den verbundenen Geräten gesammelt und zur Auswertung und Steuerung von Geschäfsprozessen an eine leistungsfähige Cloud übermittelt werden. Laut IDC sollen bereits im Jahr 2020 etwa 4000 GB an Daten pro Person in der Cloud gespeichert sein. Grund genug, uns mit der Sicherheit dieser Daten zu befassen. Letztendlich hängt der Erfolg des Internet of Things von der Akzeptanz der Benutzer ab – gelingt es nicht deren Interessen zu wahren und speziell die Privatsphäre zu garantieren, wird der angekündigte Durchbruch des IoT wohl noch etwas auf sich warten lassen.

Gegenwärtig überbieten sich die IoT Gadget-Hersteller insbesondere im Consumer Segment mit neuen Features und verlassen sich bei der Sicherheit auf bekannte, vom Internet übernommene Konzepte. Aber nicht nur im Consumer Segment zeigen sich hier Schwächen. Auch die Entwickler-Communities, welche seit über zehn Jahren an IoT-optimierten Kommunikationsprotokollen wie CoAD oder Mqtt arbeiten, haben das „Security Problem“ auf ihren Pendenzenlisten immer noch nicht abgehackt. In Ermangelung geeigneter Methoden wird dann oftmals auf einfache User/Passwort Konzepte zurückgegriffen – bedauerlicherweise ein in diesem Kontext gänzlich ungeeignetes Verfahren. Nicht zuletzt deshalb, weil hier gar kein User vorhanden ist, welcher ein Passwort eingeben könnte.  

Security-Anforderungen an das IoT-Universum

Die Security-Anforderungen an ein IoT-Universum sind bedeutend komplexer. Dabei gilt es primär zwischen stationären und mobilen Geräten zu unterscheiden.

Bei stationären Geräten ist die Situation noch einigermassen überschaubar. Die Geräte befinden sich normalerweise in einem bekannten Netzwerk und kennen bzw. vertrauen ihren Kommunikationspartnern. Solche Geräte lassen sich auch einigermassen sicher in geschlossenen Netzwerken – z.B. für Smart-Homes – über gesicherte Wifi-Netzwerke betreiben.

Ganz anders sieht die Situation bei mobilen Geräten aus. Allen voran natürlich unsere Smartphones, bald aber auch intelligente, selbstfahrende Autos oder Leitsysteme jeglicher Art. Wifi-Security, Passwörter usw. scheitern hier, weil vorgängig keine Schlüsselvereinbarungen getroffen werden können. Dennoch müssen aber sowohl Sender, als auch Empfänger von Daten eindeutig und nachprüfbar identifiziert werden können. Zudem hat der Inhaber der Daten, also letztlich der Anwender, den Anspruch bestimmen zu können, welche Geräte ihn kontaktieren dürfen und welche Informationen er zur Verfügung stellen will. Vorbehaltlich der eben genannten Benutzerzustimmung muss dann zudem gewährleistet werden, dass die Geräte auch über entsprechende Netzwerke die Kommunikationsprotokolle tatsächlich kommunizieren können. Dabei sollen idealerweise keine zusätzlichen Kommunikationskosten, z.B. für GSM Daten, anfallen, unabhängig davon, auf welchem Kontinent man sich gerade befindet.

IoT-Security als interdisziplinäre Aufgabe

Sicher lassen sich an dieser Stelle noch weit mehr Anforderungen finden. Allerdings wird schon nach kurzer Überlegung deutlich, dass IoT-Security eine interdisziplinäre Aufgabe ist.

Die Hardware- und Gerätehersteller sind gefordert, den vertrauenswürdigen Benutzer durch entsprechende Trustet Platform Module oder zumindest durch fälschungssichere HW Cryptomodule zu ersetzten. Telco-Provider sind gefordert, neue Netzwerkdienste und nicht zuletzt Verrechnungsmodelle anzubieten. Letztlich sind künftige Serviceanbieter gefordert Businessmodelle zu entwerfen und Services anzubieten, welche die Privatsphäre des Kunden respektieren und diesem erlauben, massgeblichen Einfluss auf die Verwendung seiner Daten zu nehmen. Es darf bezweifelt werden, dass eine Definition der Verwendung der Daten und somit der Privatsphäre über die heute gängigen Praxis der „General Terms and Conditions“ ausreicht, um das Vertrauen der Kunden zu gewinnen. Ohne dieses Vertrauen wird es schwierig werden, den Kunden für kostenpflichtige Services zu motivieren.

Der Erfolg des IoT hängt also massgeblich davon ab, ob es gelingt den Gordischen-Security-Knoten zu durchschlagen. Dafür braucht es die Mitarbeit auf allen Ebenen. Hardware- und Infrastrukturhersteller sind genauso gefordert wie Standardisierungsgremien und Service-Anbieter. Letztlich werden die IoT Umsätze vorwiegend mit neuen Dienstleistungen erwirtschaftet werden. Die Qualität und damit der Erfolg der Services sind einzig von der Akzeptanz der Kunden abhängig und diese hängt davon ab, ob der Kunde seine Daten in Sicherheit wiegt oder nicht.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Lukas-Ruf-Header
«Ich möchte das Security-Angebot von ti&m noch benutzerfreundlicher gestalten»

Dr. Lukas Ruf ist einer der führenden Experten für Anwendungs-, System- und Netzwerksicherheit der Schweiz. Seit Februar ist er neuer Beirat bei ti&m und unterstützt uns in allen Security-Fragen.

find more information
Grafiken-3-EN-Dobler-Blogbild-rgb
Cybercrime – a Damoclean sword over companies and private individuals

Cyberattacks // Cybersecurity is the buzzword of the moment. Not a day goes by without reports of a cyberattack or hacked accounts in the news. Who is behind them? And what do the attackers want? An overview.

find more information
Blog-bild-16-17
AI as both a line of defense and a new threat

Artificial intelligence // Artificial intelligence is becoming an increasingly popular tool for the early detection of risks and to combat threats. Systems such as anomaly detection and behavioral biometrics proactively identify potential attacks or risks and can also be used to fight back against social engineering. But it’s not just the defenders who turn to AI; attackers aren’t shy about using the technology either.

find more information
Trust 750x410
Assurance nach ISAE 3000 für das ti&m Hosting

ti&m hat das Hosting nach dem ISAE 3000 Standard auf Wirksamkeit der FINMA Rundschreiben RS 2018/3 RS 2008/21 prüfen lassen. Im Interview erklärt Karsten Burger, und Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und welche Vorteile ti&m-Kunden davon bekommen. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

find more information
Blog-bild-10-11
The never-ending arms race between attackers and defenders

Insurance // When you look at the most famous cyberattacks of the past 20 years, a dramatic change can be seen in the last two to three years. At the same time, defensive tools have also evolved. Who is currently ahead of the game? A prototype being developed at FHNW is demonstrating where this development could be leading.

find more information
Blog-bild-18-19
Strong authentication, no compromises

ti&m security suite // Together with climate change, cyber security ranks as one of the five biggest global threats. Cyber criminals are employing ever more complex methods to get their hands on sensitive data. In an age of digital platforms, proper protection and secure access to confidential services are absolutely essential to reduce these cyber risks.

find more information