Umfassendes Security Management für IoT

Internet of Things braucht sichere Prozesse

27.11.2015 von Oliver Schonschek

IoT Security ist nicht alleine durch Security Software und Services zu erreichen. Ebenso wichtig ist ein integriertes Sicherheitsmanagement.

Verbraucher möchten durch vernetzte Produkte zwar Kosten sparen und die Sicherheit erhöhen, fürchten aber gleichzeitig einen Kontrollverlust über Daten und Geräte. Die Nachteile des IoT überwiegen in den Augen Vieler deshalb die Vorteile.
Anbieter von IoT-Lösungen müssen das Patch-Management in den Mittelpunkt ihrer Security-Konzepte stellen.
Entwickler und IoT-Security-Experten sind aufgefordert, stärker zusammenzuarbeiten.

Das Internet der Dinge, die intelligente Vernetzung von Geräten und Maschinen über das Internet, kann einen weltweiten wirtschaftlichen Mehrwert von bis zu 11 Billionen Dollar im Jahr 2025 schaffen, so die Studie des McKinsey Global Institute (MGI) mit dem Titel "The Internet of Things: Mapping the value beyond the hype". Damit diese rosigen Aussichten Realität werden können, muss allerdings noch einiges geschehen. Eines der größten Handlungsfelder sehen die Unternehmensberater im Bereich Datensicherheit.

Wie umfangreich und dringlich die Aufgabe Datensicherheit für das Internet of Things (IoT) ist, unterstreichen Prognosen, dass bereits im Jahr 2020 etwa 5,4 Milliarden vernetzte Geräte für geschäftliche Zwecke genutzt werden, mehr als 50 Milliarden Dinge insgesamt mit dem Internet verbunden sind und sich die Datenmenge auf etwa 44 Zettabyte verzehnfacht hat.

Security-Experten mahnen an, dass durch die Vielfalt an IoT-Lösungen mehr IT-Sicherheitsunterstützung notwendig ist, als die IT-Security-Branche leisten kann.
Foto: G-Data

Sich der Aufgabe Sicherheit für IoT nicht mit Nachdruck anzunehmen, kommt aus Kundensicht nicht in Betracht: Wie zum Beispiel eine gemeinsame Studie von eco und dem Marktforschungs- und Beratungsinstitut YouGov zeigt, wünschen sich Verbraucher durch vernetzte Produkte Kostenersparnis und Sicherheit und fürchten gleichzeitig die Risiken durch einen Kontrollverlust über Daten und Geräte. Nicht einmal die Hälfte (42 Prozent) der Verbraucher denkt laut einer Umfrage des Ponemon-Instituts, dass die Vorteile von IoT größer als die Nachteile bedingt durch Sorgen um Privatsphäre und Sicherheit sind.

IoT Sicherheit ist mehr als Sicherheit für IoT

Die IT-Security-Branche ist sich dem Bedarf an mehr IoT Sicherheit bewusst, wie zum Beispiel die zahlreichen Vorträge und Diskussionen zu dem Thema auf den Internet Security Days (ISD 2015) oder auf der IT-Sicherheitsmesse it-sa 2015 zeigten. Das Verständnis, wie mehr IoT Sicherheit erreicht werden kann, ist allerdings uneinheitlich. Die steigende Zahl an IT-Sicherheitslösungen speziell für IoT-Szenarien legt den Schluss nahe, dass IoT Sicherheit hauptsächlich als Sicherheit für IoT verstanden wird, also als zusätzliche Security Software und Security Services, die IoT-Lösungen absichern sollen.

Business-Ideen im Internet of Things

AdhereTech: Tabletten schon eingenommen?
Als zwei von zehn interessanten IoT-Startups hat Computerwoche die folgenden beiden Beispiele vorgestellt. AdhereTech ist eine smarte Pillendose, die den Patienten darauf hinweist, seine Tabletten einzunehmen.

Chui als sicherer Türöffner
Chui soll über Gesichtserkennung die „weltweit intelligenteste Türklingel“ sein.

Nicht verwandt: Chui Motorcycle Trackers
Aus einer Serie von Motorrad-Diebstählen in Kenia ist die Idee entstanden, einen GPS-Service für verloren gegangene Maschinen und Flottenmanagement aufzubauen. Das Chui in Chui Motorcycle Trackers ist nicht Chinesisch, sondern Swahili und bedeutet Leopard, zugleich Wappentier der Firma.

Wo ist Lilly?
Unter dem Namen „Wo ist Lilly?“ entwickelt und vertreibt ein junges Berliner Unternehmen GPS-Tracker für Kinder, Katzen und Hunde. Ähnliche Produkte werden auf der Alm auch für frei weidende Kühe eingesetzt.

