Event in Zürich

Adnovum gibt Tipps für ein sicheres Internet der Dinge

Uhr

Adnovum hat in Zürich einen Fitness-Tracker gehackt. Die Demo zeigte, wie einfach es ist, sich einen Bonus für Krankenkassenprämien zu ergattern – ohne dabei auch nur einen einzigen Schritt zu machen.

Adnovum-CTO Tom Sprenger in Zürich (Quelle: Netzmedien)
Adnovum-CTO Tom Sprenger in Zürich (Quelle: Netzmedien)

Das Internet der Dinge (IoT) ist jung, aber omnipräsent. Deloitte erwartet, dass die Umsätze mit IoT-Apps zwischen 2015 und 2020 von 217 Milliarden auf eine Billion Euro steigen. McKinsey spricht gar von einem weltweiten Mehrwert von bis zu 11 Billionen US-Dollar bis 2025. Klar ist: Das IoT wächst, und es lässt sich nicht aufhalten.

«Seit 2008 gibt es mehr vernetzte Geräte als Menschen», sagte Tom Sprenger heute in Zürich. Der CTO von Adnovum sprach über die Security-Herausforderungen im Internet der Dinge. Das Unternehmen hackte in einer Demo einen Fitness-Tracker und konnte so die Anzahl gemachter Schritte manipulieren. Doch warum sollte man das tun? Um sich einen Bonus bei der Krankenkasse zu ergattern, sagte Adnovum.

Tipps für ein sicheres IoT

Unternehmen sollten Hardware verwenden, die möglichst sicher ist. Das Problem: Alle Plattformen sind unsicher. Und auf unsicheren Plattformen lassen sich keine sicheren Lösungen bauen. Firmen können die Sicherheit ihrer Lösungen jedoch mit geeigneten Massnahmen auf einen für den jeweiligen Business-Case erforderlichen Level bringen.

Adnovum empfiehlt folgende Massnahmen für ein sicheres IoT:

1. Geräte müssen aktualisierbar sein

Die Industrie setzt ihre Geräte oft 20 Jahre ein. Hersteller sollten Hardware darum mit Software-Updates versorgen. Ist ein Gerät nicht updatefähig, empfiehlt es sich nicht. Firmen sollten Anbieter meiden, die ihre Geräte nicht regelmässig aktualisieren.

2. Geräte müssen eine Identität haben

Unternehmen investieren in Identity- und Access-Management-(IAM)-Lösungen. Diese erfassen IoT-Geräte aber oft nicht. Firmen sollten den Geräten darum Identitäten geben und IAM auch im Internet der Dinge umfassend implementieren.

3. Kommunikationsprotokolle müssen möglichst sicher sein

Bluetooth ist nicht gleich Bluetooth, und nicht alle Protokolle sind gleich sicher. Unternehmen sollten sich damit befassen. Da sie nicht auf alle Layer im OSI-Modell Zugriff haben, sollten Firmen den Applikationslayer so sicher wie möglich machen.

4. Server müssen möglichst sicher sein

Firmen müssen sich fragen, wie vertrauenswürdig ihr Server-Betreiber ist. Er sollte Server physisch und auf Netzwerkebene absichern und auf Identity und Access Management setzen. Verschlüsselung und Mitarbeiter-Trainings sind oft sinnvoll.

5. Software-Entwicklung muss möglichst sicher sein

Software sollte «secure by design» sein. Auch wenn das Business Druck macht und Produkte möglichst schnell ausliefern will. Penetrationstests, Vorgaben für Partner, Code-Reviews und mindestens ein 4-Augen-Prinzip können hier helfen.

6. Monitoring und Anomalie-Detektion helfen

Aufgrund der hohen Vernetzung und Heterogenität sind die beschriebenen Massnahmen oft nicht ausreichend. Es empfiehlt sich, auch ein Monitoring zu nutzen. Firmen können so sicherheitsrelevante Anomalien entdecken und schnell reagieren.

7. Anbieter und Endkunden sensibilisieren

Unternehmen sollten auf vertrauenswürdige Hersteller setzen. Und Nutzer sichere Passwörter wählen. Dienste und Sensoren, die niemand nutzt, sollte man ausschalten. Endkunden müssen wissen, dass IoT-Geräte oft vertrauliche Daten abfangen.

Webcode
DPF8_14978