Suchen

IoT-Security Im Internet of Things hinkt die Sicherheit hinterher

| Autor / Redakteur: Taylor Armerding/Tim Mackey* / Sebastian Human

Der Markt für IoT-Anwendungen entwickelt sich rasant. Oft steht für die Anbieter die Performance der jeweiligen Lösung allerdings vor dessen Sicherheit. Das kann sich perspektivisch rächen. Ein Plädoyer für’s Umdenken.

Firmen zum Thema

Security-Aspekte rangieren bei der Entwicklung von IoT-Lösungen noch immer hinter Features und Geschwindigkeit.
Security-Aspekte rangieren bei der Entwicklung von IoT-Lösungen noch immer hinter Features und Geschwindigkeit.
(Bild: gemeinfrei / Pixabay )

Das Internet der Dinge wächst weiter in Rekordgeschwindigkeit und könnte zum Internet of Everything (IoE) werden. Die Gerätesicherheit allerdings, sie hinkt hinterher. Eine Tatsache, die zwar der Community bekannt ist, nicht aber unbedingt bei Geräteherstellern und Verbrauchern gleichermaßen.

Die größte Herausforderung liegt dabei in der Komplexität und der Geschwindigkeit, mit der sich die Entwicklung vollzieht. Aktuell haben wir es mit einem Phänomen zu tun, das - moralisch betrachtet - einer Landnahme gleicht: Unabhängig davon, was ein Gerät potenziell tun könnte, arbeitet ein geschätztes Dutzend von Anbietern aktiv daran es marktreif zu machen. Treiber sind insbesondere neue Features und Funktionen, die möglichst schnell mit dem betreffenden Gerät auf den Markt gebracht werden sollen. Sicherheit steht, so überraschend das heute klingen mag, dabei nicht im Vordergrund.

Sicherheit vs Performance

Sicherheitsfachleute bis hin zu Mainstream-Medien haben vielfach berichtet wie angreifbar IoT-Geräte sind. Trotzdem sind sich Experten einig, dass auf dem wettbewerbsintensiven Markt für IoT-Geräte Features und Geschwindigkeit die Sicherheitsbedenken in den Hintergrund drängen. Kunden begeistern sich nach wie vor eher dafür, was ein Gerät leistet und nicht wie sicher es ist. Entwickler fühlen sich unter Zugzwang und reagieren auf die Nachfrage. Sicherheit in ein Produkt zu integrieren kostet Zeit. So fürchten denn nicht wenige, dass Dutzende von Konkurrenten, die ein ähnliches Produkt entwickeln, damit schneller zum Zuge kommen.
Eine Sache, die das ändern könnte, ist der wachsende gesetzliche Druck. Regierungen und Behörden drängen darauf, den Sicherheitsstatus des IoT zu verbessern. Sei es im Rahmen von Datenschutzbestimmungen wie der EU-Datenschutz-Grundverordnung (DSGVO) oder dem kalifornischen Consumer Privacy Act (CCPA).

Die Forderung, Daten geheim zu halten, bedeutet zugleich, sie sicher aufzubewahren. Sicherheit hat jedoch auch bei den Geräteherstellern nicht die höchste Priorität. Für sie zählt, dass das Gerät stabil läuft und die Budgetanforderungen erfüllt. Wer hier Stabilität sagt, meint Funktionalität und nicht Sicherheit. Webdienste, WLAN-Konnektivität, Bluetooth-Schnittstellen und viele andere der in einem Gerät integrierten Funktionen, sind allesamt hochkarätige Angriffsflächen.

Herausforderung: eingebettete Firmware-Systeme

Das heißt nicht, dass sich die Hersteller keine Gedanken über die Sicherheit ihrer Produkte machen. Eine der Prioritäten ist es, sicherzustellen, dass Updates ein Gerät nicht so stark verändern, dass der Benutzer komplett umdenken muss, wenn er bestimmte Funktionen nutzen will. Eine zusätzliche Priorität liegt in der Verwaltung der Geräte, um Daten vor Verlust zu schützen. Zudem sollten die erhobenen Daten angemessen gesichert werden, und zwar nachvollziehbar transparent für den Verbraucher.

Und selbst wenn Sicherheit bei IoT-Geräten Priorität hätte, besteht das Problem darin, dass auf diesen Geräten in den meisten Fällen keine herkömmlichen Betriebssysteme laufen. Wir sprechen hier von echten eingebetteten Firmware-Systemen. Das hat aus der Sicherheitsperspektive eine ganz andere Dimension, denn traditionelle OS-basierte Ansätze lassen sich nicht einfach übertragen.

Entscheidend ist, dass die Hardware ab dem Stadium des Prototyps innerhalb des Entwicklungszyklus sowohl stabil als auch sicher ist. Wer Software entwickelt weiß, dass Entwickler hier schnell und früh scheitern können. Für ein erfolgreiches Produkt müssen sie iterieren und zusammenarbeiten, während eine Hardware quasi fixiert ist, wenn man sie zum ersten Mal einschaltet. Will man es vom Sicherheitsstandpunkt aus betrachtet richtig machen, muss man gewährleisten, dass das Gerät auch unter widrigen Bedingungen stabil ist.

Auch das Thema der Datenverwaltung auf den Geräten wirft Fragen auf. Die meisten der heute erhobenen Daten werden zur Analyse an einen Cloud-Service ausgelagert. Die Geräte selbst verfügen nicht über entsprechende Funktionen. Das erschwert die Datenverwaltung. Wie lange bewahrt ein Unternehmen die erhobenen Daten auf, wessen Daten werden zum Trainieren der Algorithmen verwendet, wer hat überhaupt Zugriff auf diese Daten und so weiter.

Jeder einzelne der genannten Aspekte spricht dafür, Sicherheit eine deutlich höhere Priorität einzuräumen als das bisher der Fall ist. Wie relevant sind Datenschutz und Datenverwaltung, wenn es Angreifern gelingt sich Zugang zu den Daten zu verschaffen? Solange Sicherheit nicht in den Vordergrund rückt - vor Features und Funktionen - wird sie niemals mit dem Wachstum des IoT Schritt halten.

* Taylor Armerding arbeitet als Security Advocate, Tim Mackey als Principal Security Strategist bei Synopsys.

(ID:46501086)