Au Back, die Klingen gehen aus!
Ob „Mann“ morgens vor dem Spiegel tatsächlich die Sorge hat, dass er sich anderntags nicht mehr nassrasieren kann, sei dahingestellt. Aber mit dieser Box hat Gilette eine M2M-Lösung entwickelt, welche die Nachbestellung auf Knopfdruck ermöglicht.

Yoints statt der alten Rabattmarken
Das Hamburger Startup Yoints ermöglicht es Geschäften, dass die Kunden über die eigenen yBeacons am Ladeneingang schon mit Bonuspunkten belohnt werden, ebenso auch an der Kasse. Kommen genügend Treuepunkte zusammen, können die fleißigen Käufer dann mit Prämien belohnt werden. Praktisch ist das eine Art Rabattmarken 4.0.

Toshiba-Idee für Public Displays
Von der personalisierten Kundenansprache träumen heute viele Handelshäuser und ihre IT-Partner. Nicht zuletzt deshalb hat Facebook gerade die Nutzungsbedingungen geändert hat, heißt es. Hersteller von Public Displays arbeiten seit langem an entsprechenden Digital-Signage-Lösungen für Einkaufszentren, Bahnhöfe und Flughäfen etwa. Noch in der Findungsphase findet sich diese von Toshiba mit Sonys TransferJet für den Informations- und Datenaustausch auf kurze Entfernungen.

Seidensticker-Hemden aus dem Automaten
Selbst eine Traditionsmarke wie Seidensticker geht mit der Zeit und bietet die Herrenhemden über Automaten an, die über M2M zentral den Füllstand anzeigen. Mehr und mehr Automatenaufsteller setzen auf diese Technologie, weil das Abfahren und Aufschließen jeder einzelnen Verkaufsbox weit teurer ist.

Datenbrillen zum Wohle der Patienten
Medizintechnik und Gesundheit sind das absatz- und umsatzstärkste Segment für Wearables. In der Radio-Onkologie des Universitätsspitals Zürich setzt man für die Atem-Selbstkontrolle der Patienten im CT auf die Moverio BT-100 genannte Datenbrille von Epson.

Entwicklerplattform Apple Watch
Smartwatches wie Apple Watch bieten Entwicklern viele Möglichkeiten für eigene Geschäftsideen, nicht nur im viel zitierten Bereich Fitness.

Samsung verspricht massive Fördermittel
Samsung-CEO BK Yoon hat auf der CES 2015 Anfang Januar 100 Millionen Dollar an Fördermitteln für Entwickler in Aussicht gestellt. „Denn nur zusammen können wir die Zukunft des Internets der Dinge gestalten“, so Yoon. Besonders gefördert werden sollen Technologie-Startups, wie sie die Deutsche Telekom übrigens über fünf Jahre mit 500 Millionen Euro den Steigbügel halten will.

Intel Make it Wearable
Rund um die eigene Edison-Plattform hat Intel 2014 einen mit 500.000 Dollar dotierten Wettbewerb für interessante Wearable-Ideen ausgeschrieben. In den zehn Finalistenteams waren auch mehrere Deutsche.

Die Drohne Nixie hat bei Intel gewonnen
Die 500.000 Dollar aus dem Intel-Wettbewerb „Make it Wearable“ hat das US-Team Nixie mit dieser handlichen Drohne als erste tragbare Kamera gewonnen, die fliegen kann. Dabei gab es auch andere gute Ideen. Einen smarten Handschuh mit integrierten Sensoren, Scanner und Display hatte zum Beispiel das Team ProGlove aus München ins Rennen geschickt.

Betrachtet man aber, welche Security-Maßnahmen IT-Sicherheitsexperten für besonders wichtig einstufen, und vergleicht man dies mit den Gegebenheiten im Internet of Things, dann wird deutlich, dass IoT-Sicherheit nicht einfach Sicherheit für IoT sein kann. So ergab eine Untersuchungvon Google Sicherheitsforschern, dass IT-Sicherheitsexperten die Installation von Security-Patches als die wichtigste Maßnahme überhaupt einstufen. Standardnutzer hingegen meinen, der Einsatz einer Anti-Viren-Software sei am wichtigsten. Das Einspielen von Sicherheitsupdates jedoch ist bei IoT-Lösungen in vielen Fällen gar nicht möglich. Ist die Softwareaktualisierung möglich, hat dieser Prozess häufig Schwachstellen, wie eineHP-Studie zur Sicherheit des Internets der Dinge am Beispiel von Smartwatches zeigte.

IoT-Lösungen benötigen systematische Test- und Freigabeprozesse, um Schwachstellen so weit wie möglich zu vermeiden.
Foto: 7Layers GmbH

Will man die Sicherheit bei IoT-Lösungen steigern, müssen somit andere Security-Maßnahmen zum Einsatz kommen, als es in vielen anderen IT-Bereichen der Fall ist.

