Round Table "IoT - im Spannungsfeld zwischen Security und Safety"

Achillesferse Security: IoT muss sicherer werden

14.09.2017
Von 
Jürgen Mauerer ist Journalist und betreibt ein Redaktionsbüro in München.
Eine Unmenge verbundener Geräte, vielfältige Anwendungen sowie Hersteller, die in der Design-Phase den Faktor IT-Security vernachlässigen. Beim Thema "Sicherheit im IoT" gibt es noch viel zu tun. Basis für mehr Sicherheit sind intelligente, sichere Netzwerke, Automatisierung, mehr Standards und eine neue Sicherheitskultur.
Noch vernachlässigen viele Entwickler beim IoT die Sicherheit.
Noch vernachlässigen viele Entwickler beim IoT die Sicherheit.
Foto: Zapp2Photo - shutterstock.com

Das Internet der Dinge (Internet of Things, IoT) bietet grundsätzlich vier Einfallstore für Hacker und andere Cyberkriminelle: die Endgeräte, die App auf dem mobilen Gerät, das Backend und die Übertragungswege. Doch viele Anbieter und auch Kunden von IoT-Anwendungen vernachlässigen bei der Entwicklung den Faktor Sicherheit. Daher überrascht es nicht, dass die Teilnehmer des COMPUTERWOCHE-Round-Tables "IoT - im Spannungsfeld zwischen Security und Safety" für die aktuelle Sicherheitslage im IoT auf einer Skala von 1 (=sicher) bis 10 (=katastrophal) im Schnitt eine 8,5 bis 9 vergaben.

"Es ist teilweise erschreckend, was die Kunden tun. Sie erstellen einen Proof of Concept ihrer Anwendung und gehen dann so schnell wie möglich produktiv. Die Sicherheit steht dabei im Hintergrund, da sie zu viel Aufwand kostet", sagte Matthias Schorer, Lead Business Development Manager IoT, EMEA, bei VMware. "Das ist fatal, da die Gefahren und die Komplexität durch die zunehmende Vernetzung weiter steigen."

Matthias Schorer, Lead Business Development Manager IoT, EMEA, bei VMware, zur IoT-Sicherheit: "Es ist teilweise erschreckend, was die Kunden tun."
Matthias Schorer, Lead Business Development Manager IoT, EMEA, bei VMware, zur IoT-Sicherheit: "Es ist teilweise erschreckend, was die Kunden tun."
Foto: Michaela Handrek-Rehle

Josef Meier, Manager Sales Engineering Germany bei Fortinet, sieht das ähnlich: "Bei vielen disruptiven Technologien stehen zunächst die Vorteile im Vordergrund. Der Gedanke an Sicherheit kommt erst nach einer gewissen Zeit der Nutzung. So ist es auch beim Thema IoT." Eine weitere Security-Problematik sieht er im großen Spektrum der IoT-Anwendungen, die von Wearables über das vernetzte Auto bis hin zu Produktionsanlagen reichten.

Industrie besser geschützt als Privatanwender

"Segmentierung, Verschlüsselung und sichere Authentifizierung sind unabdingbar, um Hacker-Attacken oder die Verknüpfung verschiedener Smart Devices zu einem Botnetz zu verhindern“, betonte Josef Meier, Manager Sales Engineering Germany bei Fortinet.
"Segmentierung, Verschlüsselung und sichere Authentifizierung sind unabdingbar, um Hacker-Attacken oder die Verknüpfung verschiedener Smart Devices zu einem Botnetz zu verhindern“, betonte Josef Meier, Manager Sales Engineering Germany bei Fortinet.
Foto: Michaela Handrek-Rehle

Die Teilnehmer des Round Tables waren sich einig, dass man zwischen verschiedenen Anwendungsszenarien differenzieren müsse. "Im IoT sind die Scheunentore aktuell bei Privatanwendern noch weitaus offener als bei den Firmen. Unternehmen sind zwar meist besser geschützt, müssen aber die Innovationen des IoT weiterhin mit Sicherheit verknüpfen. Diese Sicherheit muss dabei bereits am Zugangspunkt von IoT-Geräten gewährleistet werden", erklärt Nicolai Blonner, Account Manager bei Alcatel-Lucent Deutschland.

