Wenn wir auch im Internet der Dinge große Fortschritte machen, hinkt die Sicherheit weit abgeschlagen hinterher. Diese Entwicklung birgt immense Gefahren, warnt silicon.de-Blogger Mikro Brandner von Arxan.
Bereit oder nicht – das Internet der Dinge steht vor der Tür. Was lange Zeit als futuristische Vision gefeiert wurde, hat unseren Alltag mittlerweile fest im Griff. Das IoT wird unsere Zukunft in ungeahntem Maße verändern und uns vor große Herausforderungen stellen. Vor allem in Sachen Sicherheit, denn die rasche Verwandlung “unintelligenter” isolierter Objekte hin zu smarten, vollvernetzten IoT-Geräten birgt auch Risiken.
Warum die IoT-Security hinterherhängt
Wie uns die Geschichte schon oft gezeigt hat, konzentrieren sich rasant wachsende Technologien in aller Regel zunächst darauf, betriebswirtschaftliche Herausforderungen zu bewältigen. Aspekte der Sicherheit werden hingegen meist erst in einem zweiten Schritt berücksichtigt. So haben selbst Web-Anwendungen, die heute millionenfach im Einsatz sind, noch immer mit schwerwiegenden Sicherheitsproblemen zu kämpfen. Dass nun auch das Internet der Dinge diesem unglücklichem “Trend” folgt, zeigt sich vor allem daran, dass der Großteil der betreffenden Geräte, Anwendungen und Infrastrukturen nicht mit einem Fokus auf IoT-Sicherheit entwickelt werden und für Hacker daher ein leichtes Opfer darstellen.
Es kommt Großes auf uns zu
Um es klar zu sagen: Die Sicherheitsbedenken rund um das Internet der Dinge sind nicht nur reine Panikmache, sondern entsprechen größtenteils der Realität. Denn in einer Zeit, in der die zunehmende Vernetzung und Digitalisierung auch in kritischen Bereichen wie Industrieanlagen, Fahrzeugen oder der Medizingeräteindustrie Einzug gehalten haben, bieten sich Cyberkriminellen, Spionen und Geheimdiensten viele neue und lukrative Angriffsflächen. So können Angriffe auf kritische Infrastrukturen wie etwa Energiekonzerne, große Produktionsanlagen oder den öffentlichen Nachverkehr wirtschaftliche Schäden und letztlich auch lebensbedrohliche Zwischenfälle von ungeahnten Ausmaßen nach sich ziehen.
Wie real diese Gefahren tatsächlich sind, zeigte sich nicht nur 2010, als der Computerwurm Stuxnet eine iranische Urananreicherungsanlage sabotiert hat, sondern auch im Jahr 2014, als Cyberkriminelle den Hochofen eines deutschen Stahlwerkes manipulieren konnten. Aber auch “einfache” Consumer-IoT-Geräte wie smarte Haushaltsgeräte oder Wearables sind risikobelastet – vor allem in Sachen Datenschutz. Sie bieten Hackern Unmengen an sensiblen personenbezogenen Daten, die auf dem Schwarzmarkt mittlerweile hoch gehandelt werden.
Viele Angriffspunkte
Ein typisches IoT-Framework besteht aus peripheren Einheiten (wie Sensoren, Adaptern, Beacons etc.), einem Gateway zur Kommunikation mit den Geräten sowie einem Back-End-Server (lokal oder in der Cloud). Viele Baustellen also, die hinsichtlich ihrer Sicherheit alle einzeln betrachtet werden müssen.
Unerlässlich sind dabei etwa Penetrationstests, die die Endgeräte auf mögliche Sicherheitslücken und Schwachstellen hin untersuchen. In Sachen Gateway- und Back-End-Server-Security darf neben Netzwerk-Sicherheit und Datenverschlüsselung auch ein spezieller Applikationsschutz nicht zu kurz kommen. So sollte der Binärcode der IoT-Anwendungen “gehärtet” und die Applikationen so bereits in ihrem “Inneren“” vor Manipulationen geschützt sein. Auf diese Weise sind IoT-Anwendungen jederzeit und in allen verteilten und potentiell unsicheren Umgebungen geschützt.
Verantwortung auf allen Seiten
Die Absicherung der gesamten IoT-Infrastruktur ist also aufwendig und bedarf vor allem großer finanzieller Ressourcen, die viele Unternehmen sicherlich schwer belasten. Umso wichtiger ist es, Prioritäten zu setzen und im Sinne eines guten Risikomanagements Fragen der Anfälligkeit von IoT-Geräten und -Komponenten sowie der Haftbarkeit sinnvoll auszuloten.
Dabei ist auch unsere Politik gefragt, denn die Verantwortung für eine sichere digitale Zukunft liegt letztlich in den Händen aller. So muss die Politik Mindeststandards für die IT-Sicherheit vorgeben und dafür sorgen, dass diese von allen Unternehmen ausnahmslos eingehalten werden. Das vor einem Jahr in Kraft getretene IT-Sicherheitsgesetz der Bundesregierung ist hier ein wichtiger erster Schritt, wenngleich die Kontrolle von Seiten der Politik gewiss noch erhöht werden muss.