Email to someoneTweet about this on TwitterShare on FacebookShare on LinkedIn

Cyber Security

Blog: Cyber-Security, Ausgabe 6, Oktober 2018

Cyber Security II – Risiken und Lösungsansätze im IoT

Von Daniel Joseph

Die Welt der vernetzen Objekte stellt sich durch diverse Sicherheitslücken als allgemeines Problem dar. Dies wirkt sich sowohl auf den privaten Bereich der Nutzer, als auch auf die Unternehmen aus. Daher ist es von großer Bedeutung, für die verschiedenen Segmente mögliche Lösungsansätze auszuarbeiten und in der Praxis anzuwenden. Das IoT bringt nicht nur Chancen mit sich, simultan sind die Risiken gewaltig. Gründe hierfür sind u.a. die Komplexität der IoT-Projekte, die Vielzahl an Schnittstellen und Kommunikationsverbindungen sowie die Vielfalt an Gerätetypen.53

Daten- und Informationssicherheit

Die Geräte mit Internetzugriff enthalten Betriebssysteme in deren Firmware. Da bei der Entwicklung dieser Betriebssysteme, die Prioritäten nicht auf die Sicherheit gelegt wurden, weisen eine Vielzahl der Objekte im IoT gewisse Schwachstellen auf. Hier ein kleines Beispiel dazu, im Jahr 2013 hat sich ein Unbekannter mit einem Baby-Monitor verbunden und konnte dadurch ein kleines Kind belauschen. Diese Veranschaulichung verweist auf ein einschneidendes Risiko im IoT und lässt sich auf diverse Bereiche anwenden, wie z.B. die Manipulation der Temperatur eines Kraftwerkes oder die Steuerung der Türverriegelung und Bremsen in vernetzten Fahrzeugen. Für Verbraucher und Unternehmen ist es signifikant die Komplexität dieser Sicherheitslücken sich vor Augen zu führen. Die Aufnahme neuer Endgeräte in das bestehende Netzwerk zwingt die Unternehmen Risiken und Lösungsansätze daher, diesem Prozess eine größere Beachtung zu widmen. Im Vordergrund stehen automatisierte Geräte, welche miteinander kommunizieren. Die sogenannten „Cyber-Angriffe“ z.B. DDoS könnten sonst die Ursache für unzufriedene Kunden und Unternehmensverluste sein.54

An dieser Stelle lässt sich erwähnen, dass die Unternehmen, welche den sogenannten „Bring-your-own-Device-Trend“ verfolgen, mit Schwierigkeiten konfrontiert werden. Als Beispiel: Heimarbeiter können von ihrem Hausnetzwerk auf das Firmennetzwerk zugreifen.55 „In diesen Haushalten finden sich in 25 Prozent aller Fälle Smart Devices, die sich ebenfalls ins Netzwerk eingewählt haben. Es ist nicht schwer, sich vorzustellen, was dadurch alles passieren kann.“56 Neuen Erkenntnissen nach, haben Sicherheitsexperten die Linux – Mal-ware entdeckt. Diese befällt vor allem Geräte im IoT. Der sogenannte Schädling wurde im Arbeitsspeicher ausfindig gemacht. Mittels eines Neustarts, kann diese Malware entfernt werden. Da IoT Geräte selten neugestartet werden, ist dieser Angriff raffiniert angesetzt und der Fehler kann lange Zeit unentdeckt bleiben.57

Zusammengefasst lässt sich sagen, dass eine Infektion durch folgende Ursachen ausgelöst werden kann:

  • veraltete Firmware
  • nicht geänderte Login Daten
  • Fehler einer Firewall
  • Veraltete Krypto-Standards oder schlecht implementierte Sicherheitsprotokolle

Durch diese genannten Sicherheitslücken rückt ein weiteres Problemfeld in den Vordergrund. Die smarten Geräte bedürfen einer Vielzahl an regelmäßigen Upgrades, womit die Unternehmen bereits überfordert sind. Hinzu kommen noch die riesigen Datenmengen, welche einen großen Teil der Serverkapazitäten in Anspruch nehmen. Für die kommende Zeit ist eine gewaltige Aufrüstung deshalb notwendig. 58 Ein relevanter Faktor stellt die Kompatibilität der Geräte untereinander dar. Momentan versucht sich jeder Hersteller an einer eigenen Plattform. Für die Nutzer stellt dies eine Barriere zur Nutzung von verschiedenen Geräten dar. Dies lässt sich am Beispiel eines Fitnessarmbandes verdeutlichen. Ändert der Nutzer den Hersteller, so beginnen die Daten ebenfalls bei null. Die bereits bestehenden Daten, lassen sich nicht auf das neue Gerät oder die dafür vorgesehene App übertragen. Jeder dieser Geräte trackt und speichert die Daten auf eigener Art und Weise. Selten gibt es Hersteller, welche auf Gemeinsamkeiten setzen. Das Phänomen der Kompatibilität soll attraktiver werden. Hierfür gibt es bereits Firmenzusammenschlüsse. 59

