Symbolbild SmartCity
© Pixabay

Safety und Security im Internet der Dinge

Wie Haushaltsgeräte die Internetsicherheit gefährden

Am Freitag dem 21. Oktober 2016 wurden Twitter, Netflix, Paypal, Reddit, Spotify und viele andere namhafte Webseiten lahmgelegt. Der Grund: Ein konzentrierter Angriff auf DYN, den Betreiber eines DNS-Dienstes. Als Waffe nutzten die Hacker über eine Million internetfähige Haushaltsgeräte die sie durch eine kleine Schadsoftware übernommen hatten. Dies gilt als einer der ersten strukturierten Cyberangriffe mit internetfähigen Haushaltsgeräten.

Jens Tiemann

Hüseyin Ugur Sagkal

Das Internet der Dinge („Internet of Things“, „IoT“) ist einer der aktuellen IT-Megatrends. Neue Technologien, Produkte und Protokolle entwickeln sich in diesem Bereich rasant. Das Ziel ist, physische Geräte oder „Dinge“ miteinander kommunizieren und Daten austauschen zu lassen. Diese neuen komplexen Vernetzungen bringen jedoch neue Herausforderungen im Sicherheitsbereich mit sich, die sich stellenweise stark von den Problemen der "klassischen" IT-Sicherheit unterscheiden. Das Kompetenzzentrum Öffentliche IT (ÖFIT) gibt einen Impuls zu den Herausforderungen der Angriffs- und Betriebssicherheit im Internet der Dinge.  

IoT Anwendung bergen neue Risiken

Der größte Unterschied zwischen dem Internet der Dinge und gebräuchlichen IT-Systemen besteht in der großflächigen Vernetzung von Geräten mit geringer Rechenleistung. Doch auch einfache Geräte können in großer Zahl zur Bedrohung werden, da ihre jeweiligen Schutz- und Überwachungsoptionen beschränkt sind. Dem erhöhten Risiko von IT-Angriffen aufgrund der Verwendung des Internets der Dinge und der engen Verknüpfung zwischen der IT- und physischer Welt muss mit einer angemessenen Risikobewertung bei der Entwicklung derartiger Systeme begegnet werden. IoT-Applikationen werden aus einer großen Anzahl unterschiedlicher Bestandteile implementiert. Für Sicherheitsbetrachtungen reicht es daher nicht aus, die einzelnen Komponenten separat zu betrachten. Risiken und Gefahren werden erst vollständig sichtbar, wenn das komplexe System betrachtet wird. 

IoT-System Ende-zu-Ende
© Fraunhofer FOKUS / Kompetenzzentrum Öffentliche IT

Ein neuer Fokus auf Personen- und Sachschäden

Bei dem Einsatz weitgehend autonom agierender IoT-Systeme können Personen- oder Sachschäden verursacht werden, ohne dass ein Mensch in der konkreten Situation gehandelt oder über die konkrete Aktion (mit-)entschieden hat. Denn das Internet der Dinge greift in die Steuerung von physischen Objekten ein, was Einfluss auf die Betriebssicherheit hat. Auch daraus folgt eine Steigerung von potenziellen Risiken durch die Vernetzung der Geräte. 

© Fraunhofer FOKUS / Kompetenzzentrum Öffentliche IT

Betriebssicherheit nicht ohne Angriffssicherheit 

Insbesondere im Internet der Dinge setzt die Betriebssicherheit unweigerlich eine ausreichende Angriffssicherheit voraus. Durch ihre geringen Speicher- und Verarbeitungskapazitäten sind Haushaltsgeräte schlecht für die Herausforderung bei der Internet-Kommunikation gerüstet. Aufgrund ihrer großen Anzahl und ihres schwachen Zugriffsschutzes sind sie besonders gut für „Denial-of-Service Angriffe“ (wie dem Angriff auf DYN im Jahr 2016) oder „Angriffe auf Mehrheitsentscheidungen“ zu missbrauchen. Daher müssen auch privat genutzte IoT-Anwendungen über angemessene Sicherheitsmechanismen verfügen, die neben der Sicherheit der Nutzer auch die Sicherheit Dritter im Blick haben. 

Impulspapier zur Sicherheit im Internet der Dinge 

Das Impulspapier „Safety, Security und Privacy im Internet der Dinge“ vom Kompetenzzentrum Öffentliche IT (ÖFIT) geht auf die dargestellten Herausforderungen des Internets der Dinge in Bezug auf Angriffs- und Betriebssicherheit und für die Privatsphäre betroffener Menschen ausführlicher ein.

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.