Sicherheit im Internet der Dinge Welche Sicherheitsrisiken bestehen und wie Sie diese beseitigen
Page 1 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Das Internet der Dinge (Internet of Things / IoT) ist ein Gebilde, bei dem Objekte, Tiere oder Menschen mit einem einzigartigen Identifikator ausgestattet sind. Weiterhin ist damit die Möglichkeit verbunden, Daten über ein Netzwerk ohne Interaktionen Mensch-zu-Mensch oder Mensch-zu-Computer zu übertragen. Das Internet der Dinge hat sich aus der Konvergenz der drahtlosen (wireless) Technologie, MEMS (Micro-Electromechanical Systems) und dem Internet entwickelt. Lesen Sie hier alles über die Sicherheitsrisiken im Zusammenhang mit dem Internet der Dinge. Erfahren Sie hier außerdem, welche Vorbereitungen getroffen werden müssen, um die Sicherheit gewährleisten zu können.
Sicherheitsrisiko: Internet der Dinge und Wearables Lawrence Garwin
Ende letzten Jahres schrieb ich über das Internet der Dinge (Internet of
Things, IoT) und kam dabei auf die Jetsons zu sprechen. Diese alte
Zeichentrickserie handelt von einer Familie des späten 21. Jahrhunderts, die
in fliegenden Autos herumreist und alle möglichen Geräte nutzt, um ihren
Alltag zu bewältigen. Dabei kann die gesamte Technik miteinander
kommunizieren. Mit einem bestimmten Aspekt dieses Konzepts sehen uns
jetzt konfrontiert, in einem sehr einfachen Sinn schon seit längerer Zeit:
tragbare intelligente Hilfsmitteln und Accessoires, sogenannte Wearables.
Solcherlei Technik ist nicht notwendigerweise bequem und in den
allermeisten Fällen auch nicht zu externer Kommunikation fähig, aber wir
benutzen sie schon eine ganze Weile. Das einfachste und vielleicht älteste
Beispiel ist eine simple tragbare Uhr, entweder als Armband- oder
Taschenuhr. Aber auch die Medizin versorgt uns seit einiger Zeit mit den
verschiedensten Gerätschaften, die man zu dieser Kategorie zählen könnte.
Das Hörgerät gehört wohl zu den am weitesten verbreiteten Exemplaren.
Page 2 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Allerdings zählen auch medizinische Implantate, wie etwa Herzschrittmacher
oder CI-Systeme, im weitesten Sinne dazu.
Heute befinden wir uns gerade einmal noch 50 Jahre vor der Ära der Jetsons
und der direkte Datenaustausch zwischen solchen Wearables steht
unmittelbar bevor. In kleinem Maßstab ist dies bereits heute möglich,
allerdings nur in Form einer 1:1-Kommunikation. Bestimmte Geräte aus dem
Fitness- und Medizinbereich können Datensammlungen per Bluetooth-
Verbindung auf PCs, Tablets oder Smartphones übertragen, wo dann
zusätzliche Softwareprozesse für die Aufbereitung und Präsentation der
Informationen sorgen.
Im „Internet of Things“ ist der Austausch jedoch deutlich komplexer und vor
allem umfangreicher: Der biometrische Sensor an Ihrem Handgelenk stellt
fest, dass Sie beispielsweise aufgrund von Sport oder körperlicher Arbeit
leicht überhitzt sind und schwitzen. In Folge dessen wird eine Nachricht an
das Thermostat Ihrer Hausheizung gesendet, um die Temperatur
anzupassen. Das Thermostat gleicht diese Anweisung mit den Daten der
biometrischen Sensoren der anderen Hausbewohner (und eventuell sogar
Gästen) ab und bestimmt den optimalen Kompromiss zwischen den
Bedürfnissen aller involvierten Personen. Dabei werden außerdem das
Wetter und der jeweils steigende oder sinkende Energieverbrauch der
Heizung sowie eventuell vorher festgelegte Grenzwerte berücksichtigt.
Sicherheitsrisiko durch Missbrauch
All das zum Internet der Dinge und zu Wearables klingt sehr spannend.
Allerdings gibt es wie bei jeder Technologie leider auch hier
Missbrauchsfälle. So berichteten die Medien im Januar 2014 von einem
Botnetz, das bereits heute auf Wearables und anderen Geräten mit
Internetanschluss ausgeführt wird. In diesem Fall war der Zweck des Botnets
zwar hauptsächlich die Generierung von E-Mail-Spam durch missbräuchliche
Nutzung privater Geräte (einige Heim-PCs wurden schon vor Jahren ohne
jede Kenntnis Ihrer Besitzer auf diese Weise umfunktioniert).
Nichtsdestotrotz sollte schon die einfache Tatsache, dass eine solche
böswillige Fernsteuerung möglich ist, Anlass zu großer Sorge sein.
Page 3 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Wie weit kann man dem nicht mit Bewusstsein ausgestattetem Gerät „A“
vertrauen, dass es verantwortungsvolle Anfragen (oder vertrauliche Daten)
an das ebenso seelenlose Gerät „B“ überträgt? Und wie weit verschärft sich
das Problem, wenn es sich bei einem dieser Geräte um ein Wearable
handelt?
