IoT-Sicherheit: Ignorieren Sie nicht die Grundlagen

Das Internet der Dinge (IoT) ist zweifellos ein viel diskutiertes Thema, für viele ist es jedoch nach wie vor eine verbraucherorientierte Modeerscheinung, die sich bislang noch nicht wirklich auf Unternehmen ausgewirkt hat.

Es sei denn natürlich, Sie sind ein Unternehmen, das im Rahmen seiner Geschäftsstrategie solche Dinge zu seinem Vorteil nutzt.

Manchmal vergessen wir, dass es neben den schlagzeilenträchtigen Verbrauchergeräten eine ganze Welt aus Sensoren, Geräten, Steuerungssystemen und sogar Spielzeugen gibt, die bereits Teil des Internets der Dinge sind.

Und das bedeutet, dass es bereits jetzt Sicherheitsprobleme gibt.

Ein aktuelles Problem betrifft einen mit dem Internet verbundenen Teddybär von Fisher Price. Das Sicherheitsproblem? Eine Webanwendung, mit der der Teddybär kommunizierte, enthielt offenbar eine Sicherheitslücke, die die Identität von Kindern offenlegte.  Zuvor waren zahlreiche Schwachstellen entdeckt worden, die es ermöglichen könnten, die mit dem Internet verbundene Hello-Barbie-Puppe in ein Überwachungsgerät zu verwandeln.

Sie haben keine Kinder? Lesen Sie Princetons Sicherheitstests des Belkin WeMo Switch, des Nest Thermostat, eines Ubi Smart Speakers, einer Sharx Security Camera, eines PixStar Digital Photo Frame und eines SmartThings Hub. Dem Bericht zufolge „verwendete Ubi unverschlüsselte Kommunikationsmethoden, die sensible Informationen preisgaben, etwa ob der Benutzer zu Hause war oder ob es im Haus Bewegungen gab.“ Sowohl Sharx als auch PixStar übertrugen unverschlüsselte Daten.

Vielleicht konzentrieren wir uns jetzt ein bisschen zu sehr auf die „Ding“-Seite, denn sie ist neu und jedes neue Ding, das mit einem Netzwerk verbunden wird, bringt eine Fülle neuer Sicherheitsrisiken mit sich, die berücksichtigt werden müssen, und, verdammt noch mal, es ist neu und aufregend. Wenn Sie jedoch die Möglichkeit haben, „Dinge“ in Ihr Geschäftsmodell zu integrieren – sei es aus Gründen der Betriebseffizienz oder zur Erschließung neuer Märkte –, müssen wir uns in Wirklichkeit auf das Wesentliche konzentrieren und sicherstellen, dass wir auch diese Seite der Gleichung abgedeckt haben.

Es ist ganz einfach, den Datenverkehr zu verschlüsseln. Im Internet gibt es seit über 15 Jahren – und das ist nicht immer leicht – Lehren über die Bedeutung einer ordnungsgemäßen Schlüssel- und Zertifikatsverwaltung. Und dennoch verwenden Millionen von Geräten Zertifikate wieder und geben Schlüssel weiter . Und die Sicherung von Web-Apps? Wir trommeln dafür, seit der E-Commerce sein „E“ bekam und zu einer Sache wurde, die es auszunutzen gilt.

Die Dinge werden kommen, daran besteht kein Zweifel. Viele sind bereits hier und einige von ihnen scheinen, wie Douglas Adams sagen würde, „weitgehend harmlos“. Aber es geht nicht nur um die Dinge. Es geht auch um die Anwendungen und Systeme, mit denen diese Dinge fast immer kommunizieren, sei es um sich zu registrieren, zu aktivieren, neue Inhalte zu erhalten, Daten zu teilen oder verwaltet zu werden.

Auch wenn die App, die die Backend-Funktionen für Ihr Ding bereitstellt, nicht als öffentlich zugänglich beworben wird, muss sie per Definition öffentlich zugänglich sein, damit andere Dinge über das Internet darauf zugreifen können. Das bedeutet, dass Sie auf Sicherheitstests für jede App bestehen sollten, auf die von dem von Ihnen entwickelten Gerät zugegriffen wird. Egal, ob in der Cloud oder im Rechenzentrum, es muss getestet und geschützt werden. 

Das Internet der Dinge ist das Geschäft der Anwendungen . Und das bedeutet, dass es bei der Sicherheit des Internets der Dinge sowohl um die Sicherung der Dinge als auch um die Sicherung des Anwendungsökosystems geht, das diese unterstützt.