Das Internet der Dinge („Internet of Things“, „IoT“) ist einer der aktuellen IT-Megatrends. Neue Technologien, Produkte und Protokolle entwickeln sich in diesem Bereich rasant. Das Ziel ist, physische Geräte oder „Dinge“ miteinander kommunizieren und Daten austauschen zu lassen. Diese neuen komplexen Vernetzungen bringen jedoch neue Herausforderungen im Sicherheitsbereich mit sich, die sich stellenweise stark von den Problemen der "klassischen" IT-Sicherheit unterscheiden. Das Kompetenzzentrum Öffentliche IT (ÖFIT) gibt einen Impuls zu den Herausforderungen der Angriffs- und Betriebssicherheit im Internet der Dinge.
IoT Anwendung bergen neue Risiken
Der größte Unterschied zwischen dem Internet der Dinge und gebräuchlichen IT-Systemen besteht in der großflächigen Vernetzung von Geräten mit geringer Rechenleistung. Doch auch einfache Geräte können in großer Zahl zur Bedrohung werden, da ihre jeweiligen Schutz- und Überwachungsoptionen beschränkt sind. Dem erhöhten Risiko von IT-Angriffen aufgrund der Verwendung des Internets der Dinge und der engen Verknüpfung zwischen der IT- und physischer Welt muss mit einer angemessenen Risikobewertung bei der Entwicklung derartiger Systeme begegnet werden. IoT-Applikationen werden aus einer großen Anzahl unterschiedlicher Bestandteile implementiert. Für Sicherheitsbetrachtungen reicht es daher nicht aus, die einzelnen Komponenten separat zu betrachten. Risiken und Gefahren werden erst vollständig sichtbar, wenn das komplexe System betrachtet wird.
Ein neuer Fokus auf Personen- und Sachschäden
Bei dem Einsatz weitgehend autonom agierender IoT-Systeme können Personen- oder Sachschäden verursacht werden, ohne dass ein Mensch in der konkreten Situation gehandelt oder über die konkrete Aktion (mit-)entschieden hat. Denn das Internet der Dinge greift in die Steuerung von physischen Objekten ein, was Einfluss auf die Betriebssicherheit hat. Auch daraus folgt eine Steigerung von potenziellen Risiken durch die Vernetzung der Geräte.
Betriebssicherheit nicht ohne Angriffssicherheit
Insbesondere im Internet der Dinge setzt die Betriebssicherheit unweigerlich eine ausreichende Angriffssicherheit voraus. Durch ihre geringen Speicher- und Verarbeitungskapazitäten sind Haushaltsgeräte schlecht für die Herausforderung bei der Internet-Kommunikation gerüstet. Aufgrund ihrer großen Anzahl und ihres schwachen Zugriffsschutzes sind sie besonders gut für „Denial-of-Service Angriffe“ (wie dem Angriff auf DYN im Jahr 2016) oder „Angriffe auf Mehrheitsentscheidungen“ zu missbrauchen. Daher müssen auch privat genutzte IoT-Anwendungen über angemessene Sicherheitsmechanismen verfügen, die neben der Sicherheit der Nutzer auch die Sicherheit Dritter im Blick haben.
Impulspapier zur Sicherheit im Internet der Dinge
Das Impulspapier „Safety, Security und Privacy im Internet der Dinge“ vom Kompetenzzentrum Öffentliche IT (ÖFIT) geht auf die dargestellten Herausforderungen des Internets der Dinge in Bezug auf Angriffs- und Betriebssicherheit und für die Privatsphäre betroffener Menschen ausführlicher ein.