Klassifizierung von Wearables
Dabei können wir diese Art von „tragbaren“ Geräten in zwei funktionale
Gruppen einteilen.
1. Die erste Gruppe besteht aus Geräten, die der reinen Überwachung
dienen und erfasste Informationen mit anderen Geräten teilen
können. Das trifft beispielsweise auf das Erfassen von
Körperfunktionen, Standort, Richtung, Bewegung und so weiter zu.
2. In die zweite Gruppe fallen Geräte, die unsere Körperfunktionen
direkt unterstützen oder sogar steuern.
Beide Gruppen sind durch Eindring- und Übernahmeversuche gefährdet. Die
erste Gruppe kann zwar nicht direkt physische Schäden anrichten, indirekt
jedoch schon. Das Gerät könnte etwa fehlerhafte Daten liefern, die zu einer
unangemessenen Reaktion des Trägers oder eines anderen Geräts führen.
Lebensgefährliches Sicherheitsrisikoa
Weitaus kritischer ist hingegen die zweite Gruppe. Wir haben bereits
Hörgeräte und Herzschrittmacher erwähnt. Dabei ist es schon seit einiger
Zeit möglich, Geräte für die Herzstimulation oder auch Insulinpumpen per
Fernverbindung zu überwachen. Welche katastrophalen Folgen es haben
könnte, wenn ein solches physiologisches Steuerungsgerät mit Malware
infiziert oder widerrechtlich übernommen wird, und sei es auch nur zu dem
scheinbar harmlosen Zweck der Versendung von Spam-E-Mail, kann sich
jeder selbst vorstellen. So wurde bereits 2012 vom berühmten (und
mittlerweile verstorbenen) Hacker Barnaby Jack gezeigt, wie vergleichsweise
leicht es ist, eine Insulinpumpe dazu zu bringen, ihre gesamten
Insulineinheiten auf einmal abzugeben und so den Träger umzubringen. Und
ein Forscher der Universität Massachusetts in Amherst konnte per
Funkverbindung einen implantierten Defibrillator deaktivieren.
Page 4 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Sicherheitsrisiko für das Unternehmen
Ein weiteres Risiko, zwar nicht für Leib und Leben aber dafür für die
Geschäftsintegrität, stellt der BYOD-Trend dar (Bring your own Device).
Welche Verbindungsmöglichkeiten könnte es zwischen den mitgebrachten
Geräten, Wearables und dem Firmennetzwerk geben? Glücklicherweise
lässt sich ein Großteil dieses Szenarios zumindest derzeit noch nicht
verwirklichen. Denn die Kommunikationsmethoden von tragbaren
intelligenten Hilfsmitteln und Accessoires sind aktuell noch überwiegend auf
Bluetooth beschränkt. Allerdings ist auch Bluetooth nicht gerade für seine
Verbindungssicherheit bekannt. Anspruchsvollere Geräte wie etwa Google
Glass sind WLAN-fähig, was funktional so viel wie eine direkte
Internetverbindung bedeutet. Es könnte durchaus sein, dass die Branche
einen neuen Kommunikationskanal entwickeln muss, der den
Datenaustausch im „Internet der Dinge“ robuster und sicherer macht. Er
muss hinausgehen über die bisherige Technik von drahtlosen Netzen für den
Internetzugang und Bluetooth-Verbindungen für harmlosere Geräte wie
Tastaturen, Trackballs oder Headsets.
Fazit
Tragbare intelligente Hilfsmittel und das „Internet der Dinge“ stellen
womöglich eine der größten Zwickmühlen unserer Zeit dar. Auf der einen
Seite ist tragbare Technologie nur ein weiteres neues Konzept von vielen
(auch wenn sie im Grunde bereits seit Jahrzehnten vorhanden ist). Auf der
anderen Seite ist der gesamte Bereich der Kommunikation zwischen Geräten
völlig ungetestet und sollte daher als nicht vertrauenswürdig gelten. Das gilt
solange, wie keine angemessenen sicheren Kommunikationstechnologien
entwickelt werden, mit denen die Integrität der entsprechenden
Datenaustauschvorgänge gewährleistet ist.
Über den Autor: Lawrence Garvin ist ein „Head Geek“ und technischer
Product Marketing Manager bei Solarwinds und ein Microsoft Certified IT
Professional (MCITP). Er hat neun Mal in Folge die MVP-Auszeichnung von
Microsoft in Anerkennung für seine Beiträge zum Microsoft TechNet WSUS-
Forum erhalten. Vor seinem Wechsel zu EminentWare (jetzt Teil von
Solarwinds) im Jahr 2009, bot Lawrence Garvin Fachwissen für
Page 5 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Unternehmen zu Windows Server Update Services (WSUS), einschließlich
Bereitstellung, Implementierung und Troubleshooting Beratung.
