IoT-Securtiy Wie können Daten bei IoT-Plattformen geschützt werden?

IoT-Plattformen sind mittlerweile massentauglich und werden auch in Unternehmen mit weniger IT-Ressourcen eingesetzt. Welche scheinbar unkritischen Daten hier zum Verhängnis werden können und welche Instrumente Daten vor Hackern und Behörden schützen sollen.

Anbieter zum Thema

Scheinbar unkritische Daten werden zum Einfallstor für Kriminelle: Die Joggingrouten einer Fitnessapp zeigten beispielsweise die Grundrisse von geheimen US-Militärstützpunkten.
Scheinbar unkritische Daten werden zum Einfallstor für Kriminelle: Die Joggingrouten einer Fitnessapp zeigten beispielsweise die Grundrisse von geheimen US-Militärstützpunkten.
(Bild: gemeinfrei // Unsplash)

Unternehmen setzen immer öfter auf IoT-Plattformen, um vernetzte Produkte und Services anzubieten oder um eigene Fertigungsabläufe und Logistik zu optimieren (Industrie 4.0). Während diese Themen anfangs vor allem für größere Unternehmen relevant waren, haben moderne IoT-Plattformen inzwischen die breite Masse erreicht. Wenige aber große Anbieter, wie die Hyperscaler Amazon AWS und MS Azure, mit standardisierten und beliebig skalierbaren Baukasten-Plattformen, stellen mittlerweile über 50 Prozent des Marktes. Zudem gibt es hochspezialisierte Anbieter, zum Beispiel für die industrielle Fertigung, wie Bosch, Siemens, IBM oder PTC.

Sobald Unternehmen auf cloudbasierte Plattformen setzen, spielen Datenschutz und Datensicherheit eine zentrale Rolle. Bereits vor der DSGVO Einführung 2018 war Datenschutz ein wichtiges Wert- und Leistungsversprechen der Unternehmen, da sich auch ohne Personenbezug leicht Informationen über Kunden, Geschäftsprozesse oder zur Produktion ableiten lassen. Mittlerweile nutzen allerdings auch Hacker das IoT für sich, wie erst 2020 in Form des IoT Botnets HEH.

Kundendaten und Intellectual Property besser schützen

Im Jahr 2018 der trat auch der CLOUD Act in Kraft, der US-Behörden Zugriff auf Daten in Europa erlaubt, sofern die Muttergesellschaft des Cloudanbieters ihren Sitz in den USA hat. Dies ist problematisch, da die Plattformen der Hyperscaler AWS un Azure vorwiegend in den USA betrieben werden. Die Frage, ob der CLOUD Act mit der DSGVO vereinbar ist, bleibt dabei weiterhin offen. Grundsätzlich sind zwar auch US-Firmen am Datenschutz interessiert und geben nicht bereitwillig alle Daten an US-Behörden heraus, könnten aber gerichtlich dazu verpflichtet werden. So können Unternehmen, auch wenn sie hauptsächlich in Europa tätig sind, ihre Daten beziehungsweise die der Kunden nicht vollständig schützen.

Selbst freiwillig geteilte Daten können problematisch sein. Das Heatmap Feature der Lauf-App Strava, eigentlich dafür gedacht beliebte Laufstrecken zu zeigen, gab mit harmlosen Bewegungs- und Streckendaten sowohl Standorte als auch Grundrisse geheimer US-Stützpunkte preis. Schnell finden sich ähnliche Szenarien für die Industrie. Mit Hilfe von scheinbar unkritischen Daten, beispielsweise über die Häufigkeit der Materialbestellungen oder über Stand- und Laufzeiten von Maschinen, lassen sich daraus betriebswirtschaftlich relevante Rückschlüsse ziehen. Je mehr produktionsrelevante Prozesse über digitale Services beziehungsweise IoT-Plattformen abgebildet werden, desto kritischer werden Datenpannen oder Sicherheitslücken. Dann geht es nicht mehr nur um Adresssätze, sondern um den Schutz von Intellectual Property und strategischen Vorteilen. In dem Maße, wie die Nutzung vernetzter Produkte und digitaler Plattformen zunimmt, müssen auch die Investitionen in IoT-Security-Maßnahmen steigen.

IoT-Security-by-Design in Produktentwicklung und -betrieb ist essenziell

IoT-Security ist einer unter vielen wichtigen Bausteinen eines erfolgreichen IoT-Produktangebots und gewinnt in letzter Zeit an Relevanz. Die Investitionen in IoT-Security steigen weltweit in den nächsten Jahren auf über 20 Milliarden Euro mit einem prognostizierten CAGR von 40 Prozent zwischen 2019 und 2025. Unternehmen, die vernetzte Produkte und Services mit höchsten Ansprüchen an Sicherheit und Datenschutz anbieten, befinden sich im Wettlauf mit Hackern auf der ganzen Welt. Dabei sind Hacker heute nicht mehr amateurhafte Kriminelle und Einzelgänger, sondern teils staatlich oder anderweitig professionell organisierte Gruppierungen, die stets auf dem aktuellen Stand von Sicherheitslecks sind.

Auch wenn dies wie eine Floskel erscheint: IoT-Security muss vor allem ganzheitlich und langfristig betrachtet werden. Ein berühmtes Zitat von Bruce Schneier lautet „Security is a process, not a product” und trifft damit den Kern des Sicherheitsverständnisses, das jedes Unternehmen für sich entwickeln sollte. Die Prinzipien des ‚Security-by-Design‘ sollten nicht nur in Entwicklung und Produktlebenszyklus einzelner Produkte umgesetzt, sondern auch langfristig in den Entwicklungs- und Betriebsprozessen eines Unternehmens verankert werden.

Europäische Cloud und Confidential Computing als sichere Alternative

Um Datenschutz in Europa sicherzustellen, braucht es eine innovative und konkurrenzfähige IT-Industrie in Europa. Konkret benötigt man innovative Start-Ups und auch etablierte Player, die der US-Konkurrenz auf Augenhöhe begegnen. Vielversprechende Projekte wie die europäische Cloud GAIA-X, als Gegengewicht zur US-Konkurrenz, machen Hoffnung. Hinzu kommen Anbieter wie die Uniscon oder Idgard, die einen effektiven Datenschutz in der Cloud mit Hilfe von Confidential Computing (CC) beziehungsweise Sealed Computing (SC) umsetzen.

CC beschreibt den Ansatz, Daten nicht nur bei Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolgt diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE). Das lässt sich sowohl auf Prozessorebene realisieren – wie es zum Beispiel Google, Microsoft, Intel und Amazon vormachen – oder, wie im Falle des SC, auf Server-Ebene. Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern – nicht einmal der Betreiber der Cloud hat hier Zugang. Damit ist CC nicht nur eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyberkriminalität, sondern schützt auch vor Zugriff ausländischer Behörden.

* Philipp Flore ist Manager bei MM 1 und Sasha Milinkovic arbeitet als Senior Consultant bei MM 1.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47900892)