Suchen

Datenschutz im Internet der Dinge, Teil 3 Wie das IoT dem Datenschutz helfen kann

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Nico Litzel

Sicherheit und Datenschutz im Internet of Things (IoT) sind nicht nur wichtig, sondern auch lohnend, denn das IoT hat nicht nur Risiken, sondern auch Vorteile für den Datenschutz.

Firmen zum Thema

Chance, nicht nur Bedrohung: Die Risiken im IoT haben durchaus positive Nebenwirkungen für den Datenschutz und die IT-Sicherheit.
Chance, nicht nur Bedrohung: Die Risiken im IoT haben durchaus positive Nebenwirkungen für den Datenschutz und die IT-Sicherheit.
(Bild: © kras99 - stock.adobe.com)

Wenn in der letzten Zeit vermehrt über Datenschutz gesprochen wurde, lag dies in aller Regel an der Datenschutz-Grundverordnung (DSGVO / GDPR) der EU. Auch wenn es einige Veränderungen im Datenschutz durch die DSGVO gegeben hat, so bestanden doch viele Anforderungen bereits in Zeiten des alten Bundesdatenschutzgesetzes (BDSG-alt). Das gilt auch für Datenschutzbereiche, die nun als besonders schwierig empfunden werden. Zum Beispiel waren viele der Rechte der Betroffenen bereits im alten Datenschutzrecht vorhanden. Doch durch die DSGVO sind sie nun stärker ins Bewusstsein gerückt.

Einen vergleichbaren (wenn auch nicht so starken) Effekt kann man bei dem Internet der Dinge (IoT, Internet of Things) sehen, wenn es um die Sicherheitsanforderungen bei der Digitalisierung geht. Zweifellos gibt es Besonderheiten im Datenschutz und in der IT-Sicherheit, wenn es um IoT geht. Auch sind spezielle IT-Sicherheitslösungen für das IoT sinnvoll und wichtig. Trotzdem kann man sagen: Das IoT hat die Sensibilisierung für die notwendige IT-Sicherheit nochmals erhöht. Die Risiken im IoT haben durchaus positive Nebenwirkungen für den Datenschutz und die IT-Sicherheit. Das zeigen auch die folgenden Beispiele.

IoT-Risiken als Teil der IT-Sicherheitsrisiken sehen

Betrachtet man die aktuelle IT-Sicherheitslage, stellt man fest, dass die IoT-Risiken eine immer größere Bedeutung erlangen und Gefahr darstellen. Dabei sollte man nicht vergessen, dass die IoT-Bedrohungen immer als Teil der Gesamtbedrohungen verstanden werden sollten. Wenn IoT-Risiken zu einer bestimmten Bedrohung beitragen, gilt es, die Bedrohung auch als ganzes anzugehen:

  • Wie der DDoS Threat Intelligence Report von A10 Networks zeigt, nutzen Cyberkriminelle verstärkt IoT-Geräte für DDoS-Angriffe. Davor muss man sich schützen, aber am besten so, dass man sich insgesamt vor DDoS-Attacken besser schützt.
  • Sechs der Top-12-Exploits waren auf IoT-Geräte ausgerichtet, so der Fortinet Threat Landscape Report. Entsprechende Gegenmaßnahmen müssen sich natürlich auch auf alle anderen Kategorien von Exploits ausrichten. Entsprechend fordert Fortinet: Benötigt wird eine Security Fabric, die die gesamte Netzwerkumgebung von IoT-Endpunkten bis hin zu Multi-Clouds abdeckt und jedes Sicherheitselement integriert. Nur so können Unternehmen der wachsenden Bedrohungslage von heute gerecht werden und ihre wachsende Angriffsfläche schützen.
  • Unternehmen vertreten oft unrealistische Ansichten über den Schutz des Industrial Internet of Things (IIoT), in dem Endpunkte als die verletzlichsten Aspekte betrachtet werden. Dabei besteht eine große Unsicherheit darüber, was überhaupt ein Endpunkt ist, so der SANS Industrial IoT Security Survey 2018. Dabei ist es wichtig, dass sich die Unternehmen nicht nur im IoT und IIoT darüber klar werden, welche Endpunkte sie einsetzen, sondern in der kompletten IT und OT.
  • Eine Infoblox-Studie berichtete, dass die drastische Zunahme von privaten Endgeräten und IoT-Devices in Unternehmensnetzwerken für enorme Sicherheitsrisiken sorgt. Das bedeutet, dass Unternehmen nicht nur feststellen sollten, welche IoT-Geräte sie nutzen, sondern auch, welche privaten Geräte und IT-Geräte eingesetzt werden.

Security-Empfehlungen nicht durch Insellösungen umsetzen

Zur IoT-Sicherheit gibt es eine Vielzahl von Empfehlungen, was man angehen sollte. Zwei Beispiele:

Wie Avira berichtete, einigten sich das Europäische Komitee für Normung, die britische Regierung sowie ein Branchenverband erstmalig auf Sicherheitsstandards für IoT-Geräte. Die 13 Richtlinien im Überblick lauten:

  • Keine Standardpasswörter verwenden
  • Richtlinie zur Offenlegung von Schwachstellen implementieren
  • Software auf dem aktuellen Stand halten
  • Zugangsdaten und sicherheitsrelevante Daten sicher speichern
  • Sicher kommunizieren
  • Angriffsflächen minimieren
  • Software-Integrität gewährleisten
  • Den Schutz von personenbezogenen Daten gewährleisten
  • Systeme ausfallsicherer gestalten
  • System-Telemetriedaten überwachen
  • Verbrauchern die einfache Löschung personenbezogener Daten ermöglichen
  • Installation und Wartung von Geräten vereinfachen
  • Eingabedaten überprüfen

Diese Richtlinien sollten zweifellos auch außerhalb des IoT eine umfassende Anwendung finden, in allen Bereichen der IT und OT.

