IoT Security – Eine Geschichte von intelligenten Socken & dem User-Experience-Fluch
Je nach Studie werden bis zum Jahr 2020 zwischen vier und elf Billionen vernetzte Geräte vorhergesagt. Unvorstellbare Zahlen, die realer werden, wenn man heutzutage beim Check-in im Hotel die Anzahl der benötigten WLAN-Codes gerade noch an einer Hand abzählen kann. Die Nachrichten von gehackten Kühlschränken, Kinderspielzeugen und jegliche Art von smarten Devices nehmen zu. Oftmals dient das "smarte" Device aber auch als Türöffner für die eigentliche Cyberattacke.
Grundsätzlich besteht ein IoT-System aus einem Gerät, dass mit anderen Geräten, Applikationen und Services mit Hilfe von verschiedenen Protokollen kommunizieren kann, als Basis um via APIs (Schnittstellen) Daten und Servicedienstleistungen über das Internet zu beziehen. Diese Geräte erstrecken sich über simple, einzelne Sensoren, die direkt oder über ein Gateway mit dem Internet verbunden sind, bis hin zu hochkomplexen, autonomen Geräten, die selbständig kommunizieren und Aktionen auslösen können.
Was bedeutet nun ein sicheres IoT-Gerät? Generell kann man das Themengebiet IoT-Security in vier große Bestandteile aufteilen:
- Zugriffskontrolle & Identitäten-Management,
- Verschlüsselung,
- Applikationssicherheit und
- sichere Kommunikation.
Wenn man die darunter fallenden Lösungen näher betrachtet, sind es zehn Lösungsbereiche, die es auf dem Markt gibt, unter anderem: IoT-Identity- & -Access-Management, Datenverschlüsselung & Tokens, Geräteauthentifizierung und -management, sichere Firmware- und Software-Updates, sichere Kommunikation und der Schutz von sensiblen & kritischen Daten. All diese Unterpunkte müssen beachten werden, um schlussendlich von einem sicheren Gerät zu sprechen.
Status Quo am Markt
Aktuell sind 75 Prozent der Organisationen in einer frühen Phase bei der Implementierung von technologischen, organisatorischen und prozesstechnischen Schritten rund um das Thema IoT-Security. Aktuell werden lediglich 25 Prozent aller Schwachstellen (Vulnerabilities) von Security-Systemen erkannt und es dauert durchschnittlich 29 Tage bis ein IoT-Security-Hack erkannt und behoben wird. Der Fokus aktuell liegt auf der Prävention und Absicherung vor Attacken, allerdings wird dies noch nicht in den Ausgaben reflektiert.
Aber das soll sich bald ändern: laut IDC wächst der IoT-Security-Markt weltweit um 15,5 Prozent von 1,4 Milliarden Dollar Umsatz in 2016 auf 2,5 Milliarden in 2020 an, allein wenn man die Geräte- und Sensorikebene betrachtet [1]. Die Überwachung des Netzwerks und der Kommunikation zwischen den Geräten ist bei diesen Zahlen noch nicht einmal berücksichtigt. Nicht nur bekannte Hersteller wie Intel, IBM oder RSA positionieren sich bei diesem Thema, sondern auch neuere Akteure wie Fortanix oder Karamba.
Die Top-Risiken für Unternehmen im Bereich IoT-Security sind mit 68 Prozent der Verlust von sensitiven und vertraulichen Daten, dicht gefolgt von der Sorge nach Reputations- und Image-Verlust. Hier unterscheiden sich die Treiber nicht fundamental von den grundsätzlichen Risiken der IT-Security. Doch was hemmt aktuell die Einführung von Lösungen in diesem Bereich?
Auf der Suche nach Standardisierung
Aktuell gibt es noch einige Hürden, die es zu überwinden gilt. Nicht nur, dass 42 Prozent der für IoT-Security Verantwortlichen sagen, dass der Mangel an Fachkräften die größte Herausforderung darstellt, dies gilt sicherlich nicht nur für die IoT-Security-Sparte, sondern den kompletten Security-Markt. Auch fehlende Standards auf globaler Ebene sind ein Problem. Diverse internationale Gruppen, wie das Industrial Internet Consortium (IIC), die Allseen Alliance oder IoT Security Foundation haben sich in den letzten Jahren auf internationaler Ebene gebildet, um dieses Thema voranzutreiben. In Deutschland arbeitet die Plattform Industrie 4.0 mit einer Arbeitsgruppe zum Thema Security, sowie der Bitkom mit seinem Arbeitskreis Cybersecurity an gemeinsamen Standards und Richtlinien, auch um Investitionssicherheit zu ermöglichen. Die "International Organization for Standardization" (ISO) und die "International Electrotechnical Commission" (IEC) haben es bis dato am weitesten gebracht und stellen Best Practices und Vorschläge für das Thema Informationssicherheit, Risiko, Management und Kontrolle mit Ihrer ISO/IEC 27000-Serie dar.
