:quality(80)/p7i.vogel.de/wcms/58/a9/58a99f4fba2171dc85f3544414c5ec0c/0115493278.jpeg "Blick auf die Umgebung des Industrial-Edge-Marktplatz von Siemens. Diese Plattform ist nun die Basis, von der man ab jetzt auch die Funktionen von IoT Sitewise Edge von Amazon Web Services (AWS) nutzen kann. Erfahren Sie hier, welche Vorteile das für Anwender hat ... (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/05/48/05487482c0f079fe15af84683717c14b/0115489579.jpeg "Dieser Schreitbagger hat es in sich. Denn er greift und scannt jeden Steinbrocken, um ihn an die richtige Stelle zu setzen, wobei nach und nach eine zig Meter lange und sechs Meter hohe Trockenbaumauer entsteht. Forscher aus Zürich haben ihn nämlich „intelligent“ gemacht. (Bild: Eberhard AG / M. Schneider)")
:quality(80)/p7i.vogel.de/wcms/3e/16/3e16af38de3a62f12a7be370407bbac1/0115525732.jpeg "Die Cyber-Security-Anforderungen wachsen. Bei Hilscher begegnet man dem mit der neuen Net-X-Familie, die zunächst aus zwei Chips bestehen wird – dem Net-X 902 und Net-X 912. Damit sei man bereits gut für die Herausforderungen der Zukunft gerüstet. (Bild: Hilscher)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b50764dc881f744102b9e9aa4fda7/0114414633.jpeg "Dank der fehlenden Abhängigkeit von der Hardware erleichtert und beschleunigt SDS die Adaption neuer Technologien. (Bild: spainter_vfx - stock.adobe.com/ Western Digital Corporation)")
:quality(80)/p7i.vogel.de/wcms/39/28/3928479c781fd094dd193f7bf17d5661/0115596513.jpeg "Benedikt Hofmann, Chefredakteur der Medienmarken Blechnet, ETMM, Industry of Things, MM Logistik und MM Maschinenmarkt. (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/b4/a3/b4a3906e00fdab4ea3002425811e7f91/0115464434.jpeg "Im UniMelt-Prozess wird gebrauchtes Pulver in Premium-Pulver für die additive Fertigung umgewandelt. (Bild: 6K)")
:quality(80)/p7i.vogel.de/wcms/54/41/54419e2615d111173263d0641edcfc6e/0115435975.jpeg "Im Reallabor der BAM wird der gesamte 3D-Druckprozess digitalisiert. Drei Metalllegierungen wurden jetzt mittels der Dynamischen Resonanz Methode (DRM) charakterisiert. (Bild: Bundesanstalt fuer Materialforschung u.-pruefung (BAM))")
:quality(80)/p7i.vogel.de/wcms/c1/92/c192faf294760188551a251a50a706a2/0115421140.jpeg "Neben Antennen, Ventilen und Steckern ist diese komplexe Wärmetauscher-Komponente ein typisches Kupferbauteil, das FKM im Laserstrahlschmelzen additiv fertigt. (Bild: FKM Sintertechnik)")
:quality(80)/p7i.vogel.de/wcms/8f/d2/8fd22e3afa16eab2d027135fed098bbd/0115495459.jpeg "Das Statistische Bundesamt hat zigtausend Unternehmen mit über zehn Mitarbeitern in Deutschland befragt, wie es um die Nutzung von künstlicher Intelligenz bestellt ist. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c1/e7/c1e7660b47dd742db16fff421ac4b8f1/0115568731.jpeg "Der Roboter schleift hier mithilfe der neuen IWU-Ausgleichseinheit eine Freiformfläche präzise. Die Ausgleichseinheit hält dabei die Anpresskraft und die Abtragleistung konstant, heißt es. (Bild: Fraunhofer-IWU)")
Security Consumer-IoT: Standardisierte Anforderungen und Prüfmethoden für ein Mindestmaß an Sicherheit
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/108300/108310/65.jpg "schneide.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Neben dem industriellen Bereich dominieren immer wieder auch Schlagzeilen zur Sicherheit von IoT-Produkten für den Privatgebrauch die Berichterstattung. Soll das Internet of Things, beziehungsweise dessen Geräte und Anwendungen, sicherer werden, braucht es verbindliche Normen.
