Internet der Dinge (IoT): Wer sorgt für Sicherheit und ist haftbar?

Das Internet der Dinge (Internet of Things, IoT) wird in Sachen Security eine Mammutaufgabe. Unklar sind Rechtslage und die Verantwortlichkeit.

Dieser Artikel behandelt

Datenschutz

Befürworter predigen, dass das Internet der Dinge (Internet of Things, IoT) mit Business-Möglichkeiten in Milliardenhöhe winkt. Gleichzeitig ist es aber möglicherweise ein Desaster für die Privatsphäre und die Sicherheit. Bevor wir alles um uns herum mit dem Internet verbinden, sollten wir uns allerdings zunächst einmal mit der Sicherheit beschäftigen.

Über die Security in Bezug auf das Internet der Dinge zu diskutieren, ist schwierig. Der Grund dafür ist, weil das Konzept so gewaltige Ausmaße hat. Wenn Sie „alles“ mit einer IP-Adresse versehen, wie behalten Sie dabei den Überblick und die Kontrolle? Verbundene Geräte können Autos, Kühe, Bohrinseln, medizinische Geräte, Kühlschränke und so weiter sein. Es gibt keinen Perimeter, der all diese Ziele umfassen kann.

Bret Hartman ist Vize-Präsident und CTO (Chief Technology Officer) für Security und Government Group bei Cisco. Er sagte: „Die Herausforderung ist, dass wir all diese Felder so separat wie möglich halten. Die in diesen Bereichen verwendeten Technologien tendieren dazu, sich auf ein spezielles Areal zu fokussieren. In Bezug auf Security und das Internet der Dinge wird es kein Universalkonzept geben.“

Firmen und individuelle Personen werden außerdem feststellen, dass Sie die Kontrolle über ihre Daten komplett verlieren. Sie wissen nicht mehr, wo die Informationen sich befinden und wohin sie transferiert werden. Als Firmen von Consumerization getroffen wurden, also der Vermischung von Privat- und Geschäftsbereichen, hat sich die Kontrolle über die Daten von der IT-Abteilung zum Anwender verlagert. Die IT-Abteilungen versuchen sich immer noch von diesem Schock zu erholen. Nun steht die nächste Veränderung bereits vor der Tür.

„Die Kontrolle verschiebt sich vom Anwender hin zu den Maschinen.“, sagte Dipto Chakravarty. Er ist Vize-Präsident für Engineering und Products bei ThreatTrack Security. „Wenn es sich in Richtung Maschinen verschiebt, ist Konnektivität das Gegenteil von Sicherheit. Je mehr Verbindungen offen sind, desto weniger Security bedeutet das. Das gilt zumindest, solange man die Geschichte nicht angemessen in Schichten unterteilen kann.“, fügte er an.

Sicherheit im Internet der Dinge: Es ist nicht einfach

Die „Dinge“ im Internet der Dinge zu dressieren ist eine gewaltige Aufgabe. Security benötigt Rechenleistung und die meisten „Dinge“ sind nur mit einem Minimum ausgestattet, wenn überhaupt.

„In der Regel sind diese Endgeräte nicht groß. Sie besitzen nicht viel Rechenleistung und das wirkt sich im Speziellen auf den Bereich Security aus.“, sagte Hartman. „Es gibt Glühbirnen, die sich mit IP-Adressen ausstatten lassen. In diesen ist aber nicht viel Rechenleistung für die IT-Sicherheit übrig.“, meinte er.

Weiterhin gibt es auch immer ein Betriebssystem, wenn wir von einem IP-verbundenen „Ding“ sprechen. Betriebssysteme müssen sich aktualisieren lassen. Ist das nicht der Fall, finden böswillige Hacker immer Schwachstellen. Botnets freuen sich bereits auf Millionen an Neuzugängen in Form von Zombie-Appliances und anderen „Dingen“.

Diese „Dinge“ kommunizieren und beeinflussen sich auch noch alle gegenseitig.

„Wie viel kann schief gehen, wenn sich jemand in das Monitoring-System einer Kuh hackt?“, fragte Erik Hanselman. Er ist leitender Analyst bei 451 Research. Es handle sich hier lediglich um passive Daten und da kann eigentlich nicht viel passieren. Allerdings könnten die Daten über den Gesundheitszustand der Kuh an ein anderes „Ding“ eines Bauernhofs übertragen werden. Dieses verarbeitet die Daten und generiert somit wieder neue. Diese Daten verbreiten sich ebenfalls wieder und das ganze geschieht über IP-Netzwerke.

„Dies sind normalerweise Pfade, die schlecht geschützt sind. Das größere Problem sind weniger die Endgeräte. Allerdings erschaffen die Pfade der Daten eine neue Angriffsfläche.“

„Was passiert, wenn sich jemand die Kontrolle über die Mikrowelle ergaunert hat und dem Kühlschrank ständig mitteilt, er soll sich abschalten?“, fragte Chakravarty von ThreatTrack. „Sie würden niemals darauf kommen, dass etwas an der Mikrowelle faul ist. Der Anwender wird immer mehr aus der Rechnung genommen. Möglicherweise haben wir ein Smartphone an uns, das allerdings nicht nur ein Telefon ist. Es ist ein Sender und Empfänger, das Informationen genau wie ein Router im Netzwerk propagieren kann.“, fügte er an.