Ein weiteres Risiko führt das „smart Home“ an. Die Geräte stellen selbstständig eine Verbindung her, indem sie den Router mittels UPnP so ausgestalten, dass eine Portweiterleitung entsteht. Dies ermöglicht den Geräten auch außerhalb des Heimnetzwerkes zu kommunizieren. Die Schutzfunktion des Routers und der Firewall werden dadurch ausgeknockt und eine Schadsoftware wurde bereits im Netzwerk integriert. Unbekannte können jederzeit dieses Defizit ausnutzen und in die Privatsphäre des Gerätenutzers eindringen.60 Die Thematik eines Sicherheitskonzepts, das die Verfügbarkeit des Datenschutzes inkludiert, wird in der heutigen Zeit auch als e-security 4.0 für das Internet der Dinge bezeichnet. Security ist in Bereichen wie der Finanzbranche, Transportindustrie, Medizintechnik bis hin zur Energiebranche ein gegenwärtiges Thema und sollte entsprechend dem IoT angepasst werden. Es existieren eine Vielzahl an Unternehmen ohne jegliche Berührungspunkte mit IKT Themen. Hierfür gibt es bereits Drittanbieter, welche die Verwaltung von e-Security einbetten und den gesamten Produktlebenszyklus verwalten.

Da es Produkte mit langen Lebenszyklen gibt, sind vorzugsweise an dieser Stelle, intelligente Lösungen gefragt. Durch die kontinuierlich neuen Technologien, muss der Schutz ständig angepasst werden.61 „Dies ist ein Zukunftsmarkt, welcher sich ins-besondere in den kommenden Jahren bemerkbar machen wird.“62 Das e-security 3.0 bezieht sich auf die Vernetzung der Geräte untereinander, so wie es im IoT bekannt ist. Es werden Angriffsvektoren und Schnitt- Risiken und Lösungsansätze stellen herangezogen. Die Erweiterung hiervon ist e-security 4.0 welches das gesamte Management des Produktlebenszyklus inkludiert.63 Das sogenannte Schlüsselmanagement ist ein zentraler Bestandteil der IT-Security. Laut der IoT Studie der „COMPUTERWOCHE“ und „CIO“ haben bisher nur 15% der Firmen, IoT-Projekte realisiert. In den kommenden Jahren sollen jedoch die Investitionen steigen. Das Hemmnis in der Implementierung ist und bleibt die Sicherheit.

Eine Untersuchung auf dem Jobportal „joblift.de“ verdeutlicht ebenfalls diese Problematik. Im vergangenen Jahr, wurden 2.573 IoT-Experten gesucht. Für den Bereich der IT-Sicherheit, waren es 9.271 ausgeschriebene Stellen. Sicher ist, dass die entwickelten Neuheiten für das IoT erst in mehreren Jahren produktiv eingesetzt werden und sich dementsprechend rentieren. Daher ist ein gegenwärtiges Handeln für die Unternehmen entscheidend. Es stellt sich bereits die Frage, was nach dem Internet der Dinge ansteht?64 „Ziel ist, durch Kenntnisse über die nächste Version des Internet of Things die Dauer bis zur produktiven Phase/Nutzung des Internet of Things zu verkürzen.“65

Das IoT hat den Gipfel der Erwartungen erreicht. Die vielzitierte Hype Cycle der Analysten von Gartner besagt, dass sich das IoT bereits am Scheitelpunkt befindet. Es tritt in die Phase der Desillusionierung ein.66 Risiken und Lösungsansätze 67 aufgrund dessen wird der Einsatz des Internet der Dinge nicht nur geplant, sondern auch intensiv gefördert. In Europa wird ab dem Jahr 2018 vorgeschrieben, dass jeder Neuwagen mit einem Internetzugang ausgestattet sein muss. Mittels eines serienmäßig integrierten Telematik System, können die Fahrzeuge mit Dinge kommunizieren. Diese Car2X-Kommunikation, ermöglicht zum Beispiel, die Information über einen frei-gewordenen Parkplatz. Ein Kreuzungsassistent soll Fußgänger erkennen und mit Ampeln und dem Gegenverkehr kommunizieren können. Die Fahrzeuge sind dadurch sicherer, komfortabler und umweltschonender.