Das Internet of Things ist in sämtlichen Bereichen des Lebens längst Realität. Die Vernetzung von Dingen, also Sensoren und Aktuatoren mit Apps, Webportalen und Backendkomponenten, ist nicht mehr wegzudenken. Bei all diesen Geräten werden Daten generiert und verteilt. Aber wie können wir garantieren, dass die IoT-Produkte und die Daten der Nutzer mit all Ihren Verbindungen auch sicher sind?
Nicht selten sind IoT-Produkte Zielscheibe von Hacker-Angriffen auf Geräte-, System- und Datenebene. Mit standardisierten Anforderungen und Prüfmethoden der IoT-Security kann im heterogenen Umfeld des Internet of Things im großen Maße und auch kostengünstig ein Mindestmaß an IT-Security gewährleistet werden. Davon profitieren insbesondere auch die Produktqualität und das Vermarktungspotential dieser Produkte.
Der heterogene Markt an Consumer-IoT-Produkten und die stetig wachsende Zahl an Vorfällen im Bereich der IT-Security sowie die zunehmende Sensibilisierung der Kunden für dieses Thema führen zu der Notwendigkeit, Produkten des Consumer-IoT eine messbare Sicherheit gegenüber IT-Security Risiken bescheinigen zu können. Dieser Beitrag erläutert anhand der abstrahierten Systemarchitektur sowie exemplarischen Maßnahmen, welche Bedeutung einer Normung im Bereich der IT-Security für Consumer-IoT-Produkte zugerechnet werden kann.
Die IoT-Anatomie
Das Internet of Things folgt im Wesentlichen einer ähnlichen Systemarchitektur (vgl. Abb 1): Sensoren und Aktuatoren verbinden sich mit den Backendsystemen. Dies erfolgt sowohl kabelgebunden als auch kabellos. Die Frontends, wie Apps oder auch Webportale, kommunizieren über das Internet mit dem Backend oder auch direkt über drahtlose Verbindungen mit dem Sensor oder Aktuator.
:quality(80)/p7i.vogel.de/wcms/b2/ae/b2ae01ed743e60ae4206c2001a2c8748/92494942.jpeg "Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft wird. (Bild: Stephan Wiefling/H-BRS)")
Security
Wenn Ihre Passwörter zu schwach sind
Diese Systeme unterscheiden sich hinsichtlich der verwendeten Backendsysteme inklusive der IoT-Plattformen sowie der Verbindungstechnologien und Frontendtechnologien. Für die Kommunikation sind zahlreiche Protokolle (zum Beispiel MQTT, IPv6, TLS) denkbar und kommen kombiniert zur Anwendung.
In der Regel werden die Daten über eine IP-Verbindung übertragen. Die Architektur- und Technologieentscheidung hängt im Wesentlichen vom Verwendungszweck, dem Verwendungsort und der Anzahl an Nutzern ab. Zusätzlich sind regulatorische Vorgaben ausschlaggebend - nicht unbedingt nur hinsichtlich der IT-Security. Die Gesamtarchitektur kommt selten von einem Anbieter und somit aus einer Entwicklungsabteilung. Vielmehr sind die Systeme über mehrere Anbieter, wie IoT-Plattformen, Cloudanbieter oder Kommunikationsnetzanbieter verteilt. Lediglich die Integration der einzelnen Systembestandteile und „das System vor Kunde" liegen in der koordinativen Verantwortung des Lösungsanbieters.
Die Herausforderung
Die in Abbildung 1 dargestellte, abstrahierte Architektur offenbart die umfangreiche Angriffsoberfläche. Die daraus resultierenden, zahlreichen Angriffsvektoren sind in Abbildung 2 skizziert. So variieren die Angriffsvektoren auf das IoT-Gerät selbst oder die enthaltene Firmware im Vergleich zu denen auf die Verbindungsstrecken, die Apps, das Portal oder das Backend.
Um das Gesamtsystem sicher zu machen, muss überall im System ein Mindestmaß an Sicherheit gewährleistet sein. Dies umfasst die gesamte Architektur und betrifft insbesondere auch Aspekte, wie zum Beispiel die prozessualen Vorgaben an die Nutzung und Gestaltung von Passwörtern, das Firmware-Update-Prozedere oder die verwendeten Protokolle bei der Kommunikation und der Bewirtschaftung der Daten. Nur wenn alle Aspekte abgesichert sind, können die Privatsphäre der Nutzer, die Verfügbarkeit des Devices und der damit verbundenen Dienstleistung sowie die Datenintegrität gewährleistet werden. Dabei sind die obersten Prämissen, dass
- 1. Kunde und Betreiber keinen Schaden nehmen und
- 2. die regulatorischen Rahmenbedingungen eingehalten werden.