Security für das Internet der Dinge: Wie geht man die Sache an?

Einige Experten sind der Meinung, dass Netzwerk-Monitoring die Lösung des Problems ist.

„Es geht mehr darum, die Netzwerk-Komponenten zu verwenden, um den Datenverkehr all dieser Geräte zu überwachen. Sobald man Missbrauch oder einen potentiellen Angriff vermutet, limitiert man den Traffic.“, mein Ciscos Hartman. „Bei einem industriellen Kontrollsystem ändern Sie die Konfiguration eines Roboters vielleicht mit einer Management-Konsole. Sie würden aber nicht erwarten, dass sich die beiden Roboter-Arme gegenseitig neu programmieren. Genauso können Sie das auf den Traffic adaptieren und feststellen, dass da gerade etwas schiefläuft. Sie können den Datenverkehr der Roboter kontrollieren und limitieren.“, meinte Hartman.

Für die Sicherheit beim Internet der Dinge wird auch eine Infrastruktur für das Schlüssel-Management benötigen. Das gilt auch für das Identitäts-Management. Diese Systeme müssen laut Earl Perkins in der Lage sein, in die Milliarden zu skalieren. Perkins ist Vize-Präsident im Bereich Research bei Gartner.

„Wir müssen Wege finden, um Daten in solchen Umgebungen zu schützen. Dabei ist es egal, ob es sich um ein IoT-Ding oder eine Zwischenstelle handelt.“, fügte er an. „Unsere Sichtweise bei Verschlüsselungs-, Schlüssel- und Identitäts-Management hat sich anzupassen. Wir müssen die Ressourcen von Identitäts- und Betriebsmittel-Management kombinieren, weil die Anwender zu ihren eigenen und persönlichen Cloud-Netzwerken werden. Das Internet der Dinge, das Sie mit sich herumtragen und das Sie zu Hause haben ist wie eine Cloud an Geräten, die Sie umgibt. Sie besitzen eine Identität und die Geräte ebenso. Wie aber halten Sie die Beziehungen zwischen Ihnen und diese Dingen aufrecht?“, fragte Perkins.

Das Internet der Dinge verlangt auch nach einem anspruchsvolleren Ansatz für das Risiko-Management. Nicht alle Geräte im Internet der Dinge werden brandneu sein. Unternehmen versehen ältere Geräte und Systeme mit IP-Verbindungen und extrahieren Daten. Diese Altlasten sind einem höheren Risiko ausgesetzt als ein Gerät, das von Grund auf als IP-Endgerät entwickelt wurde.

„Es muss zusätzliche Intelligenz involviert sein, damit man mit das von den älteren Datenquellen ausgehendem Risiko richtig adressieren kann.“, sagte Hanselman von 451 Research.

Sicherheit beim Internet der Dinge: Wer ist für die Probleme verantwortlich?

Fest steht, dass beim Absichern des Internet der Dinge viel Arbeit ansteht. Bevor man allerdings an die Problematik selbst herangeht, muss man zunächst evaluieren, wer dafür überhaupt verantwortlich ist. Milliarden an neuen Geräten werden Daten sammeln und diese teilen. Dafür sorgt eine breite Palette an Unternehmen. Wer kümmert sich aber um die Probleme?

Hanselman sagt, dass dies im Moment nicht ganz klar sei. Es sei nicht einmal klar, wer für durch das Internet der Dinge verursachte Schäden haftbar ist, die durch Sicherheits-Verletzungen ausgelöst wurden. „Sieht man sich die derzeitigen Gesetze an, hat der Verlust der Privatsphäre in den USA bisher keinen besonderen Wert.“, fügte er an.

Noch düsterer sieht es aus, wenn es um die Haftbarkeit bezüglich Hacks geht, die für Schäden an Personen oder Sachgütern verantwortlich sind, meinte Hanselman. Das Gesetz ist unklar über die Haftbarkeit, wenn zum Beispiel jemand das Bremssystem eines Autos hackt, was wiederum zu Verletzungen, Sachschäden oder sogar zum Tode führt. Ist der Autohersteller oder der Einbruch über eine Sicherheitslücke verantwortlich? „Irgendwann wird ein Präzedenz-Fall diese Sachlage klären. Im Moment ist es allerdings eine Grauzone.“, meint Hanselman.

In vielen Fällen werden die Hersteller der „Dinge“ für das Internet of Things nicht für die Security verantwortlich sein. Stattdessen wird man Unternehmen in die Pflicht nehmen, die die Anwendungen für die Verbindungen bereitstellen.

„Das Problem beim Absichern der Geräte wird möglicherweise bei denen hängen bleiben, die einen Service durch das jeweilige Gerät anbieten.“, meint Gartners Perkins. „Vielleicht ist das derjenige, der die Anwendung und den Service anbietet. Vielleicht ist es auch der Service-Provider des Netzwerks. Unter Umständen sind es auch beide. Ein großes Problem ist die Definition der rechtlichen Verantwortlichkeit, wenn diese Geräte verrückt spielen.“, fügte er an.

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close