NXP Semiconductors
IoT: Sicherheit für Mrd. von Geräten, wie soll das gehen?
Fortsetzung des Artikels von Teil 1
Wie lässt sich die Sicherheit im IoT erhöhen und die Bedenken der Konsumenten verringern?
Ein Beispiel, das jeder aus dem eigenen Leben kennt, ist ein Passwort. Diesen Ansatz hält Dr. Edward Lee, Professor an der University of California, Berkeley, aber für ungeeignet, um das IoT sicherer zu machen. Seine Begründung ist einleuchtend: Bereits heute haben die meisten Menschen Schwierigkeiten, sich alle ihre Passwörter zu merken. Wie würde das dann funktionieren, wenn Milliarden von Endgeräten mit einem Passwort geschützt werden sollen? Folglich: »Für das IoT sind ganz andere Lösungen notwendig«, so Lee.
Auch Nassar ist der gleichen Meinung wie Lee und plädiert deshalb für eine mehrfache Authentifizierung, wobei die Authentifizierung und die damit verbundenen Zertifikate nur von autorisierten Stellen durchgeführt und vergeben werden dürfen. Nassar weiter: »Heute ist es ein riesiges Problem, dass man gehackt wird und es gar nicht weiß.« Das ließe sich beispielsweise damit ändern, dass man Zugangs-Hardware, verwendet, die physikalisch gestohlen werden müsste, um den Zugang zu bekommen.
Ein weiterer Punkt, den Nassar für wichtig hält, ist eine Dezentralisierung der Informationen. Denn wenn alle Informationen an einem Ort gespeichert sind und dieser gehackt wird, dann hat der Hacker Zugriff auf alle Informationen. Sind die Informationen dagegen verteilt, dann sinkt schon mal das Interesse daran, das Gerät zu hacken und selbst wenn, sind wenigstens nicht alle Informationen weg.
Die Kunden wissen gar nicht, was mit ihren Daten passiert
Michael Kaiser, Executive Director der National Cyber Security Alliance (NCSA), fordert, dass die Endgerätehersteller den Kunden viel besser darüber aufklären müssen, welche Daten erfasst, wo sie gespeichert und inwieweit sie weitergegeben werden. Nur dann könne der Konsument eine fundierte Entscheidung fällen, ob er das Gerät haben möchte oder nicht. Ähnlich wie heute bei Lebensmitteln könnten die Hersteller auf ihren Endgeräten die fünf wichtigsten Punkte bezüglich der Daten angeben. Oder mithilfe einer Offenlegung könnte der Kunde über die Datenweitergabe informiert werden. Kuchar sieht aber nicht nur die Gerätehersteller in der Pflicht, sondern auch die Service-Provider. Sie verfügen über große Security-Abteilungen und damit auch über das notwendige Wissen und sollten deshalb die Kunden ebenfalls darüber aufklären, mit wem die Daten ausgetauscht werden.
Die Probleme mit der Privatsphäre sind ja nicht neu. Jeder der in einer Kleinstadt wohnt, kennt das Problem: Der Nachbar weiß oft ziemlich genau, was man tut oder nicht tut. Allerdings hat man dort die Möglichkeit, seine Privatsphäre zu schützen: Man zieht einfach die Vorhänge an den Fenstern zu und schon kann keiner mehr reinschauen. »Im IoT ist das nicht mehr möglich. Wir nutzen alle Geräte, die Daten austauschen und es gibt keine gesellschaftlichen Konventionen, was mit ihnen passiert«, so Lee weiter. Er ist übrigens der Meinung, dass Offenlegungen seitens der Hersteller ebenfalls nichts bringen. Und um seine Meinung zu untermauern, befragt er das Publikum, wer schon jemals die Sicherheitshinweise seiner Bank oder seines Kreditkarteninstituts gelesen hätte? Keiner! Hinzu kommt noch, dass diese Sicherheitshinweise ständig aktualisiert werden müssten, auch hier bringe eine Offenlegung wenig.
Dem stimmt Kaiser allerdings nur bedingt zu. Er glaubt zwar auch, dass eine Offenlegung nicht das Allheilmittel ist, aber sie muss ein Teil des Prozesses sein. Kaiser: »Bei Lebensmittel steht auch nur drauf, dass so und so viele Kalorien enthalten sind, es steht nicht drauf, dass man das nicht essen soll.« Aber aus seiner Sicht muss der Käufer eines Gerätes wenigstens ein paar Informationen darüber erhalten, welche Daten ausgetauscht werden, wo sie gespeichert werden etc. Es sei ein absolutes Unding, wenn ein Nutzer erst im Nachhinein erfährt, dass so und so viele Informationen gesammelt und mit anderen geteilt wurden. Das muss vorher klar sein.
Authentifizierung und Verschlüsselung
Authentifizierung in Kombination mit Verschlüsselung ist sicherlich eine Möglichkeit, die Daten und die Kommunikation zu sichern. Aber auch das lässt sich nicht so ganz einfach auf das IoT übertragen. Beispielsweise hält Lee eine asymmetrische Verschlüsselung wie sie heute im Netz verwendet wird, für ungeeignet. Denn Verschlüsselung basiert auf einem Mechanismus, der einen ziemlich großen Overhead mit sich bringt, so etwas lässt sich nicht auf Milliarden von Endgeräten im IoT realisieren.
Ein Beispiel: Die Authentifizierung bei HTTPS. »Wenn man heute als Nutzer auf die Webseite seiner Bank geht, dann steht oben HTTPS und die meisten glauben, dass sie mit ihrer Bank reden, die diese die HTML-Seite zur Verfügung stellt.« Wenn man dann als Nutzer seine Daten in das Formblatt eingibt, gehen fast alle davon aus, dass diese Daten an die Bank übertragen werden. Lee: »Aber das wird tatsächlich nicht garantiert. Es wird nur garantiert, dass der lokale Computer die Daten mit einem öffentlichen Key verschlüsselt, und dass der dazugehörige private Schlüssel vom Owner der Domäne besessen wird, die sinnvollerweise natürlich die Bank ist.«
Jobangebote+ passend zum Thema
- IoT: Sicherheit für Mrd. von Geräten, wie soll das gehen?
- Wie lässt sich die Sicherheit im IoT erhöhen und die Bedenken der Konsumenten verringern?
- Anzahl und Varianten der Angriffe hat zugenommen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
GfK-Studie
Smart-Home-Lösungen immer beliebter
NXP Semiconductors
i.MX8 ist (bald) da
Mobilitätsdienstleistungen
Toyota arbeitet am Taxi der Zukunft
NXP Semiconductors
Verkauf der Standardhalbleiter-Sparte
NXP FTF 2016
Ambitionierter Start in die NXP-Ära
NXP FTF: SCMs
Mit V-Link kundenspezifisch erweitern