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar? Shamus McGillicuddy
Befürworter predigen, dass das Internet der Dinge (Internet of Things, IoT)
mit Business-Möglichkeiten in Milliardenhöhe winkt. Gleichzeitig ist es aber
möglicherweise ein Desaster für die Privatsphäre und die Sicherheit. Bevor
wir alles um uns herum mit dem Internet verbinden, sollten wir uns allerdings
zunächst einmal mit der Sicherheit beschäftigen.
Über die Security in Bezug auf das Internet der Dinge zu diskutieren, ist
schwierig. Der Grund dafür ist, weil das Konzept so gewaltige Ausmaße hat.
Wenn Sie „alles“ mit einer IP-Adresse versehen, wie behalten Sie dabei den
Überblick und die Kontrolle? Verbundene Geräte können Autos, Kühe,
Bohrinseln, medizinische Geräte, Kühlschränke und so weiter sein. Es gibt
keinen Perimeter, der all diese Ziele umfassen kann.
Bret Hartman ist Vize-Präsident und CTO (Chief Technology Officer) für
Security und Government Group bei Cisco. Er sagte: „Die Herausforderung
ist, dass wir all diese Felder so separat wie möglich halten. Die in diesen
Bereichen verwendeten Technologien tendieren dazu, sich auf ein spezielles
Areal zu fokussieren. In Bezug auf Security und das Internet der Dinge wird
es kein Universalkonzept geben.“
Firmen und individuelle Personen werden außerdem feststellen, dass Sie die
Kontrolle über ihre Daten komplett verlieren. Sie wissen nicht mehr, wo die
Informationen sich befinden und wohin sie transferiert werden. Als Firmen
von Consumerization getroffen wurden, also der Vermischung von Privat-
und Geschäftsbereichen, hat sich die Kontrolle über die Daten von der IT-
Abteilung zum Anwender verlagert. Die IT-Abteilungen versuchen sich immer
noch von diesem Schock zu erholen. Nun steht die nächste Veränderung
bereits vor der Tür.
Page 6 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
„Die Kontrolle verschiebt sich vom Anwender hin zu den Maschinen.“, sagte
Dipto Chakravarty. Er ist Vize-Präsident für Engineering und Products bei
ThreatTrack Security. „Wenn es sich in Richtung Maschinen verschiebt, ist
Konnektivität das Gegenteil von Sicherheit. Je mehr Verbindungen offen
sind, desto weniger Security bedeutet das. Das gilt zumindest, solange man
die Geschichte nicht angemessen in Schichten unterteilen kann.“, fügte er
an.
Sicherheit im Internet der Dinge: Es ist nicht einfach
Die „Dinge“ im Internet der Dinge zu dressieren ist eine gewaltige Aufgabe.
Security benötigt Rechenleistung und die meisten „Dinge“ sind nur mit einem
Minimum ausgestattet, wenn überhaupt.
„In der Regel sind diese Endgeräte nicht groß. Sie besitzen nicht viel
Rechenleistung und das wirkt sich im Speziellen auf den Bereich Security
aus.“, sagte Hartman. „Es gibt Glühbirnen, die sich mit IP-Adressen
ausstatten lassen. In diesen ist aber nicht viel Rechenleistung für die IT-
Sicherheit übrig.“, meinte er.
Weiterhin gibt es auch immer ein Betriebssystem, wenn wir von einem IP-
verbundenen „Ding“ sprechen. Betriebssysteme müssen sich aktualisieren
lassen. Ist das nicht der Fall, finden böswillige Hacker immer
Schwachstellen. Botnets freuen sich bereits auf Millionen an Neuzugängen in
Form von Zombie-Appliances und anderen „Dingen“.
Diese „Dinge“ kommunizieren und beeinflussen sich auch noch alle
gegenseitig.
„Wie viel kann schief gehen, wenn sich jemand in das Monitoring-System
einer Kuh hackt?“, fragte Erik Hanselman. Er ist leitender Analyst bei 451
Research. Es handle sich hier lediglich um passive Daten und da kann
eigentlich nicht viel passieren. Allerdings könnten die Daten über den
Gesundheitszustand der Kuh an ein anderes „Ding“ eines Bauernhofs
übertragen werden. Dieses verarbeitet die Daten und generiert somit wieder
Page 7 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
neue. Diese Daten verbreiten sich ebenfalls wieder und das ganze geschieht
über IP-Netzwerke.
„Dies sind normalerweise Pfade, die schlecht geschützt sind. Das größere
Problem sind weniger die Endgeräte. Allerdings erschaffen die Pfade der
Daten eine neue Angriffsfläche.“
„Was passiert, wenn sich jemand die Kontrolle über die Mikrowelle ergaunert
hat und dem Kühlschrank ständig mitteilt, er soll sich abschalten?“, fragte
Chakravarty von ThreatTrack. „Sie würden niemals darauf kommen, dass
etwas an der Mikrowelle faul ist. Der Anwender wird immer mehr aus der
Rechnung genommen. Möglicherweise haben wir ein Smartphone an uns,
das allerdings nicht nur ein Telefon ist. Es ist ein Sender und Empfänger, das
Informationen genau wie ein Router im Netzwerk propagieren kann.“, fügte
er an.
Security für das Internet der Dinge: Wie geht man die Sache an?
