IoT-Sicherheit

„Noch herrscht ein Mismatch im persönlichen Mindset“


Fortsetzung des Artikels von Teil 1

Problemstellen

Pablo Endes, SevenShift
Pablo Endres, Gründer von SevenShift: „Das große Problem bei den meisten Normen ist, dass dahinter kein regulatorischer Biss ist.“
© Manor Lux

Unabhängig davon ist ein Problem bei der Gewährleistung sicherer IoT-Consumer-Geräte das Anwendungsgebiet selbst. Der heterogene, volatile Markt – mit seinen zahlreichen Marken und Standards und unterschiedlichen Ausprägungen von mit dem Internet verbundenen Geräten – lässt sich nur schwer fassen und demzufolge auch nicht so einfach absichern. „IoT-Security als großes Ganzes ist im Grunde die Anwendung der IT-Security auf eben dieses Feld: dem Internet of Things“, erläutert Jörn Edlich, Principal bei der Unternehmensberatung mm1. „Wenn wir von IoT reden, bedeutet das Kommunikation von smarten Devices. Das folgt im Grunde immer einer ähnlichen Systemarchitektur: Man hat irgendwo ein Ding, also ein Gerät, das mit einem Backend und Frontend verbunden ist. Dann ist irgendwo noch das, was man weitläufig als Cloud bezeichnet, involviert. Betrachtet man das abstrakt, trifft das sowohl auf die Sportuhr als auch auf das Auto, das man fährt, zu. Und in diesem Feld bewegen wir uns heutzutage.“ Die Schwierigkeit hierbei sei laut Edlich, dass es sich um eine kaum greifbare Thematik handele, die sich nur schwer in Regeln pressen oder klar formulieren lasse. „Salopp und provokant ausgedrückt sind es ja nur Daten; es kann ja nicht in Flammen aufgehen“, so der mm1-Experte „Wenn wir über Produktsicherheit im Sinne eines Brandschutzes oder Ähnlichem sprechen, dann ist das ziemlich greifbar. Ich muss gucken, dass meine elektrischen Schaltkreise so verbaut sind, dass sie nicht bei einer geringen Störung oder Stromspannung in Flammen aufgehen und das Babyphone auf einmal anfängt zu brennen. Das ist relativ simpel.“ Des Weiteren sei es simpel, ein physikalisches Produkt gegen Einbruch abzusichern. Jeder habe ein Schloss an seiner Haustür. Das könne man angucken, anfassen – es ist greifbar. Würde man aber über das Thema Daten sprechen, dann sei es erst einmal für den Nutzer überhaupt nicht ersichtlich, ob diese Daten, die von A nach B auf der Luftschnittstelle übermittelt werden, verschlüsselt sind oder nicht. Insofern sei es auch erforderlich, so Edlich, dort in Richtung Regulatorien und Anforderungen an die digitale Sicherheit oder an die IT-Sicherheit aktiv zu werden. Während die elektrische und funktionale Sicherheit von derlei Produkten nämlich oft bis ins Detail geregelt ist, fehlt es bisweilen noch an allgemeingültigen Anforderungen mit Blick auf die digitale Sicherheit. Auch sei die Ende-zu-Ende-Betrachtung ausschlaggebend.

„Consumer-Produkte haben auch andere, nämlich kommerzielle Aspekte“, gibt Pablo Endres zu bedenken. Er ist Gründer von SevenShift, einem auf Cyber- und IoT-Sicherheit spezialisiertem Unternehmen. Demnach hätten es die Hersteller von IoT-Geräten in der Regel eilig, die Geräte zu verkaufen. „Die Time-to-Market ist sehr gering und auch die Kosten müssen gering gehalten werden“, sagt Endres. „Und leider ist Sicherheit weder schnell noch günstig.“ Das bedeutet, dass IoT-Geräte oft nur mit den minimalen, unbedingt notwendigen Funktionen ausgeliefert werden, um damit den Entwicklungsprozess zu verkürzen und die Kosten so weit wie möglich zu senken. Sicherheitslücken sind somit vorprogrammiert. Hier bräuchte es laut Endres gut ausgebildete Profis, gut eingespielte Teams, Prozesse und Tools, um Sicherheit gewährleisten zu können. „Dieses Bewusstsein dafür, wie wichtig die Daten sind, haben viele Hersteller einfach auch noch nicht“, sagt der SevenShift-Gründer. Denn bis jetzt sei das auch nicht wichtig für sie gewesen. „Da gibt es welche, die seit 20 Jahren Kinderspielpuppen produzieren. Und weil die Puppe jetzt digital ist, gibt es eine komplett andere Angriffsfläche, eine andere Gefahr, mit der sie sich erst auseinandersetzen müssen.“ Eine Verantwortung, die im Übrigen nicht an der Ladentheke endet: „Hersteller müssen dann darauf achten, dass das Produkt nicht nur entwickelt, sondern auch fortlaufend gepflegt wird“, ergänzt Jörn Edlich. Und da fließe das Thema IT-Security und Datenschutz auch mit ein.