IoT braucht Antwort auf fehlendes Patchmanagement

Anbieter und Anwender von IoT-Lösungen müssen das unzureichende oder sogar fehlende Patchmanagement für IoT-Geräte in den Mittelpunkt ihrer Sicherheitskonzepte für das Internet of Things stellen. Bekanntlich laufen Angreifer ins Leere, wenn sie keine Schwachstellen finden, die sie ausnutzen können. Können die Schwachstellen nicht behoben werden, versucht man, die Sicherheitslücken abzuschirmen und die Angreifer möglichst vor dem Ausnutzen der Schwachstellen abzufangen.

Will man das Angriffs- und Missbrauchsrisiko aber an der Wurzel reduzieren, werden alternative Konzepte für den Umgang mit den Schwachstellen benötigt. IT-Sicherheitsexperten wie Dr. Paul Vixie von Farsight Security betonen, dass zum Beispiel die unzureichende Qualitätssicherung bei der Entwicklung von IoT-Lösungen Teil "eines Rezeptes für ein Sicherheitsdesaster" ist. Eine bessere Qualitätssicherung würde dazu führen, dass die Zahl der Schwachstellen und damit das Angriffsrisiko deutlich reduziert werden kann. In seinem Vortrag auf den Internet Security Days 2015 erklärte Dr. Vixie, welche weiteren Maßnahmen er für notwendig erachtet, damit IoT sicherer werden kann.

IoT-Sicherheit braucht Prozesssicherheit

In seinem Vortrag "Beyond The Toaster Oven - Building A Secure Future For The IoT" auf den ISD 2015 wies Paul Vixie auf die besonderen Herausforderungen im Internet of Things hin. Dazu gehören (zu) optimistische Vorstellungen zu den vorhandenen IT-Sicherheitsrisiken, die Geschwindigkeit der Time-to-Market-Prozesse bei der Entwicklung, die oftmals niedrigen Produktpreise, die häufig lange Lebensdauer der Produkte, die geringen Möglichkeiten für eine Interaktion zwischen Produkt und Nutzer sowie der mangelnde Wille des Nutzers, die IoT-Lösungen zu warten.

Die Sicherheitsarchitektur müsse zu dem initialen und finalen Produktdesign gehören und auf zahlreiche Fragen eine Antwort liefern können, darunter

die Gewährleistung eines sicheren Betriebs außerhalb einer durch Firewalls geschützten Umgebung,
eine Minimierung der Angriffsflächen durch Härtung des Systems (Verzicht auf unnötige Funktionen, zumindest aber Deaktivierung),
die Klärung des Identitäts- und Zugriffsmanagements,
ein Prozess zur Fehlersuche und zur Reaktion auf entdeckte Fehler und Schwachstellen sowie
die Schaffung der (Hardware-)Voraussetzungen für eine starke Verschlüsselung.

Ohne ein Security und Privacy Assessment innerhalb des Design-Prozesses und ohne Sicherheitstests vor der Freigabe solle keine IoT-Lösung auf den Markt kommen.

Entwickler und IT-Sicherheitsexperten müssen stärker kooperieren

Security by Design wird generell gefordert, um den steigenden IT-Sicherheitsrisiken zu begegnen. Für das Internet of Things ist Security by Design allerdings unumgänglich, da mögliche Fehler in der Entwicklung später durch Patches kaum noch behoben werden können.

IT-Sicherheitsexperten stufen das Einspielen von Sicherheitspatches als wichtigste IT-Security-Maßnahme ein. Im Fall von IoT-Geräten ist dies allerdings oftmals nicht möglich.
Foto: Google

Eine Umfrage von Progress Software unter Entwicklern für IoT-Apps zeigt, dass Entwickler den Schutz der Privatsphäre (20 Prozent) als die größte Herausforderung bei der Erstellung und dem Einsatz von IoT-Apps sehen. Knapp dahinter bewerten sie offene und interoperable Standards sowie den Schutz der Daten vor Cyber-Angriffen als größte Knackpunkte (jeweils 19 Prozent).

IoT-Lösungen und IoT-Entwickler brauchen somit dringend Unterstützung durch die IT-Sicherheit, allerdings nicht nur in Form von spezialisierten Security-Angeboten, sondern auch in Form einer Kooperation zwischen IT-Sicherheitsexperten und Entwicklungsexperten direkt in der Design- und Konzeptionsphase für IoT-Lösungen.

"Sicherheit im Internet der Dinge, und in der IT überhaupt, ist keine reine Technologiefrage. Vielmehr kommt es darauf an, effektive und dynamische Strategien zu definieren, die präventive Kontrollen, investigative Prozesse und eine schnelle Reaktion auf Sicherheitsvorfälle miteinander kombinieren", so Bob Griffin, Chief Security Architect bei RSA, anlässlich der IT-Security-Messe it-sa 2015.