Einige Experten sind der Meinung, dass Netzwerk-Monitoring die Lösung des
Problems ist.
„Es geht mehr darum, die Netzwerk-Komponenten zu verwenden, um den
Datenverkehr all dieser Geräte zu überwachen. Sobald man Missbrauch
oder einen potentiellen Angriff vermutet, limitiert man den Traffic.“, mein
Ciscos Hartman. „Bei einem industriellen Kontrollsystem ändern Sie die
Konfiguration eines Roboters vielleicht mit einer Management-Konsole. Sie
würden aber nicht erwarten, dass sich die beiden Roboter-Arme gegenseitig
neu programmieren. Genauso können Sie das auf den Traffic adaptieren und
feststellen, dass da gerade etwas schiefläuft. Sie können den Datenverkehr
der Roboter kontrollieren und limitieren.“, meinte Hartman.
Für die Sicherheit beim Internet der Dinge wird auch eine Infrastruktur für
das Schlüssel-Management benötigen. Das gilt auch für das Identitäts-
Management. Diese Systeme müssen laut Earl Perkins in der Lage sein, in
die Milliarden zu skalieren. Perkins ist Vize-Präsident im Bereich Research
bei Gartner.
Page 8 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
„Wir müssen Wege finden, um Daten in solchen Umgebungen zu schützen.
Dabei ist es egal, ob es sich um ein IoT-Ding oder eine Zwischenstelle
handelt.“, fügte er an. „Unsere Sichtweise bei Verschlüsselungs-, Schlüssel-
und Identitäts-Management hat sich anzupassen. Wir müssen die
Ressourcen von Identitäts- und Betriebsmittel-Management kombinieren,
weil die Anwender zu ihren eigenen und persönlichen Cloud-Netzwerken
werden. Das Internet der Dinge, das Sie mit sich herumtragen und das Sie
zu Hause haben ist wie eine Cloud an Geräten, die Sie umgibt. Sie besitzen
eine Identität und die Geräte ebenso. Wie aber halten Sie die Beziehungen
zwischen Ihnen und diese Dingen aufrecht?“, fragte Perkins.
Das Internet der Dinge verlangt auch nach einem anspruchsvolleren Ansatz
für das Risiko-Management. Nicht alle Geräte im Internet der Dinge werden
brandneu sein. Unternehmen versehen ältere Geräte und Systeme mit IP-
Verbindungen und extrahieren Daten. Diese Altlasten sind einem höheren
Risiko ausgesetzt als ein Gerät, das von Grund auf als IP-Endgerät
entwickelt wurde.
„Es muss zusätzliche Intelligenz involviert sein, damit man mit das von den
älteren Datenquellen ausgehendem Risiko richtig adressieren kann.“, sagte
Hanselman von 451 Research.
Sicherheit beim Internet der Dinge: Wer ist für die Probleme
verantwortlich?
Fest steht, dass beim Absichern des Internet der Dinge viel Arbeit ansteht.
Bevor man allerdings an die Problematik selbst herangeht, muss man
zunächst evaluieren, wer dafür überhaupt verantwortlich ist. Milliarden an
neuen Geräten werden Daten sammeln und diese teilen. Dafür sorgt eine
breite Palette an Unternehmen. Wer kümmert sich aber um die Probleme?
Hanselman sagt, dass dies im Moment nicht ganz klar sei. Es sei nicht
einmal klar, wer für durch das Internet der Dinge verursachte Schäden
haftbar ist, die durch Sicherheits-Verletzungen ausgelöst wurden. „Sieht man
sich die derzeitigen Gesetze an, hat der Verlust der Privatsphäre in den USA
bisher keinen besonderen Wert.“, fügte er an.
Page 9 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Noch düsterer sieht es aus, wenn es um die Haftbarkeit bezüglich Hacks
geht, die für Schäden an Personen oder Sachgütern verantwortlich sind,
meinte Hanselman. Das Gesetz ist unklar über die Haftbarkeit, wenn zum
Beispiel jemand das Bremssystem eines Autos hackt, was wiederum zu
Verletzungen, Sachschäden oder sogar zum Tode führt. Ist der
Autohersteller oder der Einbruch über eine Sicherheitslücke verantwortlich?
„Irgendwann wird ein Präzedenz-Fall diese Sachlage klären. Im Moment ist
es allerdings eine Grauzone.“, meint Hanselman.
In vielen Fällen werden die Hersteller der „Dinge“ für das Internet of Things
nicht für die Security verantwortlich sein. Stattdessen wird man Unternehmen
in die Pflicht nehmen, die die Anwendungen für die Verbindungen
bereitstellen.
„Das Problem beim Absichern der Geräte wird möglicherweise bei denen
hängen bleiben, die einen Service durch das jeweilige Gerät anbieten.“,
meint Gartners Perkins. „Vielleicht ist das derjenige, der die Anwendung und
den Service anbietet. Vielleicht ist es auch der Service-Provider des
Netzwerks. Unter Umständen sind es auch beide. Ein großes Problem ist die
Definition der rechtlichen Verantwortlichkeit, wenn diese Geräte verrückt
spielen.“, fügte er an.
