Interview

„IoT-Security ist auf dem Niveau von PCs der 90er-Jahre“

| Redakteur: Sebastian Gerstl

Prof. Dr. Ing Hans-Joachim Hof ist Professor an der Technischen Hochschule Ingolstadt und leitet die Forschungsgruppen Munich IT Security Research Group sowie INSicherheit - Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit.
Prof. Dr. Ing Hans-Joachim Hof ist Professor an der Technischen Hochschule Ingolstadt und leitet die Forschungsgruppen Munich IT Security Research Group sowie INSicherheit - Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit. (Bild: Hochschule für angewandte Wissenschaften München)

Wie müssen Anwender und Hersteller nun auf diese Bedrohungslage reagieren?

Anwender müssen bei der Auswahl von IoT-Geräten viel mehr einen Fokus auf IT-Sicherheit legen. IoT-Geräte müssen durch das Netzwerk, in dem Sie eingesetzt werden, überwacht werden. Zusätzlich müssen sinnvolle Sicherheitsrichtlinien für diese Geräte auf Netzwerkebene durchgesetzt werden. Die Möglichkeit einer Isolation sollte gegeben sein. IoT-Geräte müssen in Zukunft regelmäßig gewartet werden, entweder manuell durch die Anwender oder automatisiert durch die Hersteller.

Hersteller von IoT-Devices müssen mehr Fokus auf IT-Sicherheit legen, unter anderem unbedingt einen Softwareentwicklungsprozess mit Unterstützung von IT-Sicherheit verwenden. Gerade für kleinere Unternehmen haben meine Forschungsgruppen Secure Scrum als einfach zu verwendende Erweiterung von Scrum entwickelt, um zu sicherer Software zu kommen. Einem solchen Entwicklungsprozess mit Fokus auf IT-Sicherheit kommt eine immense Bedeutung zu, um IT-Sicherheit managbar zu machen und letztendlich zu beherrschen. Die aktuelle Situation im IoT erinnert mich fatal an die Situation, in der Microsoft damals den Security Development Lifecycle als neues Konzept für die Softwareerstellung einführte. In vieler Hinsicht sollten Hersteller von IoT-Devices auf klassische Softwarefirmen schauen und deren Entwicklungspraxis kopieren.

Unternehmen müssen Verantwortung für die von ihnen entwickelten IoT-Devices übernehmen und diese über deren gesamte Lebenszeit mit Updates versorgen. Mechanismen für Updates müssen vorgesehen sein. Idealerweise geschehen Updates automatisiert, so dass Schwachstellen schnell und effizient behoben werden können.

Glücklicherweise ist zu erwarten, dass durch das verpflichtende Prinzip „Privacy by Design“ aus der Datenschutzgrundordnung in Zukunft auch der Fokus auf IT-Sicherheit gelegt wird.

Wie können sich Unternehmen gegen Angriffe in solchen Größenordnungen sinnvoll wappnen?

Es gibt Angebote zum DDoS-Schutz, z.B. von Akamei und Cloudfare. Bei dem Angriff auf Herrn Krebs strich ein Anbieter jedoch die Segel, Google bot daraufhin seinen Schutz an und es gelang auch tatsächlich, die Attacke abzumildern.

Die Nutzung der Dienste von Akamei, Cloudfare und Google bietet sich sehr an. Unternehmen müssen den Ausfall der Internetverbindung als Geschäftsrisiko einplanen und mit einem Notfallplan reagieren können.

Nach dem Angriff auf Dyn fordern Analysten stärkere Regulierung von IoT-Geräten. Wäre eine solche Regulierung sinnvoll, bzw. wie könnte dies aussehen?

Ich setze mich nun seit fast einem Jahrzehnt für eine umfassende Softwarehaftung für die Hersteller von Software ein. Hersteller von Software sollten für Sicherheitsvorfälle, die auf Grund von Sicherheitsschwachstellen geschehen, haftbar gemacht werden können. Nur so wird gewährleistet, dass IT-Sicherheit angemessen berücksichtigt wird. Einen ähnlichen Ansatz verfolgt die Datenschutzgrundordnung mit empfindlichen Strafen bei Datenschutzverstößen. Mit dem Prinzip „Privacy by Design“ stellt die Datenschutzgrundordnung ein weiteres interessantes Konzept. Analog könnte gesetzlich „Security by Design“ vorgeschrieben werden. Security by Design würde erfordern, dass IT-Sicherheit bereits im Design von Software berücksichtigt werden muss und dies auch entsprechend dokumentiert wird.

Dieser Text stammt von unserem Partnerportal Elektronikpraxis. Verantwortlicher Redakteur: Sebastian Gerstl

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44349629 / Internet of Things)