„Und dann muss man ja fairerweise sagen, dass wir als Kunden alle in der Masse vielleicht noch nicht das richtige Mindset haben“, gibt Edlich zu bedenken. „Wir wissen alle, dass IT-Security wichtig ist und Daten gestohlen werden können – da ist man furchtbar sensibel, was man gerade ausfüllt und von wo man sich anmeldet – aber seit Jahren gehen wir völlig sorglos damit um, unser Kaufverhalten über Payback- oder Kreditkarten mehr oder weniger offenzulegen.“ Hier herrsche einfach noch bei vielen ein gewisser „Mismatch im persönlichen Mindset“.

Sicherheitsvorgaben für das Internet der Dinge
Folgende Maßnahmen sind angesichts des regulatorischen Umfelds rund um IoT-Geräte erwähnenswert: In Deutschland regelt das IT-Sicherheitsgesetz seit 2015 verbindliche Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastrukturen (KRITIS), also für Systeme mit wichtiger öffentlicher Bedeutung, an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bereits jetzt sind KRITIS-Unternehmen verpflichtet, ihre IT-Systeme nach dem aktuellen „Stand der Technik“ zu betreiben und sie einer regelmäßigen Überprüfung zu unterziehen sowie sie falls notwendig zu modernisieren. Dabei spielen Sicherheitsstandards, wie der vom BSI definierte IT-Grundschutz oder ISO/IEC 27001, eine entscheidende Rolle. Aktuell wird an einem IT-Sicherheitsgesetz 2.0 gearbeitet und der vorliegende Referentenentwurf der Bundesregierung zeigt, dass auch der IT-Markt für Verbraucher reguliert werden soll, allerdings vorerst auf freiwilliger Basis. So soll ein einheitliches IT-Sicherheitskennzeichen eingeführt werden, durch das die IT-Sicherheit von Produkten erstmals sichtbar wird. TÜV-Chef Dirk Stenkamp sieht hier jedoch noch Gesetzeslücken. So würde sich die derzeitige Novelle des deutschen IT-Sicherheitsgesetzes auf kritische Infrastrukturen konzentrieren, aber kaum Verbesserung für vernetzte Geräte in den eigenen vier Wänden bringen. Die Politik sei hier säumig, kritisiert er. Aufgeschlossener würden sich die Hersteller solcher Geräte zeigen, mit denen der TÜV wegen des CSC-Zeichens nun im Gespräch steht (s. auch Abschnitt „Viele Empfehlungen, keine Verpflichtung“). Grundsätzlich kommen bei IoT-Geräten auch die allgemeinen Regelungen des Produkthaftungsgesetzes (ProdHaftG) zur Anwendung. So haftet der Hersteller nach § 1 ProdHaftG für Fehler seines Produkts. Für Schäden, die durch fehlende IT-Sicherheitsmaßnahmen des Anwenders verursacht werden, gibt es allerdings keinen Haftungsanspruch.

  1. „Noch herrscht ein Mismatch im persönlichen Mindset“
  2. Problemstellen
  3. Über reine Produktsicherheit hinausgedacht
  4. Viele Empfehlungen, keine Verpflichtung

Das könnte Sie auch interessieren

Verwandte Artikel

Smarthouse Pro, TÜV NORD CERT GmbH & Co. KG, TÜV SÜD AG