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen Tom Nolle
Die meisten Menschen benutzen das Internet, um sich über etwas zu
informieren oder zur Kommunikation. Der technische Fortschritt hat aber
auch ein weiteres Einsatzszenario für das Internet zum Vorschein gebracht:
Von der Heimvernetzung („Smart Home“) bis hin zur automatischen
Fahrzeugkontrolle ist über Sensoren, Controller und Software in einem M2M-
Web (Machine-to-Machine) alles möglich.
Dieses Internet der Dinge („Internet of Things“, IoT) ist der nächste große
Innovationstreiber für cloudbasierte Applikationen und Services. Das Internet
Page 10 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
der Dinge kann man sich dabei rein organisatorisch aufgeteilt in drei Cloud-
Bereiche vorstellen: Sensoren zur Aufnahme von Informationen, Controller
zur Beeinflussung der Umgebung sowie darauf aufbauende
Analysefunktionen.
Es ist ein interessanter Gedanke, sich die Welt so vorzustellen, als wäre sie
mit Milliarden Sensoren überzogen, die von Anwendungen und Anwendern
ausgelesen und verwertet werden können. Gleichzeitig wachsen damit aber
natürlich auch Bedenken zur Privatsphäre und alleine das schiere Ausmaß
so umfangreicher Sensordaten würde das Finden bestimmter Informationen
oder deren Interpretation sicherlich erschweren.
Anwender würden so auch potenziell zum Ziel unerwünschter Überwachung
und viele Aktivitäten wären plötzlich nicht mehr ganz so privat wie bisher.
Zudem könnten die Sensoren selbst das Ziel böswilliger DDoS-Angriffe
(Distributed Denial of Service) werden oder ganz einfach durch den Zugriff
zu vieler Nutzer überlastet werden.
Cloud-Computing kann für kritische IoT-Elemente einen Puffer schaffen, um
direkte Zugriffe darauf unnötig zu machen. Genauso könnte man sie auch
nutzen, um Anwendern Informationen und Kontrollmöglichkeiten in einfach
zu erreichenden Cloud-Services anzubieten.
Das Internet der Dinge kann nicht als chaotische Cloud aus Sensoren
bestehen, auf die jeder unkontrolliert Zugriff hat. Vielmehr muss das Internet
der Dinge als Ansammlung von Cloud-Services gedacht werden.
Wir haben inzwischen viel Wissen darüber, wie man Cloud-Infrastrukturen
bereitstellt, nutzt und auch absichert. Die Cloud wird das Internet der Dinge
nicht ersetzen, sondern verbessern.
IoT-Sensordaten in der Cloud
Informationen von IoT-Sensoren in der Cloud zu nutzen ist für Software-as-a-
Service (SaaS) wohl die attraktivste Möglichkeit. Jeder größere Cloud-
Provider könnte aufgrund dieser Sensordaten Cloud-Services anbieten.
Page 11 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Dabei dürften Internetanbieter und Telekommunikationsunternehmen in
diesem Bereich die größte Glaubwürdigkeit besitzen.
SaaS-Angebote auf Basis dieser Sensordaten könnten zudem der Startpunkt
für weitere Cloud-Services rund um das Internet der Dinge sein. Damit würde
die Konkurrenz wachsen und die Zuwachsrate im Internet der Dinge dürfte
stark steigen.
In einem realistischen IoT-Modell lesen verteilte Cloud-Apps Sensoren aus
und speichern die Informationen in Datenbanken, auf die Anwender
wiederum sicher zugreifen können. Hadoop gehört sicherlich zur ersten
Wahl, wenn wir über Daten-Storage für das Internet der Dinge sprechen, wo
Daten Orten zugeordnet werden und Sensortyp und andere Informationen
aufgenommen und interpretiert werden.
Aus Gründen der Latenz eignet sich dieses Datenbankmodell aber nicht für
alle Anwendungsfälle, vor allem wenn es um Zugriffe in Echtzeit geht. Flow
Services, wie zum Beispiel Amazons Flow Framework, könnten allerdings
eine Quelle für entsprechend rohe Sensordaten und damit ein
Anwendungsfall für Datenbanken sein.
Sicherheit von IoT-Controllern gewährleisten
IoT-Controller sind Netzwerkelemente, die das Verhalten von physischen
Systemen beeinflussen können. Schickt man einem Controller einen Befehl,
könnte die Ampel von Rot auf Grün umspringen. Möglich ist auch das Öffnen
eines Tors, das Auslösen eines Alarms und so weiter. Natürlich muss man
diese Controller noch besser absichern als die Sensoren.
Auf die meisten davon sollte man wohl öffentlich besser nie zugreifen
können, alle übrigen müssen auf höchstem Niveau abgesichert werden, da
es hierbei immerhin potenziell um die öffentliche Sicherheit geht.
Die Kombination aus Sensoren und Controllern bildet eine Management
Information Base (MIB), die häufig dazu verwendet wird, Status- und
Parameter-Kontrolle von Routern und Servern zu repräsentieren. Cloud-
Page 12 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Applikationen könnten damit in eine Variable schreiben, mit der man den
Status des Kontrollmechanismus ändert.
