Internet of Things Wie teuer ist IoT-Sicherheit? Den Kostenfaktor richtig einschätzen

Autor / Redakteur: Gonda Lamberink / Dipl. -Ing. Ines Stotz

Das Internet der Dinge verbreitet sich in immer mehr Industriefeldern und Lebensbereichen. Um die Sicherheit „intelligenter Dinge” zu gewährleisten, sind umfangreiche Prüfungen nötig. Dieser Beitrag zeigt auf, warum dieser Aufwand aber als lohnende Investitionen in Produktsicherheit verstanden werden sollte und es hier keine Abkürzungen gibt.

Firmen zum Thema

Das gründliche Testen eines IoT-Geräts, das ein Prüfsiegel einer unabhängigen Stelle erhält, verschafft dem Produkt einen Wettbewerbsvorteil.
Das gründliche Testen eines IoT-Geräts, das ein Prüfsiegel einer unabhängigen Stelle erhält, verschafft dem Produkt einen Wettbewerbsvorteil.
(Bild: UL - Underwriters Laboratories)

Das Internet der Dinge (Internet of Things, IoT) erhält Einzug in immer mehr Lebensbereiche: ob Smart Home oder connected Cars oder Smart Factories für die Industrie – bald könnte praktisch alles vernetzt sein. Die Sicherheitsrisiken dieser Geräte rücken deshalb zunehmend in den Fokus von Endanwendern und anderen Konsumenten. Denn vernetzte Produkte können einem Angriff von außen zum Opfer fallen oder während des Betriebs ausfallen. Um dieses Risiko abzumildern, müssen die Produkte gründlich geprüft werden – in Testlaboren, die speziell dafür akkreditiert sind.

Warum sollte man IoT-Geräte testen?

Generell sollten Hersteller ihre IoT-Geräte testen, denn ausgiebiges Testen kann die Sicherheit der Geräte während der Entwicklung verifizieren und anschließend diese validieren und damit allen beteiligten Parteien – Herstellern, Händlern und Endkunden – die Information geben, die sie benötigen, um eine informierte Kaufentscheidung zu treffen.

In dieser Hinsicht wurden Bewertungssysteme wie das IoT Security Rating von UL eingeführt, um Vertrauen auf dem Markt zu schaffen. Die Rolle von Systemen zur Bewertung der Sicherheit besteht darin, die Basissicherheit zu erhöhen und den Anwendern die Möglichkeit zu geben, Sicherheitsoptionen zu wählen, die ihren Bedürfnissen entsprechen.

Unabhängige Konformitätsprüfungsunternehmen wie UL, ein führende Unternehmen im Bereich der Sicherheitswissenschaft, führen eine gründliche Bewertung des IoT-Geräts durch, wonach Kunden ein Prüfsiegel erhalten, welches die Sicherheits-Behauptungen die über das Gerät gemacht werden verifiziert.

Gründliches Testen bringt Wettbewerbsvorteile

Das gründliche Testen eines IoT-Geräts ist notwendig, um die Compliance, also die die Einhaltung aller gesetzlichen Bestimmungen sowie interner Richtlinien durch Unternehmen und ihre Mitarbeiter, zu gewährleisten. Darüber hinaus verschafft diese Sicherheit dem Produkt einen starken Wettbewerbsvorteil. Denn ein Prüfsiegel einer unabhängigen Stelle auf der Verpackung des Produkts kann dafür sorgen, dass ein Kunde sich für dieses Produkt anstatt für ein anderes entscheidet.

In dem hart umkämpften Markt für IoT-Geräte ist ein weiteres Differenzierungsmerkmal für Hersteller wichtig, um sich von der Konkurrenz abzusetzen.

Man muss die Kosten im Kontext sehen

Unternehmen müssen beachten, dass Sicherheitsprüfungen mit einem entsprechenden Zeitaufwand und Investment einhergehen. Prinzipiell entstehen Kosten durch die Rigorosität der entsprechenden Tests: je stärker ein Gerät geprüft wird, desto zeitaufwändiger und teurer wird dies.

