So sichern Sie das IoT
Abbildung 1: Verhaltenskodex für IoT-Sicherheit für Verbraucher Quelle: Abteilung für digitale Kultur, Medien und Sport
Das IoT nimmt ständig zu. Derzeit nutzen rund 66% der Unternehmen IoT und eine Installationsbasis von rund 17 Milliarden Geräten.
Das Analystenunternehmen Gartner geht davon aus, dass die Ausgaben von geschätzten 1,5 Milliarden US-Dollar im Jahr 2018 auf über 3 Milliarden US-Dollar bis 2020 steigen werden. Die geschätzten 30 Milliarden Geräte werden sich bis 2025 auf 75 Milliarden erhöhen.
Bis vor kurzem gab es wenige Standards oder Vorschriften für die Internetsicherheit von IoT-Geräten und -Systemen. Traditionelle Informations- und Cyber-Security-Ansätze, wie ISO 27001 und das NIST Cyber Security Framework, wurden für Unternehmen entwickelt und, obwohl sie relevant sind, bieten sie nicht die fokussierte Anleitung für eine effektive IoT-Sicherheit.
IoT-Cybervorfälle
Ein weiteres Problem ist, dass bei der Entwicklung und Vermarktung von IoT-Geräten vielen dieser Produkte keine wirksamen Sicherheitsmaßnahmen zur Verfügung standen. Folglich sind viele der eingesetzten Lösungen unsicher und weisen offene Sicherheitslücken auf.
Die Gartner-Studie von 2018 ergab, dass fast 20% der Unternehmen in den letzten drei Jahren mindestens einen Angriff auf IoT-Basis gesehen hatten. Dazu gehörte im Jahr 2016 das Mirai-Botnet, das gefährdete Geräte wie CCTV-Kameras und Heimrouter gefährdete. Es wurde dazu verwendet, eine Reihe von verteilten Denial-of-Service-Angriffen (DDoS) durchzuführen, darunter auch einige der wichtigsten Internetdienste, aus denen Dienste resultierten Benutzern in Europa und den USA nicht verfügbar.
Bei einem weiteren Angriff wurden Kundendaten aus einem Casino durch ein unsicheres, mit dem Internet verbundenes Thermometer in einem Aquarium gestohlen.
In den letzten Jahren hat die Malware von Brickerbot IoT-Geräte mit schlechter Sicherheit infiziert und die Firmware mit zufälligen Daten überschrieben, wodurch die Geräte unbrauchbar werden.
Mehrere Abwehrkräfte
Im September 2018 hat Kalifornien ein Gesetz verabschiedet, das besagt, dass jeder Hersteller eines Geräts, das direkt oder indirekt eine Verbindung zum Internet herstellt, dieses mit „angemessenen“ Sicherheitsfunktionen ausstatten muss, um unbefugten Zugriff und Modifikationen zu verhindern. Der US-Bundesgesetzgeber hat mindestens fünf Entwürfe von Gesetzesvorschlägen zur Cyber-Sicherheit in Arbeit.
Die EU hat Best-Practice-Leitlinien und Sicherheitsanforderungen veröffentlicht, und im Oktober veröffentlichte das britische Ministerium für Kultur, Medien und Sport einen Verhaltenskodex für IoT-Sicherheit für Verbraucher. Dadurch werden 13 Richtlinien für eine angemessene IoT-Sicherheit gefördert (Abbildung 1).
In der erweiterten EU hat die ENISA (Agentur der Europäischen Union für Netz- und Informationssicherheit) grundlegende Sicherheitsempfehlungen für das Internet der Dinge veröffentlicht, mit besonderem Schwerpunkt auf kritischen nationalen Infrastrukturen. Zu den Initiativen der Branche zählen der Verhaltenskodex der IoT Security Foundation, der eine Grundlage für das Testen und Zertifizieren der IoT-Sicherheit bietet.
Dies ist zwar ein guter Anfang, aber das Problem ist, dass diese Praktiken insbesondere in der EU nicht obligatorisch sind. Die Regulierungsbehörden müssen herausfinden, wie effektive Standards und Praktiken pragmatisch durchgesetzt werden können. Die Aufgabe der Hersteller von IoT-Geräten besteht darin, sicherzustellen, dass Produkte „durch Design und standardmäßig sicher“ sind.
In der Vergangenheit hat sich die Industrie nur langsam mit Sicherheitsstandards befasst, was zu Regulierungsbedarf führte. Mit einem derart aktiven Markt können Anbieter die Sicherheit von Kosten und Aufwand zu Wettbewerbsvorteilen machen. Wird eine gute Praxis nicht freiwillig übernommen, kann dies zu einer Überreaktion führen, wobei restriktive und strenge Vorschriften auferlegt werden. Obwohl die formale Akkreditierung oder Zertifizierung für das Internet der Dinge in einiger Entfernung liegt, sollten Zulieferer ihre Produkte und Dienstleistungen selbst zertifizieren. Es gibt keine Entschuldigung für Lieferanten, Geräte und Systeme mit unbewiesener Sicherheit zu versehen.
IoT-Konsumenten müssen auch höhere Sicherheitsanforderungen an Produkte stellen und bereit sein, zu prüfen, was ihnen angeboten wird. Dies gibt Anbietern echte Anreize, Sicherheit durch Design und standardmäßig zu berücksichtigen.
Abbildung 2: Gewährleistung von Vertrauen und Sicherheit im IoT
Selbst wenn einzelne Produkte sicherheitsgeprüft oder zertifiziert sind, ist die End-to-End-Lösung nicht unbedingt sicher. Organisationen, die IoT-Lösungen integrieren oder verwenden, müssen sich immer noch sicher sein, dass sie gesichert sind. Dazu gehört das Verständnis der Sicherheits- und Geschäftsrisiken, die Gewährleistung einer durchgängigen sicheren Architektur und die Durchführung von Tests, um alle Datenschutzanforderungen zu erfüllen (Abbildung 2).
Das IoT bietet klare geschäftliche Vorteile, aber Hersteller, Verbraucher und Aufsichtsbehörden müssen jetzt handeln, um die entsprechende Sicherheit zu bieten.