Digital Guardian empfiehlt sieben Punkte zur Verbesserung der IoT-Sicherheit:

  • Geräteauthentifizierung und -identität: Die korrekte und sichere Authentifizierung mit individueller Geräteidentifikation ermöglicht den Aufbau einer sicheren Verbindung zwischen den Geräten selbst und den Backend-Steuerungssystemen. Wenn jedes Gerät seine eigene eindeutige Identität hat, können Unternehmen schnell bestätigen, dass das kommunizierende Gerät tatsächlich dasjenige ist, das es vorgibt zu sein. Dazu ist eine individuelle Geräteidentifikation auf Basis von Lösungen wie Public Key Infrastructure (PKI) erforderlich.
  • Physische Sicherheit: Die physische Sicherheit ist von größter Bedeutung. Deshalb sollte die Integration von Sicherungsmaßnahmen gegen Manipulation in Gerätekomponenten bei Entwicklern im Vordergrund stehen, um zu verhindern, dass sie dekodiert werden können. Darüber hinaus sollte dafür gesorgt werden, dass Gerätedaten im Zusammenhang mit Authentifizierung, Identifikationscodes und Kontoinformationen gelöscht werden können, wenn ein Gerät gefährdet ist, um Datenmissbrauch zu verhindern.
  • Verschlüsselung: Beim Einsatz von IoT-Lösungen müssen Unternehmen sicherstellen, dass der Datenverkehr zwischen Geräten und Backend-Servern ordnungsgemäß verschlüsselt ist. Die Sicherstellung der Verschlüsselung von Befehlen und die Überprüfung der Befehlsintegrität durch Signierung oder starke Kodierung sind entscheidend. IoT-Geräte sollten auch alle gesammelten sensiblen Benutzerdaten verschlüsseln, um die Datensicherheit zu erhöhen.
  • Firmware-Updates: In der Eile, neue IoT-Produkte auf den Markt zu bringen, bauen Hersteller manchmal Geräte ohne Firmware-Update-Fähigkeit. Ein konsistenter Prozess, der eine flexible Firmware-Bereitstellung bietet, ermöglicht die Entwicklung neuer Produkte. Gleichzeitig ist garantiert, dass wichtige Sicherheitsfixes universell über bestehende Produktlinien verteilt werden können.
  • Sichere Kodierung: IoT-Entwickler müssen sichere Kodierungsverfahren implementieren und diese im Rahmen des Software-Build-Prozesses auf das Gerät anwenden. Die Konzentration auf Qualitätssicherung und die Identifizierung und Behebung von Schwachstellen als Teil des Entwicklungszyklus optimiert die Sicherheitsbemühungen und trägt dazu bei, Risiken zu minimieren.
  • Schließen von Backdoors: Der Bau von Geräten mit Backdoors, sei es zu Überwachungs- oder Strafverfolgungszwecken, ist alltäglich geworden. Diese Vorgehensweise beeinträchtigt jedoch die Integrität und Sicherheit des Endbenutzers. Hersteller müssen dafür Sorge tragen, dass weder bösartiger Code noch Backdoors eingeführt werden und die UDID (Unique Device ID) des Geräts nicht kopiert, überwacht oder erfasst wird. So wird vermieden, dass, wenn sich das Gerät online registriert, der Prozess nicht abgefangen wird oder anfällig für rechtswidrige Überwachung ist.
  • Netzwerksegmentierung: Wenn ein Netzwerk in sichere Segmente unterteilt ist, kann im Fall eines kompromittierten IoT-Geräts dessen Segment vom Rest des Netzwerks isoliert werden. Sollte das Gerät kompromittiert werden, sind nur Geräte in diesem Netzwerksegment betroffen. Die Zone kann unter Quarantäne gestellt, und es lassen sich Abhilfemaßnahmen ergreifen, ohne Risiken für andere Systeme.

Wer diese Punkte nicht nur für die IoT-Lösungen, sondern für alle IT-Lösungen umsetzt, sorgt auch für eine Optimierung der IT-Sicherheit insgesamt.

Was das für die Unternehmen bedeutet

Die genannten Beispiele besagen nicht, dass es nicht notwendig ist, mehr für den Datenschutz und die IT-Sicherheit im IoT zu tun, ganz im Gegenteil. Doch die Bemühungen, der Aufwand und die Investitionen für ein sicheres und datenschutzkonformes IoT helfen auch bei der Verbesserung im Datenschutz und der IT-Sicherheit in der ganzen, restlichen IT. Viele der neuen IoT-Sicherheitslösungen adressieren die IT und das (Industrial) IoT gemeinsam. Wenn hier neue, übergreifende Lösungen und Verfahren zum Einsatz kommen und Standards etabliert werden, hilft dies eben nicht nur im Internet der Dinge, sondern in der ganzen IT und damit für die gesamte Digitalisierung.

Mehr Sicherheit und Datenschutz im IoT lohnt sich, nicht nur für das Internet of Things, sondern übergreifend für die Digitalisierung. Das sollte bei den Budgets für IoT-Sicherheit bedacht werden, ebenso bei der Überlegung, ob sich der ganze Aufwand für Datenschutz und Sicherheit für das IoT denn überhaupt (schon) lohnt. Wer das IoT sicherer und datenschutzgerechter macht, schafft im Idealfall keine Insellösungen, sondern ein übergreifendes System für Datenschutz und IT-Sicherheit.

(ID:46051265)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research