IT-Security für Consumer-IoT-Produkte
Orientierungshilfe für einen heterogenen Markt schaffen
Nicht selten sind IoT-Produkte Zielscheibe von Hacker-Angriffen. Mit standardisierten Anforderungen und Prüfmethoden kann im heterogenen IoT-Umfeld ein Mindestmaß an IT-Security gewährleistet werden. Davon profitieren auch die Produktqualität und das Vermarktungspotential der Produkte.
Das Internet of Things (IoT) ist in sämtlichen Bereichen des Lebens längst Realität. Die Vernetzung von Dingen, also Sensoren und Aktuatoren mit Apps, Webportalen und Backendkomponenten, ist nicht mehr wegzudenken. Bei all diesen Geräten werden Daten generiert und verteilt. Aber wie können wir garantieren, dass die IoT-Produkte und die Daten der Nutzer mit all Ihren Verbindungen auch sicher sind?
Häufig sind IoT-Produkte Zielscheibe von Hacker-Angriffen auf Geräte-, System- und Datenebene. Mit standardisierten Anforderungen und Prüfmethoden der IoT-Security kann im heterogenen Umfeld des IoT im großen Maße und auch kostengünstig ein Mindestmaß an IT-Security gewährleistet werden. Davon profitieren insbesondere auch die Produktqualität und das Vermarktungspotential dieser Produkte. Der heterogene Markt an Consumer-IoT-Produkten und die stetig wachsende Zahl an Vorfällen im Bereich der IT-Security sowie die zunehmende Sensibilisierung der Kunden für dieses Thema führen zu der Notwendigkeit, Consumer-IoT-Produkten eine messbare Sicherheit gegenüber IT-Security Risiken bescheinigen zu können. Im Folgenden wird anhand der abstrahierten Systemarchitektur sowie exemplarischen Maßnahmen erläutert, welche Bedeutung eine Normung im Bereich der IT-Security für Consumer-IoT-Produkte spielen kann.
Die IoT-Anatomie
Das Internet of Things (IoT) beziehungsweise das Internet der Dinge folgt im Wesentlichen einer ähnlichen Systemarchitektur (siehe Abbildung zur Systemarchitektur): Sensoren und Aktuatoren verbinden sich mit den Backendsystemen. Dies erfolgt sowohl kabelgebunden als auch kabellos. Die Frontends, wie Apps oder auch Webportale, kommunizieren über das Internet mit dem Backend oder auch direkt über drahtlose Verbindungen mit dem Sensor oder Aktuator. Diese Systeme unterscheiden sich hinsichtlich der verwendeten Backendsysteme inklusive der IoT-Plattformen sowie der Verbindungstechnologien und Frontendtechnologien.
Für die Kommunikation sind zahlreiche Protokolle (zum Beispiel MQTT, IPv6, TLS) denkbar und kommen kombiniert zur Anwendung. In der Regel werden die Daten über eine IP-Verbindung übertragen. Die Architektur- und Technologieentscheidung hängt im Wesentlichen vom Verwendungszweck, dem Verwendungsort und der Anzahl an Nutzern ab. Zusätzlich sind regulatorische Vorgaben ausschlaggebend – nicht unbedingt nur hinsichtlich der IT-Security.
Die Gesamtarchitektur kommt selten von einem Anbieter und somit aus einer Entwicklungsabteilung. Vielmehr sind die Systeme über mehrere Anbieter, wie IoT-Plattformen, Cloudanbieter, Kommunikationsnetzanbieter, etc., verteilt. Lediglich die Integration der einzelnen Systembestandteile und „das System vor Kunde" liegen in der koordinativen Verantwortung des Lösungsanbieters.
Die Herausforderung
Die in der oberen Abbildung dargestellte, abstrahierte Architektur offenbart die umfangreiche Angriffsoberfläche. Die daraus resultierenden, zahlreichen Angriffsvektoren sind in der zweiten Abbildung skizziert. So variieren die Angriffsvektoren auf das IoT-Gerät selbst oder die enthaltene Firmware im Vergleich zu denen auf die Verbindungsstrecken, die Apps, das Portal oder das Backend.
Um das Gesamtsystem sicher zu machen, muss überall im System ein Mindestmaß an Sicherheit gewährleistet sein. Dies umfasst die gesamte Architektur und betrifft insbesondere auch Aspekte, wie zum Beispiel die prozessualen Vorgaben an die Nutzung und Gestaltung von Passwörtern, das Firmware-Update-Prozedere oder die verwendeten Protokolle bei der Kommunikation und der Bewirtschaftung der Daten. Nur wenn alle Aspekte abgesichert sind, können die Privatsphäre der Nutzer, die Verfügbarkeit des Devices und der damit verbundenen Dienstleistung sowie die Datenintegrität gewährleistet werden. Dabei sind die obersten Prämissen, dass Kunde und Betreiber keinen Schaden nehmen und die regulatorischen Rahmenbedingungen eingehalten werden. Hier ist insbesondere die DSGVO zu nennen und von übergeordneter Bedeutung.
- Orientierungshilfe für einen heterogenen Markt schaffen
- Normen und Anforderungen
Lesen Sie mehr zum Thema