I2aex (Infrastructure-to-Application-Exposure) ist ein Vorschlag der Internet
Engineering Task Force (IETF) für ein auf Repositories basierendes
Framework, um die Netzwerkgeräte durch Applikationen kontrollieren zu
können. Netzwerk-Applikationen, die MIB-Daten lesen und manipulieren,
könnte man wiederum mit dem Internet der Dinge nutzen.
Sollten Cloud-Services direkten Zugriff auf die Controller haben? Oder sollte
es aus Sicherheitsgründen dazwischen einen Software-Gateway-Knoten
geben? Die letztgenannte Lösung könnte zugleich die logische
Transformation der benötigten Formate für Sensorereignisse übernehmen,
um Controller für industrielle oder andere Echtzeitprozesse zu adressieren.
Flow-basierte Mechanismen für die Verarbeitung von Sensorereignissen, die
man in der Cloud anwendet, könnte man erweitern, damit sich
Softwarekomponenten mit den Flows verknüpfen lassen. Viele Experten sind
aber der Meinung, dass Cloud-Services eher für die Analyse als für die
Kontrolle ausgelegt sein sollten.
Daten des Internets der Dinge in der Cloud analysieren
Die Analyse all der IoT-Daten erfolgt über einen Satz an Services, die diese
Informationen in Zusammenhang bringen, um jenseits der bloßen
Datenverarbeitung weitere nützliche Schlussfolgerungen daraus zu ziehen.
Verwendet man zum Beispiel das Internet der Dinge im Zusammenhang mit
Verkehrssignalen und Einsatzfahrzeugen, könnte man so die beste Route für
Rettungswagen oder die Feuerwehr herausfinden.
Das Ganze würde auf Sensordaten und verfügbare Signal-Kontroll-Punkte
basieren. Diese Analysen lassen sich zum Beispiel aber auch verwenden,
um zu vermeiden, dass persönliche Informationen ausgegeben werden. So
könnte ein Cloud-Service einen Treffpunkt für Freunde vorschlagen, ohne
deren momentanen Standort preiszugeben.
Page 13 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Entsprechende Analysen wären aus der Natur der Sache heraus Software-
as-a-Service und ließen sich als SOA-Prozesse (Serviceorientierte
Architektur) oder über REST-Ressourcen (Representational State Transfer)
nutzen. Zudem wären auch REST-basierte Cloud-Services für Controller
oder Datenbanken denkbar.
Das Internet der Dinge kann man sich so als eine Sammlung von Cloud-
Services vorstellen, die eine neue Generation an Sensoren und Controllern
repräsentieren. Zusätzlich zur besseren, schnelleren und konsistenteren
Implementierung könnte dieses „IoT-Cloud-Modell“ das Internet der Dinge
und Sicherheitsmechanismen der Cloud unter einen Hut bringen, um die
Sicherheit in beiden Bereichen zu verbessern.
Über den Autor:
Tom Nolle ist Präsident von CIMI, einem strategischen
Beratungsunternehmen im Bereich Tele- und Datenkommunikation.
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen Angela Orebaugh
Die Informations-Technologie entwickelt sich schnell weiter und die Security
kann nicht Schritt halten. Computing nimmt in unserem täglichen Leben
einen immer höheren Stellenwert ein. Von Autos über Industrie-Anlagen bis
hin zu Kühlschränken ist alles miteinander vernetzt und schickt oder
empfängt Daten von mobilen Applikationen und Cloud-Services. Wir
brauchen ganzheitliche Security-Ansätze, um das schnell wachsende
Internet der Dinge (IoT/Internet of Things) zu adressieren.
Ein Angriff auf ein intelligentes Thermostat scheint unwesentlich zu sein. Die
Datensicherheitsverletzung bei Target war allerdings das Resultat von
schlechter Security beim Klimatisierungs-, Lüftungs-Management- und
Kontroll-Systemen in den Geschäften des Einzelhändlers. Mehr als 70
Millionen Kunden wurden bei dem Einbruch kompromittiert. Andere IoT-
Angriffe mit hohem Stellenwert kamen ans Tageslicht, wie zum Beispiel das
Page 14 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Carna-Embedded-Device-Botnet, TRENDnets Web-Kamera-Exploit, den
Linux.Darlloz-Wurm und der Thingsbot-Angriff, den der Security-as-a-
Service-Provider Proofpoint entdeckt hat.
Fehlende Security
Die Vielfalt der IoT-Geräte erhöht die Angriffsfläche für Exploits und Malware
enorm. Ein Bericht von HP Security Research hat Resultate zu
Untersuchungen der Top-Ten-Verbraucher-Geräte zur Verfügung gestellt
und auf unglaublich viele gefundene Schwachstellen hingewiesen. Darunter
befanden sich keine Transport-Verschlüsselung, unsichere Web-
Schnittstellen, Autorisierungs- und Software-Schutz-Probleme, sowie
Datenschutz-Bedenken.
