:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security und Datenschutz für IoT-Lösungen Smart-Meter-Gateway als Security Best Practice
Um das volle Potenzial der Digitalisierung zu nutzen werden Systeme zunehmend über Netzwerke miteinander verbunden (manchmal auch unbeabsichtigt). Eine Folge dieser Entwicklung ist, dass potenziell sensible Daten in Zukunft vermehrt gesammelt und verarbeitet werden. Experten rechnen vor diesem Hintergrund global mit 40 Milliarden vernetzten Geräten bis 2020 sowie einem weltweiten wirtschaftlichen Mehrwert von bis zu 11 Billionen Dollar im Jahr 2025.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Unsere Gesellschaft wird signifikant verändert durch die Vernetzung und Verfügbarkeit von Milliarden von Geräten. Die neuen Möglichkeiten der erweiterten Vernetzung, Steuerung, Überwachung und Automatisierung dezentraler und komplexer Systeme bieten enormes Potenzial zur Steigerung der Produktivität, zur Reduzierung von Umweltauswirkungen und zur Erhöhung der Sicherheit und der Lebensqualität der Nutzer.
Diese neue Welt der Vernetzung und ständigen Verfügbarkeit bringt allerdings auch bisher ungeahnte Möglichkeiten für potentiell Millionen von Angreifern mit sich. Das Internet der Dinge (IoT) befindet sich vom Standpunkt der Regulierung und der Sicherheitsstandards noch in einem frühen Stadium, in dem Produkte nicht immer problemlos zusammenarbeiten und große Herausforderungen in Bezug auf Sicherheit, Zuverlässigkeit und Privatsphäre zu bewältigen sind. Lücken in der Implementierung und der Zusammenarbeit der einzelnen Marktpartner werden von den Angreifern genutzt. Vernetzte Geräte produzieren oftmals große Mengen an personenbezogenen Daten, die heute oft gänzlich ungeschützt an Backend-Systeme weitergeleitet werden. Im Jahr 2015 lag die Wahrscheinlichkeit für Unternehmen, Daten aufgrund von dedizierten Cyberattacken zu verlieren, bei rund 20 Prozent und der Trend ist trotz einer beginnenden Sensibilisierung weiter steigend.
Neue technische und organisatorische Anforderungen in puncto Datenschutz und Datensicherheit in der EU
Künftig müssen Unternehmen stärker als bisher dafür Sorge tragen, „Datenpannen“ zu vermeiden. Mit der neuen EU-Datenschutzgrundverordnung, DSGVO (Englisch: GDPR), die am 25. Mai 2018 in Kraft tritt, kommen auf Unternehmen neue technische und organisatorische Anforderungen in puncto Datenschutz und Datensicherheit zu. Die DSGVO ist ein entscheidender Meilenstein, um in einem bisher kaum regulierten IoT-Markt für ein Mindestmaß an Sicherheit und Datenschutz zu sorgen.
Im Mittelpunkt des neuen EU-Gesetzes steht der Schutz personenbezogener Daten von natürlichen Personen, also u.a. Kunden, aber auch Beschäftigten von Unternehmen. Die DSGVO definiert Grundsätze, die bei der Verarbeitung dieser Daten berücksichtigt werden müssen. Eine bedeutende Neuerung stellt die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen (Privacy by Default/Privacy by Design) bei elektronischen Geräten dar. Die DSGVO fordert hier von den Herstellern der Geräte den Einsatz technischer Maßnahmen zum Schutz personenbezogener Daten. Diese umfassen z.B. Pseudonymisierung und Verschlüsselung, die sichere Aufbewahrung der Schlüssel, sichere und eindeutige Geräte-Identitäten, Integrität der Kommunikation sowie abgesicherte Kommunikationskanäle.
Angesichts dieser neuen Anforderungen ist es für Hersteller und Dienstleister ratsam, sich bereits im Entwicklungsprozess eines Gerätes oder einer Anwendung Gedanken zu machen, welche Nutzerdaten erfasst werden, wie und wo diese gespeichert werden und zu welchem Zweck sie verarbeitet werden sollen. Moderne Security-Lösungen, die dem Stand der Technik entsprechen, können helfen, die Erhebung und Speicherung der Daten im Einklang mit den Anforderungen der DSGVO zu vollziehen. Für die Anbieter von Geräten, Lösungen und Services bietet dies die Chance, ihre Produkte fit für die Zukunft zu machen und das Vertrauen der Anwender in das Internet der Dinge und in die angebotenen Lösungen zu stärken.
Das IoT als unerschöpfliche Datenquelle
Im Zuge der zunehmenden Vernetzung und Digitalisierung von Lebens- und Arbeitsbereichen gewinnen Geschäftsmodelle, deren Grundlage die Erhebung und Analyse von Daten ist, rapide an Bedeutung. Ein einfacher intelligenter Stromzähler kann alle paar Sekunden Energiewerte an ein Versorgungsunternehmen melden. Multipliziert man dies mit allen möglichen Sensoren und Geräten im Smart Home, den Daten aus industriellen Anwendungsbereichen oder Daten aus dem vernetzten Automobil, wird rasch deutlich, dass es zu einer enormen Flut an schützenswerten Daten kommen wird.
Um bei unserem Beispiel zu bleiben: Neben den ursprünglichen abrechnungsrelevanten Daten können Daten von Stromzählern persönliche Verbrauchs- und Verhaltensmuster aufdecken und alle übrigen, über das Netzwerk im Haus angeschlossenen Geräte könnten über einen einzigen unsicheren Anschluss gehackt werden. Gleichzeitig kann die Sammlung großer Datenmengen im Rahmen datenschutzkonformer Geschäftsmodelle aber auch für die gezielte Ansprache von Einzelpersonen und Personengruppen genutzt werden. Es gilt hier also Lösungen zu finden, die einerseits Missbrauch verhindern und anderseits die Entwicklung neuer Geschäftsmodelle ermöglichen.
Erstklassige Datenschutz- und Sicherheitsprotokolle sind von entscheidender Bedeutung, um das nachhaltige Verbrauchervertrauen in intelligente Technologien zu gewinnen. Dabei geht es neben der Frage, wie Daten von Unternehmen genutzt werden, auch um die Absicherung des direkten sicheren Zugangs zu den Geräten, um Daten entsprechend speichern und auswerten zu können.
Hierfür sind einheitliche und verbindliche sicherheitstechnische Vorgaben und Anforderungen an die Interoperabilität wichtige Grundlagen. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) für das zukünftige intelligente Energieversorgungssystem in Deutschland, in enger Zusammenarbeit mit den Herstellern und Anwendern, sowohl Schutzprofile für die sicherheitstechnischen Vorgaben als auch technische Richtlinien zur Wahrung der Interoperabilität definiert.
Die Schutzprofile legen die Mindestanforderung an die Sicherheitsmaßnahmen fest, lassen den Herstellern aber die Freiheit bei der technischen Umsetzung. Eine Zertifizierung auf Basis des Schutzprofiles verifiziert die Einhaltung der Anforderungen. Die funktionalen Vorgaben zur Gewährleistung der Interoperabilität von Smart-Meter-Gateways und Gateway-Komponenten sowie zusätzliche Sicherheitsanforderungen werden in der Technischen Richtlinie beschrieben.
Herausforderung Cybersecurity
Es ist keine Frage, ob ein System angegriffen wird, sondern nur wann. Von der industriellen Steuerung bis zur Heimautomatisierung wurden in den letzten Jahren alle Systeme einer Vielzahl von Cyber-Angriffen ausgesetzt, von „Stuxnet“ über „Heartbleed“ bis hin zu „Industroyer“.
Der Angriff auf ein System kann während jeder Phase des Lebenszyklus erfolgen, von der Produktion wichtiger Komponenten bis zum Ende des Lebenszyklus eines Produkts. Die Gründe für einen Angriff sind ähnlich und können in vier unterschiedliche Gruppen unterteilt werden: finanzielle Gewinnabsicht, IP-Diebstahl, vorsätzliche Beschädigungen oder Schädigung der Reputation.
„Privacy by Design“ und Datenverschlüsselung als Elementarbausteine
Die unterschiedlichen Szenarien, vom Smart Home bis zu industriellen Anwendungen, zeigen, dass das Thema Datenschutz einer vielschichtigen Sicherheitsarchitektur bedarf, um einen ausreichenden Schutz vor Datenmissbrauch und Diebstahl zu gewährleisten.
„Privacy by Design“, also allen im IoT agierenden Personen die Möglichkeit zu verschaffen, selbst darüber zu bestimmen, was mit den von ihnen erzeugten Daten passiert und zu welchen Zwecken dies geschehen soll, wird eine wesentliche Verpflichtung der verantwortlichen Stellen für die Datenverarbeitung sein.
So sollten z.B. von einem Smart-Meter-Gateway an die für die Abrechnung zuständigen Unternehmen nur abrechnungsrelevante Daten übermittelt werden. Und diese sollten auch nur von dem empfangenden Unternehmen entschlüsselt werden können. Um dies sicherzustellen, wird die Vorverarbeitung der Daten (Tarifierung) bereits im Smart-Meter-Gateway durchgeführt. Übermittelt werden dann nur noch die abrechnungsrelevanten Daten. Dieses erfüllt einerseits die Anforderung an Datensparsamkeit/Datenvermeidung und andererseits verhindert dieses Verfahren die Kommunikation hochauflösender Verbrauchsdaten zur Erstellung von Nutzerprofilen.
Um sicherzustellen, dass die zu übertragenden Daten nur von dem empfangenden Unternehmen entschlüsselt werden können, erfolgt zusätzlich eine Verschlüsselung und Signierung auf Datenebene, bevor Informationen das Smart-Meter-Gateway verlassen.
Aus Sicherheitsgründen wurde zusätzlich festgelegt, dass die Kommunikationsverbindungen immer vom Smart-Meter-Gateway an vorher festgelegte Empfänger aufgebaut werden. Dieses muss zu definierten Zeitpunkten oder spontan durch eine Wake-Up-Anforderung über den Netzwerkadministrator geschehen. Darüber hinaus erfolgt die Kommunikation verschlüsselt über einen integritätsgesicherten Kanal. Die für die Umsetzung solcher Anforderungen erforderlichen Technologien sind vorhanden und basieren auf dem Einsatz von kryptographischen Protokollen in Verbindung mit manipulationsgeschützten Hardwarekomponenten. NXP Semiconductors hat Empfehlungen und zertifizierte Produkte für die Verwendung im Smart-Meter-Gateway entwickelt, um die Hersteller bei der Erfüllung der notwendigen und spezifizierten Sicherheitsvorgaben zu unterstützen.
Um auch in Zukunft IoT-Geräte effektiv gegen Angriffe abzusichern und die Privatsphäre der Nutzer zu schützen, engagiert sich NXP Semiconductors auch im Rahmen mehrerer Forschungsprojekte, unter anderem in den Projekten Flex4Apps und CONNECT, die auf EU-Ebene die Weiterentwicklung der Schutzmechanismen für datenschutzsensitive Systeme vorantreiben.
Sichere Hardwarearchitektur als Basis für ein sicheres Ökosystem
Hersteller von intelligenten Geräten müssen laut DSGVO auch sicherstellen, dass während der Speicherung, Übermittlung, Nutzung und Verarbeitung von Daten ein hohes Maß an Sicherheit gewährleistet wird. Unternehmen sind dazu verpflichtet, Sicherheit und Datenschutz durch Designmerkmale in ihre Produkte zu integrieren. Das kann durch sichere Aufbewahrung von Zugangsschlüsseln, etwa in manipulationssicheren Hardwareelementen, und die Erstellung globaler, eindeutiger Identitäten für jedes Gerät geschehen. Ebenso wichtig, ist die Verwendung sicherer Benutzeridentitäten unter Wahrung der Privatsphäre-Einstellungen des Benutzers und die Gewährleistung sicherer Kommunikationskanäle.
Für das Smart-Meter-Gateway wurde hierfür ein Hochsicherheitsmodul spezifiziert, in welchem die notwendigen Zugangsdaten (Schlüssel) abgelegt werden, um sie vor dem unberechtigten Zugriff Dritter zu schützen. Für dieses Sicherheitsmodul wurde ein eigenes Schutzprofil sowie eine technische Richtlinie entwickelt.
Das Beispiel Smart Meter zeigt, wie eine gute Zusammenarbeit zu datenschutzkonformen und sicheren Produkten führt. Entscheidend ist, dass Hersteller wie NXP mit ihrem Wissen über Mikrocontroller, Prozessoren und Sicherheitsmodule frühzeitig bei der Bedarfsanalyse und Normierung einbezogen werden. Das gilt nicht nur für Smart Meter, sondern auch für andere Bereiche wie RFID-Produkte, Smartcards, NFC-Technologie, Software und Dienstleistungen. Die Entwicklung von Sicherheitstechnologien und Plattformen für vernetzte Anwendungen, die erhöhte Sicherheit und Privatsphäre zum Schutz von Systemen benötigen, kann so zum Erfolg werden.
Über den Autor: Andreas Bening ist Security Architect im Innovation Center Crypto & Security im Business Unit Security & Connectivity von NXP. Mit mehr als 20 Jahren Erfahrung in Forschung und Entwicklung ist er verantwortlich für die Definition und Erstellung von maßgeschneiderten Systemsicherheitslösungen für vernetzte Geräte.
(ID:45170581)
:quality(80)/p7i.vogel.de/wcms/9d/22/9d22186e47a23cac7bf5250138e26450/0113774593.jpeg "Neue Sensorplattform für IoT-Anwendungen soll Netzwerke sicherer machen! Blick in die mit „intelligenten“, vernetzten Systemen ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: DFKI / A. Popp)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")