Allerdings sollten die Kosten für eine Sicherheitsprüfung auch in Relation zu den „worst case” Szenarien gesetzt werden: ein Ausfall oder ein Zugriff auf das Gerät und ein dem Nutzer dadurch entstehender Schaden – inklusive eines etwaigen Vertrauensverlustes von Kunden, der schwerlich wieder gutzumachen ist.

Deshalb ist auch der Zeitaufwand gerechtfertigt. Während eine schnelle Sicherheitsprüfung möglicherweise zu geringen Kosten durchgeführt werden kann, müssen Hersteller dabei entsprechende Ungenauigkeiten und Lücken jedoch in Kauf nehmen. Dies geht jedoch gegen den eigentlichen Sinn einer Sicherheitsprüfung, denn eine Prüfung muss die Sicherheit eines Gerätes bestimmen, sonst bringt sie nichts. Um ein Gerät ausgiebig zu prüfen, sind detaillierte Tests schlichtweg notwendig.

Insofern sollten Unternehmen ein paar der folgenden Gesichtspunkte bezüglich Sicherheit in ihre Produktplanung mit einbeziehen:

Kostentreiber bereits im Systemdesign einbeziehen

Prinzipiell sollten sicherheitsrelevante Aspekte von Anfang an in das Design des intelligenten Geräts integriert werden. Um dies zu erreichen, muss das Designteam die Risiken verstehen, denen das System ausgesetzt ist und welche Motivation ein Hacker hätte, das System anzugreifen. Hier gilt für Design-Teams die Faustregel, dass Hacker nach dem Zweck für den das Gerät verwendet wird entscheiden, ob sie es angreifen.

Unternehmen sollten sich deshalb die folgenden Fragen stellen, wenn sie die Sicherheitsanforderungen ihrer Produkte berücksichtigen:

  • Implementiert das System sicherheitsrelevante Funktionen, wie z. B. Netzwerk- oder physische Sicherheit?
  • Benötigt das System eine direkte Verbindung zum Internet oder kann es so konfiguriert werden, dass es eine solche hat? Falls ja, benötigen diese Systeme ein hohes Maß an Sicherheit.

Des Weiteren sollten Unternehmen für all Eventualitäten („was kann schief gehen?”) vorplanen, sowie das System mit den Augen eines potenziellen Angreifers sehen. Das heißt Hersteller sollten sich fragen, warum jemand daran interessiert sein könnte, ihr System zu kompromittieren – etwa um Daten zu stehlen, eine Kamera für Observation zu benutzen, oder ein Gerät als Teil eines Botnetzes oder DDoS-Angriffs zu kontrollieren. Auch sollten sie sich fragen, falls Gesetz dem Fall das eine böswillige Partei die Gelegenheit hätte zuzugreifen, welchen Wert die erbeuteten Daten oder Rechenleistung für die Partei hätten.

Falls das System nur über Netzwerke mit geringer Bandbreite, die nicht über das Internet geroutet werden können, erreichbar ist – also z. B. Zigbee oder Bluetooth-Audio – dann ist ein geringeres Maß an Sicherheit völlig ausreichend. Es hängt also vom Anwendungsfall ab.

Das UL IoT Security Rating gibt Unternehmen Sicherheit

Das UL IoT Security Rating berücksichtigt den spezifischen Anwendungsfall der verschieden Geräte und testet sie unter Berücksichtigung von sieben verschiedenen Sicherheitsmerkmalen eines Produkts:

  • sichere Software-Updates,
  • Daten und Kryptographie,
  • sichere Kommunikation,
  • Anforderungen an Dokumente / Prozesse,
  • Anforderungen an den Datenschutz,
  • die Systemverwaltung,
  • die logische Sicherheit.

Die Robustheit eines jeden Bereiches bestimmt die abschließende Gesamtbewertung, die ein Produkt erhält. Dadurch können sich Verbraucher auf die Sicherheit ihres gekauften Produktes, in Anbetracht des Anwendungsfall, verlassen.

* Gonda Lamberink, Business Development Manager bei UL

(ID:47300692)