Schlechte IoT-Security ist das Resultat von zwei hauptsächlichen
Problemen:
Jeder will so schnell wie möglich neue Geräte auf den Markt bringen.
Deswegen ist Security nicht Teil des Designs. Zumindest gibt es hier
enorme Einschränkungen oder die Implementierung ist armselig.
Die Entwickler herkömmlicher Embedded-Systeme aus Bereichen
wie Herstellung oder Transport haben sich keine Gedanken über
Security-Kontrollmechanismen gemacht. Diese Systeme waren
ursprünglich von IP-Netzwerken isoliert (Air-Gap). Diese Air-Gaps
verschwinden nun sehr schnell und immer mehr industrielle Kontroll-
Systeme werden mit dem Netzwerk verbunden und entfernt
verwaltet.
Die HP-Studie hat aufgezeigt, dass es selbst einfache Security-Prinzipien,
die man seit mehr als 20 Jahren predigt, nicht in den Entwicklungs-Zyklus
des Produkts schaffen. Dazu gehören zum Beispiel starke Passwörter. Was
können wir also tun, um die IoT-Security zu verbessern?
Der Schutz des IoT hängt an einem neuen Security-Modell und -Standards.
Unsere derzeitigen Security-Modelle für PCs und Smartphones lassen sich
nicht auf IoT-Geräte abbilden.
Page 15 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Die meisten dieser Geräte sind in Sachen Prozessor- und Storage-Kapazität
limitiert. Industrielle Kontroll-Mechanismen installiert man häufig in wichtigen,
betrieblichen Umgebungen. Viele „intelligente“ Produkte fallen bei den
Kunden in die Rubrik „installieren und dann aus dem Sinn“. Unser derzeitiges
Security-Modell lässt sich nicht auf diesen Arten an IoT-Geräten umsetzen.
Wir sprechen hier von Updates, dem Einspielen von Security-Patches, dem
Installieren und Aktualisieren von Antiviren-Software und dem Konfigurieren
von Host-basierten Firewalls.
Zusätzlich zu einem neuen Security-Modell benötigt man unbedingt neue
Standards. Nur so garantiert man sichere und kompatible IoT-Geräte. Der
Verbraucher-Markt bei IoT ist halbherzig reguliert. Standards für Security und
Sicherheit sind eigentlich nicht vorhanden.
Andere Märkte wie zum Beispiel Medizin, Fertigung, Automotive und
Transport haben Security- und Sicherheits-Standards. Diese muss man
allerdings aktualisieren und IoT-Geräte aufnehmen. Einige Gruppen
befassen sich mit IoT-Standards. Dazu gehören Industrial Internet
Consortium, Thread, AllJoyn und das Open Interconnect Consortium.
Letzteres wurde im Juli 2014 von Broadcom, Dell, Intel, Samsung und
anderen Firmen gegründet. Es wird interessant, welcher Standard sich im
Endeffekt durchsetzt und die breiteste Akzeptanz findet.
Security-Maßnahmen für IoT
Bis neue Security-Modelle und -Standards entwickelt sind, sollten IoT-Geräte
mindestens die nachfolgenden Security-Praktiken implementiert haben.
Verwendung sicherer Entwicklungs-Praktiken. Die OWASP
Internet of Things Top Ten stellen eine gute Grundlage für Security-
Kontrollmechanismen zur Verfügung. Dabei geht es um
grundlegende Kontrollen wie zum Beispiel starke Authentifizierung
und sichere Web-Schnittstellen. Damit würden schon viele der
Security-Probleme adressiert, die von HP Fortify in IoT-Geräten für
Endverbraucher gefunden wurden.
Schutz der Daten. Bei IoT wandern Daten und die Netzwerk-
Grenzen sind vage. Um den Datenschutz zu garantieren, muss man
Page 16 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
die Daten sowohl bei der Übertragung als auch im ruhenden Zustand
angemessen absichern.
Offenlegung, wie PII (Persönlich identifizierbare Informationen)
behandelt werden. Die Produkt-Anbieter sollten klare Auskunft
geben, welche persönlichen Informationen gesammelt und geteilt
werden und wie man diese schützt.
Verschlüsseln, verschlüsseln und verschlüsseln.
Verschlüsselung ist eine entscheidende Komponente für IoT-
Security. Die Daten müssen zwischen der Übertragung von einem
Gerät auf ein anderes verschlüsselt sein. Das gilt auch zwischen
dem Gerät und den mobilen Apps, sowie anderen Netzwerken wie
zum Beispiel der Cloud. Zusätzlich sollten Software-Updates für das
Gerät verschlüsselt sein.
Führen Sie eine Security-Bewertung durch. Das IT-Security-Team
sollte eine eigene Security-Bewertung für das jeweilige Produkt
durchführen, um das Gerät, die Applikationen und Kommunikations-
Kanäle einschätzen zu können.
Wie können Unternehmen die IoT-Security verbessern? Während neue
Standards, Security-Modelle und sichere Geräte entwickelt werden, können
Security-Profis die nachfolgenden Schritte durchführen, um die Security bei
derzeitigen IoT-Geräten zu verbessern:
Schließen Sie IoT-Geräte in das Risiko-Management und in die
Monitoring-Strategien mit ein.
