IoT Security – Wie Standards für ein sicheres Internet der Dinge sorgen

IoT Security ist genauso so schwierig wie sie wichtig ist. Warum sie schwierig ist? Das Internet der Dinge ist wesentlich komplexer als gewöhnliche IT Technik. In der IoT Ära kommunizieren Maschinen miteinander (M2M Kommunikation). Daten werden in rauen Mengen in Clouds abgelegt und verarbeitet. Die Informationen fliegen durch unzählige wireless Verbindungen.

Für viele Firmen bedeutet das Internet of Things natürlich die Vereinfachung von Prozessen. IoT-Technik erleichtert ja nicht nur Verarbeitungsprozesse. Auch Anwendungsfälle in der Industrie 4.0 oder die Möglichkeiten des Smart Home gehören zum Portfolio. So sorgt das Internet der Dinge für viele kleine Wunder, die wie durch Geisterhand real werden. Aber wo es gute Geister gibt, gibt es leider auch böse. Und die werden in der Regel von Kriminellen gesteuert. Das heißt, dass Datenklau, Trojaner und Malware uns beim Internet der Dinge mehr denn je schaden können. Und zwar in einem viel erheblicheren Ausmaß, als es bisher bei Hackerangriffen möglich war. Der klassische Banküberfall war eben gestern.

IoT Security

Genau hier liegt das Problem der digitalen Welt.  Das Thema IoT Security wird zu oft noch auf die gleiche Weise angegangen, wie Unternehmen ihre herkömmlichen IT Technologien schützen. Das Internet der Dinge erzeugt aber viel mehr Daten, die gesichert werden müssen. Außerdem ist es geografisch verteilter und konzentriert sich nicht allein auf einen Ort. Wir brauchen also nicht bloß einen gewöhnlichen Schutz à la Firewall oder Anti-Viren Scanner. Vielmehr brauchen wir eine umfassende Ghosbusters Armee, die unsere guten Geister vor den bösen beschützt.

Die aktuelle Lage in der IoT Security

Das Internet der Dinge erfährt mehr und mehr Akzeptanz. Es ist inzwischen mehr als nur ein Phänomen. Es wird zunehmend als Bereicherung verstanden. Consumer, Hersteller oder auch Mediziner wissen inzwischen, was es bedeutet, wenn die Maschinen uns durch Konnektivität unterstützen. Und natürlich wollen alle, dass das Internet of Things auch weiterhin ist. Genau das aber funktioniert nur, wenn auch die Sicherheit garantiert werden kann oder sich zumindest auf einem hohen Niveau befindet. Schließlich will man ja auch nicht, dass der Lieblingsneffe zum schwarzen Schaf mutiert. Bloß weil er von Kriminellen Individuen missbraucht wird und uns Schaden zufügt. Der Schaden kann schließlich immens sein.

Laut einer Gartner-Prognose sollen bis 2021 immer mehr drahtlose Netzwerke und Daten in Umlauf gebracht werden. Keine Frage, dass dabei aufregende Geschäftsmöglichkeiten entstehen. Gleichzeitig aber entsteht auch ein neuer Nährboden für eine Vielzahl neuer Sicherheitsbedrohungen. Immerhin ist diese Erkenntnis inzwischen bei vielen Nutzern angekommen. Niemand würde die Risiken heutzutage noch herunterspielen. Spätestens seit den Angriffen mit der Malware Mirai wissen wir, dass die Sicherheitsverfahren, die vielleicht in der IT etabliert sind, nicht für eine umfassende IoT Security sorgen. Trotzdem bleibt die Sicherheit ein Problem. Umfragen haben ergeben, dass viele Unternehmen ihre connected Devices mit althergebrachten Mitteln schützen. In der Realität sieht das so aus: 72 Prozent verlassen sich auf einfache Kontrollen und Netzwerk-Kennwörter. Genau das aber reicht nicht. Übliche Sicherheitsfeatures wie die gute alte Verschlüsselung sind ebenfalls zu wenig. Und in Zeiten, in denen Smarte Kraftwerke oder Connected Cars an den Start gehen, sollte Sicherheit natürlich an erster Stelle stehen.

