Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
  • Emerging Technologies & Privacy

Emerging Technologies & Privacy

Technologien im Wandel der Zeit – Was die Zukunft für uns bereithält

Die 1989 in dem Film „Zurück in die Zukunft II” von Regisseur Robert Zemeckis und Autor Bob Gale beschriebene Vision des Jahres 2015 ist sehr nahe an der heutigen Realität. So haben in weniger als 26 Jahren nicht nur Technologien wie Computer und Mobiltelefone Einzug in unseren Alltag gefunden, sondern vor allem auch sogenannte “Smart Devices” wie intelligente Kleidung, Brillen, Uhren und andere.[1] Diese „Smart Devices” verfügen oftmals über eingebettete Sensoren oder sind mit einer Vielzahl von Geräten über das „Internet der Dinge” (IoT) verbunden. So ermöglichen sie es, Aktivitätsmuster zu erstellen und zu berechnen, Wetter und Verkehrsaufkommen vorauszusagen oder Personen an Merkmalen wie Gesicht und Fingerabdruck zu identifizieren. Hierdurch erfährt die Gesellschaft Komfort in verschiedenen Lebensbereichen. Per Fingerabdruck lassen sich Türen öffnen oder Rechnungen bezahlen, das Licht und elektronische Geräte können per Sprachassistenten bedient oder Autos autonom eingeparkt werden.[2] Die rasante Geschwindigkeit, mit der an potentiell einsetzbaren Technologien geforscht wird, nimmt weiter zu, sodass in immer kürzeren Zeitabständen neue Innovationen zu erwarten sind.[3] Obwohl der Begriff „Internet der Dinge” erstmals 1999 in der Literatur erschien[4], gibt es immer noch keine allgemein akzeptierte Definition.[5] Einfach ausgedrückt besteht das Internet der Dinge, verwandt mit dem Begriff cyber-physisches System (CPS), aus einer Vielzahl von Geräten, Sensoren bzw. Hardware, Firmware und einer Internetverbindung. Ein Gerät bzw. „Ding“ kann hierbei ein Auto oder ein Kühlschrank sein, es kann allerdings auch ein ganzes Haus oder eine „intelligente Stadt” (Smart Cities) umfassen.

Steigender Bedarf an IoT-Security

Das IoT existiert bereits und beginnt, die Prozesse und Praktiken von Verbrauchern, Unternehmen und Industrie zu verändern. Um das Jahr 2020 werden IoT-Produkte weit verbreitet sein und den Zugang in unsere Wohnungen, Arbeitsplätze, Fahrzeuge und sogar Flugzeuge finden. Prognosen erwarten mehr als 50 Milliarden angeschlossene Geräte.[6] Der Austausch von Informationen zwischen diesen Geräten und unseren bestehenden Infrastrukturen birgt nicht ausschließlich Vorteile für Konsumenten, sondern auch ein Schadenspotenzial. Smart Devices stellen ein attraktives Angriffsziel für verschiedene Software- (z.B. Viren und Trojaner) und Hardwareangriffe (z.B. Seitenkanalangriffe) dar. Die Vernetzung der Komponenten untereinander eröffnet Angreifern darüber hinaus neue, bisher noch unbekannte Angriffsvektoren.[7] Aktuell sind verschiedene Arten von Produkten ohne ausreichende Absicherung an das Internet angeschlossen und wurden wiederholt zweckentfremdet, um beispielsweise DDoS-Attacken gegen soziale Medien, Online-Bezahldienste, Online-Videotheken und andere Unternehmen auszuführen. Sicherheitslücken können, vor allem im Gesundheitswesen, erhebliche Auswirkungen haben, bis hin zur Gefahr für Leib und Leben. Zu den Risikoträgern gehören Medizinprodukte wie Dialysegeräte, Insulinpumpen und Herzschrittmacher.[8] Smart Homes und Smart Cities sind unter anderem Angriffen auf das Elektrizitätsnetz ausgesetzt. Durch Einsatz von Smart Devices wie Klima- bzw. Heizgeräte und Wasserboiler ergibt sich die Möglichkeit für Angreifer, die Last in einem Stromnetz zu manipulieren. Solche Angriffe können zu Überspannungen und kaskadierenden Ausfällen von Stromgeneratoren führen, wobei es auch zu einem totalen Blackout kommen kann (MadIoT attack).[9] Die Verletzbarkeit von Unternehmen, staatlicher und ziviler Infrastruktur, der damit verbundene Schaden und insbesondere die Gefahr für die Gesundheit unterstreichen die Relevanz der Etablierung von IoT-Sicherheit.

