„An alle Schwarzmaler des IoT: Ich habe einen Sicherheitsplan für Sie!“

Es gibt viele selbsternannte „Propheten“, die im IoT einen Vorboten des Untergangs sehen. Erst kürzlich war über die Bedenken der Mobilfunkbranche zu lesen. Natürlich sind ernsthafte Probleme unvermeidbar, wenn die Sicherheit an letzter Stelle steht. Deshalb habe ich eine praktische Sicherheits-Checkliste für solche Propheten aufgestellt, schreibt Bjørn Søland, IoT-Experte bei Nexus.

Die Mobilfunkbranche traf sich Ende Oktober auf dem „Mobile 360 Latin America Congress“ in Bogotá, Kolumbien – veranstaltet von der GSMA, der Industrievereinigung der Mobilfunkanbieter. Im Zusammenhang mit Zukunftsperspektiven diskutierten die Teilnehmer auch über das Thema IoT-Sicherheit und die damit verbundenen großen Herausforderungen. Führt man sich die auf dem Kongress geführten Diskussionen zu Gemüte, so gewinnt man leicht den Eindruck, das Internet der Dinge sei eine Horrortechnologie und werde demnächst das „Cyber Armageddon“ auf Erden auslösen.

Best Practices anwenden

Aber wo genau liegt das Problem? Vergessen wir nicht, dass das I in IoT für das Internet steht und die Dinge nichts weiter sind als kleine, mit dem Internet verbundene Computer. Das Internet gibt es nun schon recht lange, und darüber vernetzte Computer werden seit mehr als 20 Jahren für so wichtige Aufgaben wie Online-Banking genutzt. Letztlich geht es nur darum, die Best Practices anzuwenden, die wir in den letzten Jahrzehnten in einem schmerzhaften Lernprozess entwickelt haben. Die IoT-Community muss die Fehler der 90er-Jahre ja nicht wiederholen.

Ich habe also eine knackige Sicherheits-Checkliste erstellt, die ich jedem Schwarzmaler gerne an die Hand geben möchte. Alle Schritte sind vielfach erprobt und das Ganze lässt sich recht einfach implementieren:

  1. Jedes vernetzte Gerät und jeder Benutzer muss mit einer vertrauenswürdigen Identität ausgestattet sein. Wenn Sie nicht wissen, mit wem oder was Sie kommunizieren, können Sie Ihrem System nicht vertrauen.
  2. Verwalten Sie die Identitäten sowie deren Berechtigungen in Gruppen und Rollen.
  3. Unverzichtbar sind die Ausgabe und Verwaltung sicherer Anmeldeinformationen für Personen und Systeme. Standard-Passwörter und offene Geheimnisse eignen sich nicht für diese Zwecke, um es mal vorsichtig auszudrücken.
  4. Verhindern Sie, dass „Fake-Geräte“ eine Verbindung zum Netz herstellen können und entfernen Sie defekte Geräte sofort.
  5. Schützen Sie Daten, die in den vernetzten Systemen gespeichert sind.
  6. Schützen Sie Daten während der Übertragung.
  7. Sorgen Sie für eine sichere Verteilung von Software-Updates.

Voilà – Cyber Armageddon fällt aus!

Bjørn Søland ist IoT-Experte bei Nexus, dem Anbieter von Identity- und Sicherheitslösungen