Ebenso findet eine Entwicklung im Bereich des Gesundheitsmanagements statt. Mittels des Quantify-Yourself-Trends, sollen persönliche Daten über Sensoren erfasst werden. Die Krankenkassen können diese Informationen analysieren und den Beitrag dementsprechend anpassen.68 Hier verdeutlicht sich wieder die Problematik des Datenschutzes. Das Internet der Dinge wird zu einem essenziellen Lebensbestandteil werden. „Das Internet der Dinge wird die Art und Weise verändern, in der wir leben, lernen, arbeiten und miteinander kommunizieren und interagieren werden.“69 Die Rede wird dann nicht mehr von smart home oder smart things sondern von smart cities.

Kommentar

Das Internet und die damit verbundenen Komponenten sind bereits ein fester Bestandteil des heutigen Zeitalters. Die Menschheit befindet sich in der Etappe des IoT, welches für viele ziemlich abstrakt erscheint. Umso wichtiger ist es, die Umgebung damit vertraut zu machen, da das Internet und dessen Entwicklung nicht mehr aufzuhalten ist. Das Internet der Dinge ermöglicht die Vernetzung von verschiedenen Objekten. Innerhalb dieser Kommunikation werden Daten direkt verarbeitet. Die beschriebenen Risiken und Lösungen umfassen verschiedene Aspekte des IoT und beziehen sich im Allgemeinen auf die IT-Sicherheit und demnach auch auf den Datenschutz.

Eine klare Definition des Rechtsrahmens in Bezug auf das IoT würde die Thematik für die Unternehmen und Privatpersonen transferieren. Jedoch sollte die kritische Frage gestellt werden, ob durch diese breit gefächerte Vernetzung, eine Gewährleistung der Privatsphäre überhaupt noch möglich ist. As Pew Research Center hat hierzu einige Meinungen gesammelt. Die befragten Personen empfinden das IoT als Lebenserleichterung, gleichzeitig aber auch als Datenschutzverletzung. Die Privatsphäre wird vollständig ausgeblendet.70 Der REX Gründer Jeff Michalski lässt sich wie folgt zitieren: „Irgendwann verlieren die Menschen noch die Lust daran, ihre Handlungen und Gedanken von Geräten verfolgbar zu machen. Unsere Kontrollgesellschaft fühlt sich bedrückend an, nicht befreiend.“71

Über Ihre Meinungen oder ideenreiche Diskussionen sowie Kritik – freue ich mich sehr!

Bis bald und herzliche Grüße aus Frankfurt!

 

 

Portrait

Daniel Joseph

Practice Lead Germany
Technology, Data, Digital, Strategy & Change

Morgan Philips Executive Search Germany

 

 

 

 

 

 

Verweise

53 Vgl. Channelpartner.de, 2016, Zugriff: 01.11.2016

54 Vgl. FAZ.Blog, 2016, Zugriff: 03.12.2016

55 Vgl. IBM Experts, 2016, Zugriff: 03.12.2016

56 Ebenda, Zugriff: 03.12.2016

57 Vgl. Computerwoche, 2015, Zugriff: 07.12.2016

58 Vgl. ebenda, Zugriff: 07.12.2016

59 Vgl. ebenda, Zugriff: 07.12.2016

60 Vgl. bsi-fuer-buerger, (o.J.), Zugriff: 12.01.2017

61 Vgl. Bub/Wolfenstetter, 2014, S. 29 ff.

62 Ebenda S. 31

63 Vgl. ebenda, S. 31

64 Vgl. Informatik Aktuell, (o.J.), Zugriff: 20.01.2016

65 Ebenda, Zugriff: 20.01.2016

66 Vgl. ebenda, Zugriff: 20.01.2016

67 Informatik Aktuell, (o.J.), Zugriff: 20.01.2016

68 Vgl. ebenda, Zugriff: 20.01.2016

69 Ebenda, Zugriff: 20.01.2017

70 Vgl. CIO, 2014, Zugriff: 22.01.2017

71 Ebenda

Email to someoneTweet about this on TwitterShare on FacebookShare on LinkedIn

Es kann nicht mehr kommentiert werden.