Auch Andreas Kaiser, Director von Rohde & Schwarz Cybersecurity, ist der Meinung, dass große Industriebetriebe schon relativ sicher seien und in vielen Fällen bereits auf Security by Design setzten. "Das IoT forciert die Konvergenz zwischen dem öffentlichen Internet und dem bisher geschlossenen Raum der Industrieanlagen. Firmen müssen daher Security ganzheitlich betrachten. Im privaten Bereich ist Security für viele Nutzer zu komplex. Daher würde ich hier auf der Skala von 1 bis 10 den Faktor 10 ansetzen."

Smart-Home-Lösungen, Thermostate oder andere vernetzte Geräte in Privathaushalten werden zunehmend zum Ziel von Hackern. "Sicherheit ist hier immer auch eine Kostenfrage", gibt Paul Haigh zu bedenken, Country Manager Germany IoT bei Vodafone. "IP-Kameras gibt es beispielsweise für 25 Euro, aber auch für 500 Euro. Ein teureres Gerät eines etablierten Herstellers hat wahrscheinlich auch ein viel sicheres System im Hintergrund."

Umstritten: Erhöhen Standards den Schutz?

Die Teilnehmer des COMPUTERWOCHE-Round-Tables „IoT - im Spannungsfeld zwischen Security und Safety“ schätzen die aktuelle Sicherheitslage im IoT eher schlecht ein.
Die Teilnehmer des COMPUTERWOCHE-Round-Tables „IoT - im Spannungsfeld zwischen Security und Safety“ schätzen die aktuelle Sicherheitslage im IoT eher schlecht ein.
Foto: Michaela Handrek-Rehle

Endanwender haben bei der Wahl von IoT-Lösungen eine große Auswahl. "Die Vielfalt der Produkte erschwert aber die Entwicklung von Standards. Wir brauchen einige IoT-Standards, um die Sicherheit zu erhöhen, etwa bei den Schnittstellen", fordert Axel Hansmann, VP M2M Portfolio & Strategy bei Gemalto. "Sicherheit darf nicht nur auf höhere Anlaufkosten reduziert werden, sondern kann als Wegbereiter neuer Geschäftsmodelle auch mehr Wertschöpfung ermöglichen."

VMware-Mann Matthias Schorer ist beim Thema Standards etwas skeptischer. "Es dauert ewig, bis ein Standard umgesetzt ist. Die technische Entwicklung ist hier zu schnell. Und Standards alleine helfen nicht, wenn die IoT-Software Schwachstellen aufweist." Laut Schorer gibt es in der Industrie rund 2.000 verschiedene Protokolle, jeder Gateway-Hersteller setze seine eigene Linux-Software ein, der Wildwuchs an Betriebssystemen sei nur schwer in den Griff zu bekommen.

Martin Böker, Director B2B bei Samsung, fordert vor allem Schnittstellen-Standards für die sichere Kommunikation zwischen den vernetzten Geräten.
Martin Böker, Director B2B bei Samsung, fordert vor allem Schnittstellen-Standards für die sichere Kommunikation zwischen den vernetzten Geräten.
Foto: Michaela Handrek-Rehle

Martin Böker, Director B2B bei Samsung, fordert vor allem Schnittstellen-Standards für die sichere Kommunikation zwischen den vernetzten Geräten. "Die Geräte sollen offen sein, müssen sich aber in einem geschlossenen Umfeld bewegen. Die Standardisierungsgremien müssen hier ihre Prozesse überdenken und beschleunigen, damit sich die Standards schneller an neue Entwicklungen anpassen lassen."

Standards seien insbesondere für die funktionale Sicherheit und Anwendungen notwendig, in denen menschliches Leben auf dem Spiel steht, meint Andreas Kaiser von Rohde & Schwarz Cybersecurity. "Das autonome Auto funktioniert ohne Standards nicht. Auch in kritischen Infrastrukturen und der Industrie geht nichts ohne Standards und Zertifikate für den Zugang zum Netz. Wir müssen wissen, was passiert, wenn sich ein Gerät mit einem Netzwerk verbindet."