IT-Sicherheit und Datenschutz in IoT-Projekten umsetzen

Inhaltsverzeichnis

Ob Medizintechnik, Automobilbranche oder Automatisierung von Wirtschaftsabläufen: De facto sind viele IoT-Daten und -Anwendungen hoch sensitiv und sollten nur für Berechtigte zugänglich sein. Leider ist das in der Realität oft nicht der Fall.

2013 konnten Angreifer aufgrund einer Sicherheitslücke Heizungsanlagen von Einfamilienhäusern aus dem Internet abschalten und sogar beschädigen. Viele Smart-TVs werden durch schlecht gesicherte Verbindungen zu "Spionen im Wohnzimmer". Autos fangen wie von Geisterhand an zu lenken und zu bremsen, und selbst vermeintlich abgeschottete Industrieanlagen hören auf einmal auf feindliche Kommandos aus der Ferne. Die Frage nach Informations- oder Datensicherheit (Data Security) und Datenschutz (Data Privacy) im Internet der Dinge ist also längst keine rein akademische Frage mehr. Nur wenn beides gewährleistet ist, werden Unternehmen wie Verbraucher bereit sein, ihre Daten dem Netz anzuvertrauen und die fortschreitende Digitalisierung offen zu begleiten.

Dem entgegen steht jedoch eine oftmals nicht hinreichend ausgeprägte Sicherheitskultur. Entwickler und Betreiber schenken der IT-Sicherheit von IoT-Geräten in der Regel zu wenig Aufmerksamkeit. Zusätzlich fehlen geeignete Standards und Know-how, was sich unter anderem damit erklären lässt, dass die Sicherheitsthematik im Internet der Dinge trotz der erwähnten vereinzelten Angriffe noch relativ neu ist. Entsprechende Experten sind daher rar und teuer.

Bedrohung der Informationssicherheit

Anreize, Daten und Funktionen von IoT-Anwendungen zu stehlen, unberechtigt zu nutzen, zu manipulieren oder gar zu zerstören, gibt es für zahlreiche Akteure. Die Spanne der abgreifbaren Information reicht dabei von persönlichen Daten und Daten zum Nutzungsverhalten, über Geschäftsgeheimnisse bis hin zu Wirtschaftsdaten. Über den reinen Datendiebstahl hinaus könnten Angreifer versuchen, Daten oder Funktionen gezielt zu manipulieren, um zum Beispiel Geschäftsmodelle zu unterlaufen, gesetzliche Vorschriften und Nachweise zu umgehen, Berechtigungen unerlaubt zu erschleichen oder zu erweitern oder direkte Sabotage zu betreiben.

Dabei ist der Angreifer nicht nur der unbekannte Hacker oder Virus aus dem Internet, sondern oftmals der rechtmäßige Besitzer oder Benutzer einer IoT-Anwendung selbst. Bekannt sind derartige Fälle unter anderem vom Chiptuning aus der Automobilwelt oder aus der Energiewirtschaft (digitaler Stromzähler). Ein derartiger gezielter Zugriff erschwert einen effektiven Schutz besonders, weil der Angreifer in der Regel über eine erweiterte Zugriffsberechtigung und die volle physikalische Kontrolle über das Angriffsziel verfügt. Zudem erhöht die immer umfangreichere Software die Auftrittswahrscheinlichkeit kritischer Sicherheitslücken. Die zahlreichen, vor allem drahtlosen Schnittstellen vergrößern Angriffsfläche und Reichweite potenzieller Angriffe und tun so ihr übriges.

Die häufigsten Schwachstellen für die Datensicherheit von IoT-Anwendungen ergeben sich vor allem (vgl. OWASP 2014) aufgrund:

• schlecht gesicherter Webanwendungen, die unter anderem für Cross-Site-Scripting oder SQL-Injection anfällig sind,
• schwacher Benutzer- und Geräteauthentifizierung,
• ungesicherte Kommunikationskanäle,
• unsichere Vorkonfigurationen und ferner
• Sicherheitslücken in der Hard- und Software.

Dass diese Risiken nicht nur theoretischer Natur sind, hat eine von Hewlett Packard (HP) initiierte Untersuchung (PDF) von zehn IoT-Geräten 2014 eindrucksvoll belegen können. Demnach benutzen unter anderem 60 Prozent der untersuchten Geräte Weboberflächen, die anfällig für Cross-Site-Scripting sind, über 70 Prozent kommunizieren mit der Außenwelt in Klartext und mehr als 80 Prozent verwenden unzureichend geschützte Mechanismen zur Authentifizierung.

Der Datenschutz von IoT-Anwendungen wird vor allem durch übermäßige Erhebung, Verarbeitung und (verteilte) Speicherung von Daten, unzureichende oder unsichere Zugriffskontrollen, mangelnde Verschlüsselung und schlechte Anonymisierung gefährdet. Oftmals kommen, neben den Datenschutzschwächen im Gerät, auch noch mangelndes Bewusstsein und unzureichender Schutz im Umgang mit personenbezogenen oder geschäftskritischen Daten in der Backend-IT und den Prozessen des Betreibers hinzu. Neun von zehn der 2014 untersuchten IoT-Geräte verarbeiten mindestens eine personenbezogene Information, sodass die dringende Notwendigkeit eines effektiven Datenschutzes unmittelbar klar wird.