Lückenlose Kette notwendig
Sichere IoT-Kommunikation
Fortsetzung des Artikels von Teil 1
Risiken
Das Risiko des Reputationsverlusts für alle Gerätehersteller, die ein solches Eindringen zulassen, ist hoch. Die Gefahr von Hacking, die zu Denial-of-Service-Attacken führt, ist potenziell ebenso gefährlich sowohl für Datenbesitzer als auch die Anwender ihrer Geräte.
Das IoT bietet Herstellern große Chancen, denn sie können dadurch bisher unzugängliche Datenarten zur Verbesserung ihrer Produkte und Dienstleistungen sammeln und verarbeiten. Aber die neue Vernetzung von Geräten der Unterhaltungselektronik geht auch mit großen, neuartigen Sicherheitsbedrohungen einher. Diese können kategorisiert werden:
- Gefährdung der Privatsphäre (des Anwenders)
- Vertrauensrisiko (des Anwenders gegenüber dem Gerätehersteller)
- Risiko des Diebstahls
- Risiko eines Angriffs
Wie also sollte ein Hersteller diese Risiken für die von ihm hergestellten Geräte bewerten und minimieren, bevor diese in den Verkauf gehen? Dreh- und Angelpunkt für den Systementwickler ist das Verständnis dafür, dass die vom Produkt generierten Daten, und weitergedacht auch das Produkt selbst, in jedem Link der Kette vom Endpunkt bis in die Cloud gefährdet sind. Die Schwachstellen jedes einzelnen Verbindungs-Links müssen zur Evaluierung von angemessenen Schutzmaßnahmen herangezogen werden.
Das Risiko beginnt bei den Endknoten: Typischerweise haben Geräte, wie drahtlose Sensoren oder eine Brühmaschine, ein kostengünstiges Funkbauteil für die Übertragung zum Gateway integriert. Zum Beispiel kann in ein persönliches medizinisches Gerät einen WiFi- oder Bluetooth-Smart-Transceiver eingebaut sein, der zum Gateway in Form eines Smartphones verbindet. Eine industrielle Einheit könnte einen ISM-Band-Transceiver verwenden, der für die Verbindung zu einem Konzentrator sorgt. Der Baby-Monitor aus dem Beispiel zeigt, dass Daten sogar an diesem ersten Link anfällig sind. Der Hersteller muss die Verantwortung für die Sicherheit der Daten übernehmen, die von seinem Gerät produziert werden: Er darf sich nicht darauf verlassen, dass der Anwender sein eigenes Netzwerk sichert.
Auch wenn es ungerecht erscheinen mag, wird ein Anwender nicht zögern, dem Hersteller die Schuld für die Verletzung der Datensicherheit zuzuschieben, auch wenn die eigentliche Leckage über seinen eignen ungesicherten Zugangspunkt erfolgt ist. Die heutigen Verbraucher sind in der Lage über soziale Medien zu kommunizieren, wenn ihrer Meinung nach, ein Markenunternehmen den hohen Datenschutzanforderungen nicht nachgekommen ist. Das bedeutet, dass die Daten bereits zum Zeitpunkt der Entstehung zuverlässig verschlüsselt sein müssen und der Zugriff auf das Netzwerk ordnungsgemäß authentifizierten Anwendern vorbehalten bleiben muss.
Dieser Schutz sollte an jedem Punkt der Übertragung bis und einschließlich der Cloud ununterbrochen aufrecht erhalten bleiben. In der Regel umfassen die gefährdeten Elemente:
- Router, Gateway oder Konzentrator - Ein herkömmlicher WiFi-Router authentifiziert Anwender durch ein Passwort. Diese kann aber verwundbar sein, wenn es nicht stark genug ausgewählt oder gar ausgespäht wurde. LoRa- und Sigfox-Konzentratoren in der lizenzfreien ISM-Bandbreite bieten standardmäßig eine höhere Sicherheit, da empfangene oder verschickte Daten verschlüsselt sein müssen.
- der Internet Service Provider (ISP) - Von bekannten ISPs wird häufig vorausgesetzt, dass angemessene Sicherheitsvorkehrungen implementiert sind. Aber auch der Geschäftsbetrieb der ISPs wird letztendlich von Menschen verwaltet und Menschen stellen ein Sicherheitsrisiko dar. Hersteller sollten Maßnahmen zur Überprüfung der Sicherheit ihrer Daten ergreifen, während diese über das Internet übertragen werden.
- Cloud Storage Services - Wie bei den ISPs ist die Annahme zu einfach, dass Daten sicher sind, wenn sie einmal auf dem Server des Cloud-Service-Anbieters vorgehalten werden. Der Hersteller sollte daher sicherstellen, dass die vorherrschenden Service Level Agreements (SLA) für die Speicherung in der Cloud auch die Datensicherheitsvorkehrungen seitens des Dienstleister spezifiziert.
Bei der Risikobewertung des ISPs tut der Hersteller gut daran, nicht nur die Datensicherheit einzubeziehen, sondern auch die Sicherheit des Dienstes selbst. Die Art des Risikos unterscheidet sich von Anwendung zu Anwendung. Typische Heimanwender erwarten von einem »immer an«-Internetzugang, was er verspricht: jederzeit verfügbar zu sein. In der Realität können Privatanwender allerdings nur eine 80 prozentige Verfügbarkeit des Internets vertrauen.
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