Ein „Security Guide“ für eine sichere IoT-Umgebung

Da IoT-Systeme oftmals besondere Eigenschaften (Ressourcenbeschränkungen, physikalische Zugreifbarkeit oder Einschränkungen der Echtzeitfähigkeit) mit sich bringen, ist es wichtig zunächst zu verstehen, vor welchen Herausforderungen Sicherheitsexperten stehen, um einen verlässlichen Sicherheitsansatz zu erreichen. Aufgrund der aufgezählten Besonderheiten ist es meist schwierig, bestehende Schutzmaßnahmen und Sicherheitskonzepte der klassischen IT anzuwenden. An der Entwicklung und dem Aufbau von IoT sind zudem mehrere Parteien (Hardware-Hersteller, Drittanbieter) über verschiedene Domänen (Systemdesigner, Softwareentwickler) hinweg beteiligt, die sich der Aktivitäten des jeweils anderen nicht zwangsläufig immer bewusst sind.[10] Abhängigkeiten untereinander, zwischen Parteien und Domänen, als auch zwischen den einzeln vernetzten und implementierten IoT-Produkten können schnell zu physisch exponierten und allgemein unsicheren Umgebungen führen. Die enge Zusammenarbeit zwischen Systemdesignern und Sicherheitsexperten aus der Industrie ist daher unerlässlich. Referenzarchitekturen und Standards existieren in diesem noch sehr jungen Markt bisher nicht, daher haben IoT-Entwicklungsteams die Aufgabe Pionierarbeit zu leisten. Es ist jedoch essentiell, von Beginn an geeignete Sicherheits- und Datenschutzmaßnahmen in cyber-physischen Systemen zu integrieren. Mit den bis heute gewonnenen Erfahrungen lassen sich Basisanforderungen aus der klassischen IT adaptieren und auf die Sicherheit von IoT-Produkten übertragen. Da oftmals datenschutzsensitive Informationen verarbeitet werden, gilt es die Privatsphäre der Verbraucher zu schützen und den Zugang zu personenbezogenen und Gesundheitsdaten zu begrenzen. Dies gilt gleichermaßen für Geschäftsdaten und andere sensible Informationen. Grundsätzlich ist es empfehlenswert die Vorgaben der DSGVO (vor allem Security and Privacy by Design) zu berücksichtigen. Bei IoT-Systemen muss die Zugangskontrolle und die Prävention des Kontrollverlustes einen besonderen Fokus haben. Letzteres kann bei cyber-physischen Systemen auch zu Personenschäden führen.[11]

Gemäß einer Studie von Wind River muss für eine sichere Implementierung die Sicherheit während des gesamten Gerätelebenszyklus vom ersten Entwurf an berücksichtigt werden.[12] Hierzu gehört auch der sichere Betrieb, welcher das sichere Booten, die Zugriffskontrolle, Geräteauthentifizierung, Firewalling und Intrusion Prevention-Systeme beinhaltet. Auch sind ein Update- und Patch-Konzept unerlässlich.

Ein guter Ausgangspunkt und Muster hierfür ist das Building Security in Maturity Model (BSIMM). Bestehende Prozesse und zu verarbeitende Daten können mit dem Modell verglichen und Unterschiede identifiziert werden, um festzustellen, welche zusätzlichen Aktivitäten sinnvoll sind. Ein ebenfalls essentieller Teil für ein ganzheitliches Sicherheitskonzept ist eine Bedrohungsanalyse auf Basis einer bewährten Referenz wie beispielsweise das Open Web Application Security Project, welches unter anderem die Top 10 Angriffsszenarien für IoT-Systeme nennt. Darauf aufsetzend sind auch bei IoT-Netzen Sicherheitsaspekte der Softwareentwicklung, wie sie von IEEE Cybersecurity Secure Design beschrieben werden, anzuwenden.

Ein Blick in die Zukunft

Die Folgen der Innovationen und die zunehmende Abhängigkeit von der Informationstechnologie werden in den nächsten Jahren wahrscheinlich weitaus größer in Umfang und Wirkung sein als je zuvor. Geräte, die mit minimalen Sicherheitsanforderungen und Tests entwickelt und eingesetzt werden sowie eine ständig wachsende Komplexität der Netzwerke können zu weitreichenden Schwachstellen in staatlichen Infrastrukturen und Systemen der Unternehmen führen. Diese Entwicklungen werden die Cyberabwehr und das operative Handelsgeschäft vor Herausforderungen stellen, aber auch neue ökonomische Möglichkeiten schaffen.[13]

Die Sicherheit sowohl auf Geräte- als auch auf Netzwerkebene ist entscheidend für den erfolgreichen Betrieb des IoT. Dieselbe Intelligenz, die es Geräten ermöglicht, ihre Aufgaben zu erfüllen, muss  ihnen auch ermöglichen, Bedrohungen zu erkennen und abzuwehren. Glücklicherweise erfordert dies keinen revolutionären Ansatz, sondern eine Weiterentwicklung von Maßnahmen, die sich in IT-Netzwerken bewährt haben, angepasst an die Herausforderungen und Eigenschaften der angeschlossenen Geräte.

 

 


[1] Vgl. Frankfurter Allgemeine: Wie viel Zukunft ist wahr geworden?

[2] Vgl. NetGain Studie: We all live in the computer now.

[5] Vgl. Federal Trade Commission: Privacy & Security in a Connected World.

[8] Vgl. Independent Security Evaluators: Securing Hospitals - A research study and blueprint.