Selbst wenn die Verordnung in Kraft treten wird, so wird sie den ursprünglich hohen Zielen nicht gerecht werden.
Zum Beispiel hat das Komitee für den Sensorik-Bereich den Standard ISO/IEC JTC1/WG 7 geschaffen. Da Sensoren oftmals die Grundlage für IoT-Lösungen darstellen, ist es hier besonders wichtig, einen Standard zur Nutzung und Interoperabilität zu schaffen. Auch das bekannte NIST-Rahmenwerk dient in einigen Bereichen als Basis für Standards im Bereich IoT-Security.
Auch die neue EU-Verordnung "Zertifizierung der Cybersicherheit" sollte innerhalb der EU für den Verbraucherschutz und die Sicherheit im Internet der Dinge eine einheitliche Basis schaffen [2]. Aktuell liegt die Vorlage zur Verordnung beim Europäischen Parlament, der Ausgang ist noch ungewiss. Doch selbst wenn die Verordnung in Kraft treten wird, so wird sie doch den ursprünglich hohen Zielen nicht gerecht werden. Da nur Produkte im Umfeld von kritischen Infrastrukturen wirklich verpflichtend überprüft werden, hingegen andere Produkte lediglich einer freiwilligen Zertifizierung unterliegen. Diese wird unterteilt in niedrig, mittel und hoch – bei der ersten Einstufung überprüft das Unternehmen den gesetzten Standard sogar selbst, nur bei den anderen beiden werden externe Audits notwendig [3].
Einheitliche Standards werden schwer zu finden sein. So ist es wenig sinnvoll, die gleichen Richtlinien für ein Fitness Wearable, ein autonomes Auto und die smarte Spritzgussmaschine zu finden.
Bewusstein schärfen – auf beiden Seiten!
Vielleicht denkt nun der eine oder andere, "wenn mein Toaster in Zukunft gehackt wird, dann werde ich etwas anderes frühstücken". Doch was, wenn ihr "smartes" Zuhause gehackt wird? Wenn plötzlich Personen Türen geöffnet werden, die eigentlich verschlossen sein sollten? Oder wenn das Fahrerassistenzsystem nicht mehr kontrollierbar ist?
Fast noch kritischer wird es, wenn wir ein weiteres I zum IoT hinzufügen und wir plötzlich über das "Industrial Internet of Things" sprechen – über Industrieanlagen, Energieversorger & Transportmittel. Hiermit soll zum Ausdruck kommen, dass wir in weiten Teilen der Anbieter, aber auch Nutzer dieser alltäglichen "Dinge" eine fehlende Awareness haben. So schnell und großflächig sich IoT-Geräte ausbreiten, so hat sich leider das Thema IoT-Security noch nicht etabliert. Die Anzahl der Cyberattacken steigt in den letzten Jahren kontinuierlich an und immer häufiger war ein smartes Gerät involviert. Dennoch sind Nutzer noch nicht bereit, für zusätzliche Sicherheit zu bezahlen und somit oftmals die Hersteller der Gerätschaften zu wenig fokussiert auf "security by design". Die eigenen Sensoren, Aktoren und Geräte von Beginn an sicher zu bauen, das Thema Security in den Hard- und Software-Prozess zu integrieren, sind unabdingbar. Und zwar nicht als zusätzlichem Kostenfaktor, sondern als darstellbaren Mehrwert. Dies würde verhindern, dass die Schwachstellen in solch großer Anzahl bereits zu Beginn in den Systemen schlummern. Je vernetzter diese Geräte in ein Ökosystem integriert werden, desto mehr leidet nicht nur der einzelne Hersteller und Kunde, sondern die komplette Lieferkette. Oftmals sind es auch junge Unternehmen, die sich in diesem Bereich positionieren, die noch wenig Erfahrung mit klassischer IT-Security haben, ebenso sind es klassische Industrieunternehmen, die durch smarte Industrielösungen plötzlich zum IT-Anbieter werden.