Hier ist insbesondere die DSGVO zu nennen und von übergeordneter Bedeutung.
:quality(80):fill(efefef,0)/images.vogel.de/vogelonline/bdb/1778600/1778630/original.jpg "Whitepaper Cover: VIT")
Die Normen und Anforderungen an die IT-Security für IoT-Produkte
Mehrere Normungsorganisationen haben sich der Herausforderung angenommen, Vorgaben für die Anforderungen und Prüfverfahren hinsichtlich der IT-Security für Consumer-IoT-Produkte für alle zuvor genannten Aspekte zu definieren.
Somit ist es auf eine transparente Art und Weise möglich, auf der Basis von einheitlichen Richtlinien eine produktübergreifende Messbarkeit der IT-Security zu gewährleisten. Hierbei ist eine Differenzierung nach dem angestrebten Grad an Sicherheit beziehungsweise den notwendigen Anforderungen je nach Anwendung und Use -Case wichtig, da die Anforderungen an die Sicherheit entsprechend des Verwendungszwecks variieren. Hervorzuheben ist in diesem Kontext die Norm ETSI EN 303 645 - Cyber Security for Consumer Internet of Things, die vom European Telecommunications Standards Institute (ETSI) veröffentlicht wurde. Basierend auf den Normen, mit denen Anforderungen an die IT-Security für Consumer-IoT-Geräte formuliert werden, wurden auch Testpläne etabliert. Hier ist der Cybersecurity Certification Test Plan der Cellular Telecommunications and Internet Association (CTIA) zu nennen. ETSI arbeitet ebenfalls an einem Testplan, der noch vor Ende 2021 verfügbar sein soll.
:quality(80)/images.vogel.de/vogelonline/bdb/1592500/1592513/original.jpg "Auch wenn sie bei IoT-Devices manchmal erst im Nachhinein auftreten: Security-Compliance-Anforderungen müssen bewältigt werden können. (Shutterstock)")
Cybersecurity
Längerfristige Sicherheit von IoT-Devices: Drei praktikable Wege der Gestaltung
Fazit
Mit Hilfe einheitlich definierter Anforderungen an die Sicherheit von Consumer-IoT-Geräten einerseits und den entsprechenden Prüfmethoden andererseits kann eine transparente und vergleichbare Aussage über den Grad der IT-Security für die genannten Produkte getroffen werden.
Sind diese Normen als Industriestandard definiert und etabliert, werden Kunden diejenigen Produkte als vertrauenswürdig bewerten, bei denen die Anforderungen an die IT-Security eingehalten werden. Produkte, die das Einhalten der Anforderungen nicht nachweisen können, werden von den Kunden voraussichtlich weniger nachgefragt werden.
Offen bleibt die Frage nach einer für die Kunden sichtbaren Zertifizierung mit entsprechender Außenwirkung in einem definierten Markt. Hier gilt es, die verfügbaren Normen auch als Standard in einem entsprechenden IT-Security-Zertifizierungsregime zu etablieren und zur Anwendung zu bringen. Zusammenfassend lässt sich beobachten, dass das Ziel der Messbarkeit und Vergleichbarkeit der IT-Security für den sehr heterogenen Markt an Consumer-IoT-Geräten erreichbar scheint. Damit wird dem Endkunden eine fundierte Möglichkeit geboten, Anwendungen des IoT mit einem bekannten Maß an implementierter IT-Security zu nutzen.
* Jörn Edlich arbeitet als Senior Manager bei MM 1.
* Pablo Endres ist Gründer von Seven Shift.
(ID:47059346)
:quality(80)/p7i.vogel.de/wcms/d6/7e/d67ec6efaba05957c28cda0cd43ff8c5/0108307602.jpeg "Parallel zum Sicherheitsaspekt spielte die Nachhaltigkeit in der Wirtschaft eine immer wichtigere Rolle. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/08/090807fbe7f9d3e9f2caad5a74b24e91/0113385890.jpeg "Während Cyberangriffe immer raffinierter und zahlreicher werden, stellen auch Mitarbeiter eine Sicherheitsbedrohung dar – oft unbeabsichtigt. (Bild: frei lizenziert)")