Warum Standards für die IoT Security wichtig sind

Zum einen sorgt Inkompatibilität immer noch für größere Probleme. Damit das Internet der Dinge nämlich den gewünschten Wert erhält, sollten Geräte, Netzwerke und Anwendungen einwandfrei zusammenarbeiten können. Und dadurch auch die nötige Sicherheit ermöglichen. Verschiedene Bereiche des Internet of Things zu standardisieren, ist daher unerlässlich auf dem Weg zum sicheren Internet der Dinge. Ein IoT-System, das gewissen Standards unterliegt, bringt weniger Probleme in der Kommunikation, Verwaltung, oder Anwendung, da es keine Interoperabilitätsprobleme mit den anderen Elementen aufwirft. Oder eben auch zu mehr Sicherheit führt. Bei einem Standard wissen die Ghostbusters nämlich direkt, wie sie agieren können und müssen nicht erst wieder ein neues Handbuch lernen.

Natürlich ist es nicht einfach, zu definieren, was und wie standardisiert werden soll. Was hierfür hilfreich sein könnte, wäre eine Norm à la ISO 27001

Eine zertifizierte Norm könnte helfen

In der herkömmlichen IT hat sich der TÜV zertifizierte der ISO 27001-Standard bereits bewährt. In der ISO 27001 sind schließlich allgemeine Anforderungen formuliert, die risikoadäquat umgesetzt werden müssen. Dadurch wird verhindert, dass unterschiedliche Auffassungen von Sicherheit für Probleme sorgen. Mit der ISO 27001 Zertifizierung wird ein umfassendes IT-Sicherheitsmanagement eben zum Standard, da die Sicherheit von Informationen und IT-Umgebungen einer Norm nach bewertet wird. Auf diese Weise wissen auch der Kunde und der Geschäftspartner, wie es um die Security steht.

Eine solche Norm kann auch für mehr IoT Security sorgen. Ansätze gibt es bereits. Die IEC 62443 ist eine internationale Normenreihe über industrielle Kommunikationsnetze bzw. IT-Sicherheit für Netze und Systeme.  Damit wäre ein wichtiger Ansatz in der Standardisierung bereits gegeben. Darüber hinaus bräuchte es aber auch eine Regelkonformität zur allgemeinen Einhaltung.  Die Compliance Kultur zur Datensicherheit, welche Unternehmen, die mit IoT Systemen arbeiten, in ihren Code of Conduct aufnehmen,  könnte das Gefahrenpotenzial weiter reduzieren.

Organisationen wie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) gehen sogar noch weiter. Sie setzen sich für eine gesetzlich geregelte Sicherheitskultur ein.

Eine sichere Cloud für mehr IoT Security

Nicht allein Standards oder zertifizierte Normen können helfen. Sowohl als Endverbraucher, als auch als Unternehmer ist es zum Beispiel wichtig,  Geräte mit integrierter Sicherheit zu kaufen. Des Weiteren heißt es: Updaten, updaten, updaten. Auf diese Weise können bekannte Sicherheitslücken rasch beseitigt werden. Und natürlich ist auch das Verschlüsseln und Authentifizieren von Daten und identifizieren Geräte immer noch unumgänglich.

Eingebettete kryptografische Tools etwa stellen eine hohe Personalisierung des IoT-Objekts sicher und sorgen für eine zuverlässige Geräteauthentifizierung in Netzwerken. Ebenso sollte der genutzte Cloud Provider eine sichere Datenverschlüsselung und umfassendes Portfolio zur Sicherung der Daten garantieren. So hat einer der großen Cloud-Anbieter Amazon seine Cloud-Infrastruktur bereits früh auf einen hohen Sicherheitsstandard ausgerichtet.

Der Amazon Web Services (AWS) verschlüsselt etwa alle Daten, die über das AWS Global Network fließen, zuerst auf der physischen Ebene. Das passiert automatisch, bevor die Daten die im hohen Maße gesicherten Standorte verlassen. Weitere Verschlüsselungsebenen wie sorgen für noch mehr IoT Security. Amazon hat damit schon mal einen eigenen Standard geschaffen.