Internet of Things: Sicherheit lässt zu wünschen übrig

Von Harald Böttcher - 24. Februar 2016

Thema Nummer Eins an der diesjährigen CES (Consumer Electronics Show) in Las Vegas war das Internet of Things und die Erkenntnis, dass keines dieser neuen IoT Geräte mit einem verlässlichen Sicherheitskonzept aufwarten kann. Damit drängt sich die Frage auf, ob nun das IoT das Ende von Security und Privacy bedeutet, oder aber ob Security – oder genauer das Fehlen von Security – das Ende des IoT bedeutet.  

Das Internet of Things (IoT) verbindet die reale Welt mit dem Internet. Intelligente Gegenstände sollen Menschen in ihren Tätigkeiten unterstützen und dabei nicht auffallen. So wird vom Kühlschrank bis zum Auto bald alles miteinander vernetzt sein und sich in einem konstanten Datenaustausch befinden. Aktuelle Gartner-Prognosen sagen voraus, dass bis 2020 rund 50 Milliarden verbundene Geräte zu erwarten sind. Dabei sollen Umsätze von IoT-Anbietern im selben Zeitraum auf über 300 Milliarden USD ansteigen. Diese Umsätze werden nicht etwa mit diesen Geräten selbst erzielt, sondern – analog zu den TV Konsolen – mit neuen Services und Dienstleistungen erwirtschaftet, welche dank der IoT Geräte überhaupt erst möglich sind. Angesichts dieser Zahlen wird klar, dass IoT nicht einfach nur ein weiterer Trend ist – nein, es ist die Zukunft des Geschäfts.

Fehlende Sicherheit

Letztendlich geht es um Informationen und Daten, welche von den verbundenen Geräten gesammelt und zur Auswertung und Steuerung von Geschäfsprozessen an eine leistungsfähige Cloud übermittelt werden. Laut IDC sollen bereits im Jahr 2020 etwa 4000 GB an Daten pro Person in der Cloud gespeichert sein. Grund genug, uns mit der Sicherheit dieser Daten zu befassen. Letztendlich hängt der Erfolg des Internet of Things von der Akzeptanz der Benutzer ab – gelingt es nicht deren Interessen zu wahren und speziell die Privatsphäre zu garantieren, wird der angekündigte Durchbruch des IoT wohl noch etwas auf sich warten lassen.

Gegenwärtig überbieten sich die IoT Gadget-Hersteller insbesondere im Consumer Segment mit neuen Features und verlassen sich bei der Sicherheit auf bekannte, vom Internet übernommene Konzepte. Aber nicht nur im Consumer Segment zeigen sich hier Schwächen. Auch die Entwickler-Communities, welche seit über zehn Jahren an IoT-optimierten Kommunikationsprotokollen wie CoAD oder Mqtt arbeiten, haben das „Security Problem“ auf ihren Pendenzenlisten immer noch nicht abgehackt. In Ermangelung geeigneter Methoden wird dann oftmals auf einfache User/Passwort Konzepte zurückgegriffen – bedauerlicherweise ein in diesem Kontext gänzlich ungeeignetes Verfahren. Nicht zuletzt deshalb, weil hier gar kein User vorhanden ist, welcher ein Passwort eingeben könnte.  

Security-Anforderungen an das IoT-Universum

Die Security-Anforderungen an ein IoT-Universum sind bedeutend komplexer. Dabei gilt es primär zwischen stationären und mobilen Geräten zu unterscheiden.

Bei stationären Geräten ist die Situation noch einigermassen überschaubar. Die Geräte befinden sich normalerweise in einem bekannten Netzwerk und kennen bzw. vertrauen ihren Kommunikationspartnern. Solche Geräte lassen sich auch einigermassen sicher in geschlossenen Netzwerken – z.B. für Smart-Homes – über gesicherte Wifi-Netzwerke betreiben.

Ganz anders sieht die Situation bei mobilen Geräten aus. Allen voran natürlich unsere Smartphones, bald aber auch intelligente, selbstfahrende Autos oder Leitsysteme jeglicher Art. Wifi-Security, Passwörter usw. scheitern hier, weil vorgängig keine Schlüsselvereinbarungen getroffen werden können. Dennoch müssen aber sowohl Sender, als auch Empfänger von Daten eindeutig und nachprüfbar identifiziert werden können. Zudem hat der Inhaber der Daten, also letztlich der Anwender, den Anspruch bestimmen zu können, welche Geräte ihn kontaktieren dürfen und welche Informationen er zur Verfügung stellen will. Vorbehaltlich der eben genannten Benutzerzustimmung muss dann zudem gewährleistet werden, dass die Geräte auch über entsprechende Netzwerke die Kommunikationsprotokolle tatsächlich kommunizieren können. Dabei sollen idealerweise keine zusätzlichen Kommunikationskosten, z.B. für GSM Daten, anfallen, unabhängig davon, auf welchem Kontinent man sich gerade befindet.

IoT-Security als interdisziplinäre Aufgabe

Sicher lassen sich an dieser Stelle noch weit mehr Anforderungen finden. Allerdings wird schon nach kurzer Überlegung deutlich, dass IoT-Security eine interdisziplinäre Aufgabe ist.

Die Hardware- und Gerätehersteller sind gefordert, den vertrauenswürdigen Benutzer durch entsprechende Trustet Platform Module oder zumindest durch fälschungssichere HW Cryptomodule zu ersetzten. Telco-Provider sind gefordert, neue Netzwerkdienste und nicht zuletzt Verrechnungsmodelle anzubieten. Letztlich sind künftige Serviceanbieter gefordert Businessmodelle zu entwerfen und Services anzubieten, welche die Privatsphäre des Kunden respektieren und diesem erlauben, massgeblichen Einfluss auf die Verwendung seiner Daten zu nehmen. Es darf bezweifelt werden, dass eine Definition der Verwendung der Daten und somit der Privatsphäre über die heute gängigen Praxis der „General Terms and Conditions“ ausreicht, um das Vertrauen der Kunden zu gewinnen. Ohne dieses Vertrauen wird es schwierig werden, den Kunden für kostenpflichtige Services zu motivieren.

Der Erfolg des IoT hängt also massgeblich davon ab, ob es gelingt den Gordischen-Security-Knoten zu durchschlagen. Dafür braucht es die Mitarbeit auf allen Ebenen. Hardware- und Infrastrukturhersteller sind genauso gefordert wie Standardisierungsgremien und Service-Anbieter. Letztlich werden die IoT Umsätze vorwiegend mit neuen Dienstleistungen erwirtschaftet werden. Die Qualität und damit der Erfolg der Services sind einzig von der Akzeptanz der Kunden abhängig und diese hängt davon ab, ob der Kunde seine Daten in Sicherheit wiegt oder nicht.

  • Harald Böttcher

    Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Kommentieren

* Erforderliche Angaben