IoT kann noch viel von der Smartphone-Sicherheit lernen

Mathias Hein, Consultant, Buchautor, Redakteur
Mathias Hein, Consultant, Buchautor, Redakteur

Das zu erwartende massive Wachstum im Bereich des Internet der Dinge (IoT) in den kommenden Jahren sollte uns daran erinnern, dass wir uns schleunigst um die Themen „Sicherheit“ und „Privatsphäre“ kümmern sollten. Durch die unterschiedlichen Geräte und Einsatzbereiche stellen uns die IoT-Anwendungen vor nie gekannte Herausforderungen im Bereich der Sicherheit.

Ich schätze, dass 85 Prozent der gegenwärtig eingesetzten IoT-Geräte über keine ausreichenden Sicherheitsmechanismen verfügen. Es ist auch sehr wahrscheinlich, dass die überwiegende Mehrheit der heute installierten IoT-Geräte und -Anwendungen niemals aktualisiert werden. Viele IoT-Komponenten sind auch nicht in der Lage, aktualisiert zu werden. Dadurch weisen nicht nur die aktuell installierten Geräte ein Sicherheitsrisiko auf, sondern auch die überwiegende Mehrheit der zukünftig eingesetzten Geräte wird ein Sicherheitsproblem darstellen.

Im Enterprise-Bereich (dem Enterprise of Things; EoT) sieht es ein bisschen besser aus als in der Consumer-Welt. Die Enterprise-Geräte sind auch in der Regel etwas teurer und bieten daher auch eine bessere Verwaltbarkeit, Zuverlässigkeit und Sicherheit. Aber auf dem preissensiblen Consumer-Markt fehlt den IoT-Geräten jede Ausrichtung auf die Sicherheit.

Sicherheit in IoT-Geräten ab Werk bereits integrieren, nicht später hinzufügen

Die große Herausforderung, egal ob im EoT- oder IoT-Bereich, besteht darin, in den jeweiligen Geräten, die für eine spezifische Plattformen entwickelt wurden, nachträglich die notwendigen Sicherheitsfunktionen zu integrieren. Solche Nachbesserungen haben in der Vergangenheit noch nie gut funktioniert und werden auch im EoT/IoT-Bereich keine Ausnahme bilden.

Was sind die wichtigsten Sicherheitskomponenten, die jede Plattform benötigt?

  • Vertrauenswürdige Hardware-Umgebungen, auf der die Software arbeiten kann.
  • Gesicherte Benutzeroberflächen (falls genutzt, um ein Hacken zu verhindern).
  • Gesicherter Speicher, um die abzulegenden Daten verschlüsseln zu können.
  • Ein gesichertes Lifecycle Management für die Firmware und das Betriebssystem.
  • Geschützte Kommunikationsverbindungen (VPNs oder ähnliches).
  • Schlüsselverwaltung und Bereitstellung von Geräte-IDs und Logins.
  • Bereitstellung von Entwicklungswerkzeugen und –Methoden, die ein gutes Sicherheitsdesign ermöglichen.

Diese Entwicklungsschritte haben wir bereits vor einigen Jahren in der mobilen Welt durchgemacht. Aber der Mensch ist vergesslich und viele IoT-Anbieter haben ihre Lektionen noch nicht gelernt. Es wird daher für die kommenden Marktentwicklungen entscheidend sein, dass die EoT/IoT-Geräte eine klare Sicherheitsstrategie bereitstellen und dafür sorgen, dass die Privatsphäre geschützt wird. Die EoT/IoT-Geräte, die auf einer sicheren Plattform basieren, haben bereits heute schon einen großen Wettbewerbsvorteil.

Sicherheit in EoT/IoT-Geräten erhöht den Wert des Produkts

Einige Hersteller argumentieren, dass das Hinzufügen von Sicherheitsfunktionen in die IoT-Komponenten diese unerschwinglich macht. Meiner Erfahrung nach erhöht die Integration von Sicherheitsmerkmalen den Herstellungspreis der Komponenten nur um einen marginalen Betrag (etwa 5 bis 10 Prozent). Aus diesem Grund sollten die zusätzlichen Kosten kein Grund darstellen, um auf die notwendigen Absicherungen der Infrastrukturen zu verzichten. Geiz ist geil… aber der Verzicht auf Sicherheit ist Dummheit!

Es ist meist die pure Profitgier und nicht das Verständnis für die Anforderungen der Kunden, die einige Hersteller dazu bringt, die Sicherheit nicht ernst zu nehmen. Die zusätzlichen Herstellungskosten sind trivial im Vergleich zu den Kosten die ein Einbruch in die IT verursachen kann.

Dabei ist die Sicherheit von IoT / EoT-Komponenten nicht so schwer zu realisieren. Die meisten heute verfügbaren IoT-Geräte basieren auf Standard-Microcontrollern, in die nicht von Anfang an entsprechende Sicherheitskomponenten (beispielsweise die Ausführung der Codes in einer vertrauenswürdigen Umgebung, Verschlüsselung, VPN, usw.) – ähnlich den Sicherheitsfunktionen in den Mobiltelefonen – integriert wurden. Da die Technik des Mobilfunks auf eine lange Geschichte der Sicherheitsverbesserungen zurückblicken kann, wäre es wahrscheinlich sinnvoller diese Technik (bzw. einen Teil dieser Technik) auch im IoT/EoT-Bereich zu nutzen, als zu versuchen, die Sicherheitsfunktionen in Software bzw. Hardware neu zu erfinden.

Daher würde eine Art „verkleinerte Version“ der mobilen Komponenten sicherlich einen Wettbewerbsvorteil darstellen. Auch die etwas höheren Kosten würden keine Nachteile mit sich bringen, da diese bereits bewährte Sicherheitsmerkmale bereitstellen würden. Dies hätte außerdem den großen Vorteil, dass dies die Grundlage der nächsten Generation von IoT-Geräten mit integrierter Sicherheit darstellen könnten.

Die Hersteller von EoT/IoT-Geräten können die Sicherheitsanforderungen nicht ignorieren

Die Industrie hat einige Jahre gebraucht, um einigermaßen sichere Smartphones auf den Markt zu bringen. Diese Lernphase war steinig und mühsam. Aus diesem Grund sollten wir die gemachten Lektionen nicht ignorieren, wenn wir in die nächste Phase des IoT/EoT-Markts eintreten. Mit einer wachsenden Anzahl von neuen IoT/EoT-Plattformen erwarte ich, dass zukünftig Lösungen mit integrierter Sicherheit angeboten wird. Und diese Technologie wird wahrscheinlich auf einer von den Smartphones abgeleiteten Plattformen beruhen.

#Netzpalaver