Machen Sie sich beim Internet der Dinge die gleichen Security-
Methoden zunutze, mit denen Sie auch Netzwerke und mobile
Geräte beschützen.
Erstellen Sie ein Betriebsmittel-Inventar aller Geräte und ein
segmentiertes Netzwerk, das von einer Firewall geschützt ist und
von einem IPS (Intrusion Prevention System) überwacht wird.
Aktivieren Sie so viel Endpunkt-Security wie möglich. Ändern Sie
dafür die Standard-Einstellungen und erschaffen Sie starke
Passwörter.
Führen Sie bei neuen Geräten aktive Scans durch.
Erstellen Sie eine Patching-Strategie für IoT-Geräte.
Page 17 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Benutzen Mitarbeiter Verbraucher-IoT-Geräte, sollten Sie verfügbare
Security-Funktionen wie zum Beispiel Verschlüsselung aktivieren, die
Standard-Einstellungen ändern und starke Passwörter kreieren.
Unternehmen könnten Produkte mit eingebauter Security kaufen. Hier sind
solche gemeint, die Daten verschlüsseln und verschlüsselte Software-
Updates zur Verfügung stellen. Unsere Anforderungen an Computing ändern
sich. Die Security muss daher pro-aktiv statt reaktiv sein. Einige IoT-Geräte
sind neu, viele andere hingegen entscheidend für die Sicherheit von
Menschen, Eigentum und Ressourcen. Sobald es eine
Datensicherheitsverletzung gibt, bei der Leben und Sicherheit in Gefahr sind,
ist es bereits zu spät.
Über die Autorin:
Angela Orebaugh, Ph.D., ist eine Technologie-Futuristin und eine
Vordenkerin mit 20 Jahren Erfahrung im Bereich Cybersecurity. Sie ist
leitende Wissenschaftlerin bei Booz Allen Hamilton. Dort führt sie Security-
Forschung bei physischen Cyber-Systemen und dem IoT (Internet of Things)
durch. Dr. Orebaugh hat außerdem den Kurs „Securing the Internet of
Things“ für die Universität von Virginia entwickelt, den sie dort auch
unterrichtet. Derzeit arbeitet Sie an Cybersecurity und Datenschutz für
intelligente Städte, Umwelt und Energieversorgung, sowie Verbraucher-
Elektronik.
Page 18 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
Kostenlose Onlineressourcen für IT-Experten TechTarget publiziert qualifizierte Medieninhalte im IT-Bereich, die Ihren
Informationsbedarf bei der Suche nach neuen IT-Produkten und
Technologien decken und Ihr Unternehmen somit gezielt in der
Strategieentwicklung unterstützen. Es ist unser Ziel, Ihnen durch die
Bereitstellung von Onlineressourcen zu den aktuellsten Themen der IT-
Branche die Kaufentscheidungen für IT-Produkte zu erleichtern und
kostengünstiger zu gestalten.
Unser Netzwerk an technologiespezifischen Webseiten erlaubt es Ihnen, auf
eine der weltweit größten Onlinebibliotheken zum Thema IT zuzugreifen und
anhand von unabhängigen Expertenmeinungen und Analysen, zahlreichen
Whitepapern, Webcasts, Podcasts, Videos, virtuellen Messen und
Forschungsberichten zu ausgewogeneren Kaufentscheidungen zu gelangen.
Unsere Onlineressourcen berufen sich auf die umfangreichen Forschungs-
und Entwicklungskompetenzen führender Technologieanbieter und
ermöglichen es Ihnen somit, Ihr Unternehmen für künftige
Marktentwicklungen und –herausforderungen zu rüsten. Unsere Live-
Informationsveranstaltungen und virtuellen Seminare geben Ihnen die
Möglichkeit, Ihre täglichen individuellen Herausforderungen im Bereich IT mit
herstellerunabhängigen Experten zu diskutieren.
Desweiteren können Sie in unserem Social Network, dem IT Knowledge
Exchange, praxisnahe Erfahrungsberichte mit Fachkollegen und Experten in
Echtzeit austauschen.
Was macht TechTarget so einzigartig? Bei TechTarget steht die Unternehmens-IT im Mittelpunkt. Unser
Redaktions- und Autorenteam und unser breites Netzwerk an
Industrieexperten bietet Ihnen Zugriff auf die neuesten Entwicklungen und
relevantesten Themen der Branche.
Page 19 of 19
Sicherheit im Internet der Dinge
Inhalt
Sicherheitsrisiko: Internet der Dinge und Wearables
Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?
Mit Cloud-Services die Sicherheit im Internet der Dinge erhöhen
Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen
TechTarget liefert klare und überzeugende Inhalte und umsetzbare
Informationen für die Profis und Entscheidungsträger der IT-Branche. Wir
nutzen die Schnelligkeit und Unmittelbarkeit des Internets um Ihnen in realen
und virtuellen Kommunikationsräumen hervorragende Networking-
Möglichkeiten mit Fachkollegen zur Verfügung zu stellen.
Weitere deutsche TechTarget Webseiten: