Datenschutz im Internet der Dinge, Teil 3

Wie das IoT dem Datenschutz helfen kann

| Autor / Redakteur: Oliver Schonschek / Nico Litzel

Chance, nicht nur Bedrohung: Die Risiken im IoT haben durchaus positive Nebenwirkungen für den Datenschutz und die IT-Sicherheit.
Chance, nicht nur Bedrohung: Die Risiken im IoT haben durchaus positive Nebenwirkungen für den Datenschutz und die IT-Sicherheit. (Bild: © kras99 - stock.adobe.com)

Sicherheit und Datenschutz im Internet of Things (IoT) sind nicht nur wichtig, sondern auch lohnend, denn das IoT hat nicht nur Risiken, sondern auch Vorteile für den Datenschutz.

Wenn in der letzten Zeit vermehrt über Datenschutz gesprochen wurde, lag dies in aller Regel an der Datenschutz-Grundverordnung (DSGVO / GDPR) der EU. Auch wenn es einige Veränderungen im Datenschutz durch die DSGVO gegeben hat, so bestanden doch viele Anforderungen bereits in Zeiten des alten Bundesdatenschutzgesetzes (BDSG-alt). Das gilt auch für Datenschutzbereiche, die nun als besonders schwierig empfunden werden. Zum Beispiel waren viele der Rechte der Betroffenen bereits im alten Datenschutzrecht vorhanden. Doch durch die DSGVO sind sie nun stärker ins Bewusstsein gerückt.

Einen vergleichbaren (wenn auch nicht so starken) Effekt kann man bei dem Internet der Dinge (IoT, Internet of Things) sehen, wenn es um die Sicherheitsanforderungen bei der Digitalisierung geht. Zweifellos gibt es Besonderheiten im Datenschutz und in der IT-Sicherheit, wenn es um IoT geht. Auch sind spezielle IT-Sicherheitslösungen für das IoT sinnvoll und wichtig. Trotzdem kann man sagen: Das IoT hat die Sensibilisierung für die notwendige IT-Sicherheit nochmals erhöht. Die Risiken im IoT haben durchaus positive Nebenwirkungen für den Datenschutz und die IT-Sicherheit. Das zeigen auch die folgenden Beispiele.

IoT-Risiken als Teil der IT-Sicherheitsrisiken sehen

Betrachtet man die aktuelle IT-Sicherheitslage, stellt man fest, dass die IoT-Risiken eine immer größere Bedeutung erlangen und Gefahr darstellen. Dabei sollte man nicht vergessen, dass die IoT-Bedrohungen immer als Teil der Gesamtbedrohungen verstanden werden sollten. Wenn IoT-Risiken zu einer bestimmten Bedrohung beitragen, gilt es, die Bedrohung auch als ganzes anzugehen:

  • Wie der DDoS Threat Intelligence Report von A10 Networks zeigt, nutzen Cyberkriminelle verstärkt IoT-Geräte für DDoS-Angriffe. Davor muss man sich schützen, aber am besten so, dass man sich insgesamt vor DDoS-Attacken besser schützt.
  • Sechs der Top-12-Exploits waren auf IoT-Geräte ausgerichtet, so der Fortinet Threat Landscape Report. Entsprechende Gegenmaßnahmen müssen sich natürlich auch auf alle anderen Kategorien von Exploits ausrichten. Entsprechend fordert Fortinet: Benötigt wird eine Security Fabric, die die gesamte Netzwerkumgebung von IoT-Endpunkten bis hin zu Multi-Clouds abdeckt und jedes Sicherheitselement integriert. Nur so können Unternehmen der wachsenden Bedrohungslage von heute gerecht werden und ihre wachsende Angriffsfläche schützen.
  • Unternehmen vertreten oft unrealistische Ansichten über den Schutz des Industrial Internet of Things (IIoT), in dem Endpunkte als die verletzlichsten Aspekte betrachtet werden. Dabei besteht eine große Unsicherheit darüber, was überhaupt ein Endpunkt ist, so der SANS Industrial IoT Security Survey 2018. Dabei ist es wichtig, dass sich die Unternehmen nicht nur im IoT und IIoT darüber klar werden, welche Endpunkte sie einsetzen, sondern in der kompletten IT und OT.
  • Eine Infoblox-Studie berichtete, dass die drastische Zunahme von privaten Endgeräten und IoT-Devices in Unternehmensnetzwerken für enorme Sicherheitsrisiken sorgt. Das bedeutet, dass Unternehmen nicht nur feststellen sollten, welche IoT-Geräte sie nutzen, sondern auch, welche privaten Geräte und IT-Geräte eingesetzt werden.

Security-Empfehlungen nicht durch Insellösungen umsetzen

Zur IoT-Sicherheit gibt es eine Vielzahl von Empfehlungen, was man angehen sollte. Zwei Beispiele:

Wie Avira berichtete, einigten sich das Europäische Komitee für Normung, die britische Regierung sowie ein Branchenverband erstmalig auf Sicherheitsstandards für IoT-Geräte. Die 13 Richtlinien im Überblick lauten:

  • Keine Standardpasswörter verwenden
  • Richtlinie zur Offenlegung von Schwachstellen implementieren
  • Software auf dem aktuellen Stand halten
  • Zugangsdaten und sicherheitsrelevante Daten sicher speichern
  • Sicher kommunizieren
  • Angriffsflächen minimieren
  • Software-Integrität gewährleisten
  • Den Schutz von personenbezogenen Daten gewährleisten
  • Systeme ausfallsicherer gestalten
  • System-Telemetriedaten überwachen
  • Verbrauchern die einfache Löschung personenbezogener Daten ermöglichen
  • Installation und Wartung von Geräten vereinfachen
  • Eingabedaten überprüfen
IoT und Datenschutz – diese Besonderheiten sind zu beachten

Datenschutz im Internet der Dinge, Teil 1

IoT und Datenschutz – diese Besonderheiten sind zu beachten

29.04.19 - Das Internet der Dinge birgt viele Risiken für den Schutz personenbezogener Daten, so das Fazit vieler Umfragen und Studien. Doch warum ist das eigentlich so? Was macht den Datenschutz in IoT-Lösungen besonders schwierig? Das sollten Anwenderunternehmen wissen, um eine Datenschutzfolgenabschätzung (DSFA) nach Datenschutz-Grundverordnung (DSGVO) erstellen zu können. lesen

Diese Richtlinien sollten zweifellos auch außerhalb des IoT eine umfassende Anwendung finden, in allen Bereichen der IT und OT.

Digital Guardian empfiehlt sieben Punkte zur Verbesserung der IoT-Sicherheit:

  • Geräteauthentifizierung und -identität: Die korrekte und sichere Authentifizierung mit individueller Geräteidentifikation ermöglicht den Aufbau einer sicheren Verbindung zwischen den Geräten selbst und den Backend-Steuerungssystemen. Wenn jedes Gerät seine eigene eindeutige Identität hat, können Unternehmen schnell bestätigen, dass das kommunizierende Gerät tatsächlich dasjenige ist, das es vorgibt zu sein. Dazu ist eine individuelle Geräteidentifikation auf Basis von Lösungen wie Public Key Infrastructure (PKI) erforderlich.
  • Physische Sicherheit: Die physische Sicherheit ist von größter Bedeutung. Deshalb sollte die Integration von Sicherungsmaßnahmen gegen Manipulation in Gerätekomponenten bei Entwicklern im Vordergrund stehen, um zu verhindern, dass sie dekodiert werden können. Darüber hinaus sollte dafür gesorgt werden, dass Gerätedaten im Zusammenhang mit Authentifizierung, Identifikationscodes und Kontoinformationen gelöscht werden können, wenn ein Gerät gefährdet ist, um Datenmissbrauch zu verhindern.
  • Verschlüsselung: Beim Einsatz von IoT-Lösungen müssen Unternehmen sicherstellen, dass der Datenverkehr zwischen Geräten und Backend-Servern ordnungsgemäß verschlüsselt ist. Die Sicherstellung der Verschlüsselung von Befehlen und die Überprüfung der Befehlsintegrität durch Signierung oder starke Kodierung sind entscheidend. IoT-Geräte sollten auch alle gesammelten sensiblen Benutzerdaten verschlüsseln, um die Datensicherheit zu erhöhen.
  • Firmware-Updates: In der Eile, neue IoT-Produkte auf den Markt zu bringen, bauen Hersteller manchmal Geräte ohne Firmware-Update-Fähigkeit. Ein konsistenter Prozess, der eine flexible Firmware-Bereitstellung bietet, ermöglicht die Entwicklung neuer Produkte. Gleichzeitig ist garantiert, dass wichtige Sicherheitsfixes universell über bestehende Produktlinien verteilt werden können.
  • Sichere Kodierung: IoT-Entwickler müssen sichere Kodierungsverfahren implementieren und diese im Rahmen des Software-Build-Prozesses auf das Gerät anwenden. Die Konzentration auf Qualitätssicherung und die Identifizierung und Behebung von Schwachstellen als Teil des Entwicklungszyklus optimiert die Sicherheitsbemühungen und trägt dazu bei, Risiken zu minimieren.
  • Schließen von Backdoors: Der Bau von Geräten mit Backdoors, sei es zu Überwachungs- oder Strafverfolgungszwecken, ist alltäglich geworden. Diese Vorgehensweise beeinträchtigt jedoch die Integrität und Sicherheit des Endbenutzers. Hersteller müssen dafür Sorge tragen, dass weder bösartiger Code noch Backdoors eingeführt werden und die UDID (Unique Device ID) des Geräts nicht kopiert, überwacht oder erfasst wird. So wird vermieden, dass, wenn sich das Gerät online registriert, der Prozess nicht abgefangen wird oder anfällig für rechtswidrige Überwachung ist.
  • Netzwerksegmentierung: Wenn ein Netzwerk in sichere Segmente unterteilt ist, kann im Fall eines kompromittierten IoT-Geräts dessen Segment vom Rest des Netzwerks isoliert werden. Sollte das Gerät kompromittiert werden, sind nur Geräte in diesem Netzwerksegment betroffen. Die Zone kann unter Quarantäne gestellt, und es lassen sich Abhilfemaßnahmen ergreifen, ohne Risiken für andere Systeme.
Schutzmaßnahmen für mehr Datenschutz im IoT

Datenschutz im Internet der Dinge, Teil 2

Schutzmaßnahmen für mehr Datenschutz im IoT

14.05.19 - Security-Maßnahmen im IoT und Industrial IoT sind wegen der zahlreichen Schwachstellen besonders wichtig. Doch im Vergleich zur klassischen IT-Sicherheit liegt die IoT-Sicherheit immer noch zurück. Neue Ansätze und Lösungen sollen und müssen das ändern. lesen

Wer diese Punkte nicht nur für die IoT-Lösungen, sondern für alle IT-Lösungen umsetzt, sorgt auch für eine Optimierung der IT-Sicherheit insgesamt.

Was das für die Unternehmen bedeutet

Die genannten Beispiele besagen nicht, dass es nicht notwendig ist, mehr für den Datenschutz und die IT-Sicherheit im IoT zu tun, ganz im Gegenteil. Doch die Bemühungen, der Aufwand und die Investitionen für ein sicheres und datenschutzkonformes IoT helfen auch bei der Verbesserung im Datenschutz und der IT-Sicherheit in der ganzen, restlichen IT. Viele der neuen IoT-Sicherheitslösungen adressieren die IT und das (Industrial) IoT gemeinsam. Wenn hier neue, übergreifende Lösungen und Verfahren zum Einsatz kommen und Standards etabliert werden, hilft dies eben nicht nur im Internet der Dinge, sondern in der ganzen IT und damit für die gesamte Digitalisierung.

Mehr Sicherheit und Datenschutz im IoT lohnt sich, nicht nur für das Internet of Things, sondern übergreifend für die Digitalisierung. Das sollte bei den Budgets für IoT-Sicherheit bedacht werden, ebenso bei der Überlegung, ob sich der ganze Aufwand für Datenschutz und Sicherheit für das IoT denn überhaupt (schon) lohnt. Wer das IoT sicherer und datenschutzgerechter macht, schafft im Idealfall keine Insellösungen, sondern ein übergreifendes System für Datenschutz und IT-Sicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46051265 / Internet of Things)