Der G DATA Sicherheitsexperte Eddy Willems sieht allerdings einen Engpass bei den IT-Sicherheitsexperten: "Zweifelhaft ist, wie Sicherheitsexperten die Fülle der IoT-Unternehmen unterstützen können, da dieser Markt exponentiell wächst. Schon heute haben IT-Security-Fachleute alle Hände voll zu tun: Sie arbeiten kontinuierlich daran, das Internet sowie die Betriebssysteme und Geräte, die wir als Anwender nutzen, sicherer zu machen. Die beste Methode, mit diesen Gefahren des Internets der Dinge umzugehen, ist folglich ein ganzheitliches und systemisches Konzept."

Mehr QS-Zeit für längeres Produktleben

Das Internet of Things braucht ein integriertes Security Management, das von der ersten Lösungsidee bis zum Ende des Produktlebenszyklus reicht und nicht nur auf den Schultern der IT-Sicherheit ruht. Dazu gehört auch ein Notfallmanagement, das auf Sicherheitsprobleme bei den IoT-Lösungen umgehend reagiert.

6 Baustellen beim Internet of Things

Sechs Baustellen beim Internet of Things
Das Internet der Dinge beflügelt die Phantasien von Anwendern, Unternehmen und Technikanbietern. Bevor die schöne neue Welt des Internet of Things (IoT) Wirklichkeit wird, müssen zunächst einige Baustellen abgearbeitet werden.

Technik
Die meisten für das Internet der Dinge notwendigen Techniken gibt es bereits. Allerdings sind gerade im Umfeld von Analytics und Datenvisualisierungssoftware noch weitere Entwicklungen notwendig. Auch hinsichtlich der Energieversorgung beispielsweise von Sensoren in Containern, die über lange Perioden hinweg ohne ständige Wartungszyklen funktionieren sollten, gibt es noch einige Probleme zu lösen.

Interoperabilität
In vielen Fällen basiert der Mehrwert von IoT darauf, dass verschiedene Systeme zusammenarbeiten und Daten austauschen. Daher sind Standards und die darauf basierende Interoperabilität eine Grundvoraussetzung für das IoT.

Sicherheit
Im IoT geht es primär um Daten – oft um sensible Daten, die aus dem Privatbereich kommen oder geschäftskritisch für Unternehmen sind. Privacy und Security müssen daher gewährleistet sein. Darüber hinaus müssen die IoT-Systeme selbst abgesichert werden, gerade wenn es sich um kritische Infrastrukturen wie beispielsweise die Energieversorgung oder Verkehrsleitsysteme handelt.

Mitarbeiter müssen fit gemacht werden für das IoT.
Das reicht vom Verkaufspersonal, das mit smarten CRM-Systemen umgehen muss, über die Mitarbeiter im Büro bis hin zu den IT-Abteilungen. Mit dem IoT infiltriert IT ein deutlich breiteres Spektrum an Geräten.

Regeln und Gesetze
Für den IoT-Einsatz braucht es in einigen Bereichen neue Regeln. Das betrifft beispielsweise den Gesundheitsbereich, aber auch den Verkehr. Hier muss der Gesetzgeber aktiv werden und den Märkten einen neuen Rahmen geben. Gleichzeitig kann die öffentliche Hand dem IoT auch selbst zusätzliche Impulse geben, beispielsweise durch die Adaption der neuen Techniken.

Sind keine Fehlerbehebungen möglich und reicht der Schutz durch abschirmende Security-Lösungen gegen mögliche Angriffe nicht aus, muss das Ende des Produktlebenszyklus eingeläutet werden, die IoT-Lösung muss bei entsprechender Gefahr für Nutzer oder Nutzerdaten vom Markt genommen werden.

Wenn eine IoT-Lösung lange auf dem Markt verfügbar sein soll, geht dies nur bei ausreichend langer Zeit für Qualitätssicherung und IT-Sicherheitsmanagement. Dr. Paul Vixie zum Beispiel empfiehlt als zusätzliche QS-Maßnahme, verschiedene Red Teams (Sicherheitstester, die nicht zum Entwicklungskernteam gehören) einzuladen, am Prozess der Produktentwicklung teilzunehmen, diesen Teams Anreize und Kompensation zu bieten, wenn sie die ersten sind, die einen Fehler finden, sowie gemeinsame Pressemeldungen anlässlich der Produkteinführung vorzusehen, in denen die Redteams ihre Fähigkeiten herausstellen dürfen. IT-Sicherheit und Qualitätssicherung gelangen so in den Fokus des Internet of Things. Andernfalls gerät das Internet of Things zunehmend in den Fokus der Angreifer. (sh)