UX vs. Security
Der Fluch "User Experience" zieht um... Seit Design Thinking in vielen Unternehmen mehr und mehr Einzug gehalten hat und auch klassische Industriemittelständler plötzlich Designer einstellen, ist das Thema UX – User Experience – kein Fremdwort mehr. Was als Segen für die vielen Anwender sowohl im privaten als auch beruflichen gilt, ist oftmals ein Fluch für alle Security-Experten. Dadurch wird die Diskussion über Sicherheit vermeintlich auch eine gegen Nutzerfreundlichkeit und ein Abwägen der beiden Themen. Selten werden beide als zwei Seiten einer Medaille gesehen, zu oft geht die Diskussion aktuell für ein einfaches und unkompliziertes Kundenerlebnis und gegen eine sichere und geschützte App.
Auch Start-ups mischen mit
In einer zuerst ungewöhnlichen IoT-Nische ist Heapsylon unterwegs [4]. Das 2013 in den USA gegründete Start-up positioniert sich im Bereich der intelligenten Kleidung – einer boomende Nische im IoT-Bereich. Die intelligenten, mit Sensorik ausgestatteten "Sensoria-Socken" sollen Verletzungen bei Sportlern verhindern, indem sie während des Laufens und Rennens nicht nur Schritte, Geschwindigkeit, Kalorien, Höhenlage, Umgebungstemperatur und Entfernung messen, sondern auch den Schrittrhythmus, die Abrollbewegung des Fußes, das Zentrum der Balance und die Gewichtsverteilung des Fußes. Dies geschieht mit Hilfe von textilen Drucksensoren und der dazugehörigen Elektronik. Sicherheit einmal aus einem ganz anderen Blickwinkel betrachtet!
Aber auch im vermeintlich etablierten Automobil-Sektor gibt es Platz für innovative Sicherheit-Start-ups wie Karamba [5]. Gegründet 2015 in den USA bietet Karamba eine Lösung im Bereich Connected Car an. Unter dem Schlagwort "Self-defending car" härtet die Lösung die zentrale elektronische Steuereinheit und macht diese somit sicher vor Hackerangriffen und stellt eine ausfallsichere Konnektivität her.
Aber auch in Deutschland gibt es Start-ups im IoT-Security-Bereich: Wenn man Michael Krieger, Geschäftsführer von MeetNow!, zum Thema befragt, leuchten seine Augen – IoT-Security könnte "the next big thing" sein, daher hat er mit zwei Kollegen vor zwei Jahren das Start-up Avian® gegründet [6]. Avian ist das Authentifizierungssystem für Ihre Produkte und Apps im Internet der Dinge. Alle Systemteilnehmer erhalten digitale Identitäten. Ziel ist es, Unternehmen simpel und kaufmännisch attraktiv die Möglichkeit zu geben, ihre eigenen Produkte smart und zugleich sicher zumachen.
Was bleibt zum Thema IoT-Security?
Der Trend wird unaufhaltsam weitergehen, in vielleicht noch ungeahnte Dimensionen. Die Anzahl der vernetzen Geräte wächst und somit auch der Markt, wie immer bringen Chancen auch Risiken mit. Der Weg zu einheitlichen Standards, idealerweise weltweit, ist ein steiniger, wenn nicht unmöglicher. Vor allem einer, auf den man als innovatives Unternehmen nicht warten sollte.
Eine nicht neue, aber dennoch zentrale Erkenntnis: es beginnt beim Thema Awareness – Wissen vermitteln, Beachtung schaffen & Risiken aufzeigen und das ohne Angst zu machen und Innovation aufzuhalten. Das Thema Sicherheit sollte endlich als Mehrwert verstanden werden, intern bei den Nutzern, als auch extern beim Kunden. Ebenso muss das Kundenerlebnis und die Sicherheit in Einklang gebracht werden, als zwei Seiten einer Medaille. Und schlussendlich schauen wir in die Zukunft auf innovative Start-ups, die hoffentlich die "smarten" Dinge von morgen sicher machen.
- IDC: Report Market Analysis Perspective: Worldwide IoT Security Products, 2018
- Mirko Ross: EU-Kommission will Zertifizierung für sichere Internetgeräte schaffen
- Mirko Ross: Kommentar zur IoT-Sicherheit: Europas Verordnung ist zahnlos
- Damian Robota: Zehn interessante IoT-Startups
- Karamba Security: The Self-Defending Vehicle
- Avian
Weitere Informationen:
- Gartner: Cool vendors in IoT Security
- MarketsANDMarkets: Internet of Things Security Markets – Global Forecast to 2021