Motek, Stuttgart
Internationale Fachmesse für Produktions- und Montageautomatisierung
8. bis 11. Oktober
www.motek-messe.de
Bild: Pixabay
Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, usw. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherheitskontrollen für das gesamte System anzuwenden und aufrechtzuerhalten. Ende Juni 2022 wurde die ISO 27400 veröffentlicht, welche die IoT-Sicherheit und den Datenschutz adressiert.
Wie gewohnt definieren ISO-Normen der 27000er zuerst den Umfang und geben normative Referenzen, bevor im Kapitel 3 Begriffe und Definitionen folgen. Diesmal sind es acht Begriffe rund um Cloud und IoT. Die Norm definiert auch acht zusätzliche Abkürzungen.
Das Kapitel 5 stellt IoT-Konzepte vor. Da es wenig Sinn macht alle Anwendungen zu beschreiben, werden Gemeinsamkeiten beschrieben, wie dass IoT-Geräte spezifische Hardware- und Software besitzen, mit dem Netzwerk verbunden sind und damit Daten senden und empfangen können, in der Regel über Sensorfunktionen verfügen, können aktionsfähig sein, das heisst, sie können Steuerdaten empfangen, um physische Aktionen auszulösen, umfassen IoT-Anwendungen und Betriebskomponenten sowie unterstützen menschliche oder digitale Nutzer.
Bei IoT-Geräten ist die Preisgestaltung ein wichtiges Merkmal, weshalb niedrige Kosten für Herstellung und Betrieb von IoT-Geräten wichtig sind. Industrielle IoT-Systeme können industrielle Anlagen und Steuerungssysteme ersetzen oder in Verbindung mit ihnen eingesetzt werden und unterliegen daher ähnlichen Anforderungen wie hoher Verfügbarkeit oder Sicherheit. In Fahrzeugen eingesetzte IoT-Systeme werden im Zusammenhang mit zuverlässigkeits- oder sicherheitsrelevanten Funktionalitäten verwendet. Viele IoT-Dienste funktionieren (nur) mit einem entsprechenden Cloud-Dienst. Daher sollten Nutzer sicherstellen, dass der Cloud-Dienst über angemessene Sicherheitskontrollen verfügt.
Die Norm definiert im Kapitel 5.3 die Interessengruppen. Dazu gehören Dienstleister, Entwickler und Benutzer. Die Abhängigkeiten zwischen den Anbietern, den Entwicklern und den Nutzern im Zusammenhang mit der Sicherheit und dem Schutz der Privatsphäre in einem IoT-System bezeichnet die Norm als Ökosystem. Dies wird in verschiedene Lebenszyklen abgebildet. Ein IoT-Dienst wird von einem IoT-Dienstentwickler und einem IoT-Geräteentwickler entwickelt, die von einem IoT-Dienstanbieter bereitgestellt und die von IoT-Nutzern verwendet werden. Diese Schritte werden im Detail beschrieben. An dieser Stelle wird nicht weiter darauf eingegangen.
Risiko-Quellen
Bei IoT-Systemen sind viele Quellen für Risiken vorhanden. Das Kapitel 6 geht detaillierter auf dies ein. Als Methode wird auf andere Normen wie die ISO 31000 oder ISO 27005 verwiesen.
Folgende Kategorien werden aufgeführt:
Im Gegensatz zu vielen anderen ISO-Normen zeigt die ISO 27400 sehr viele Beispiele von Risikoquellen. Im Bereich Sensorik und Kontrolle sind es beispielsweise 11, in den Bereichen Betrieb und Management, Anwendung und Dienstleistung sowie Benutzer sind es jeweils sechs und beim Ressourcenzugang und Datenaustausch vier. Im Anhang A.1 wird als Beispiel eine Risiko-Bewertung einer IoT-Überwachungskamera durchgeführt.
Zusätzlich werden Risikoquellen ausserhalb der IoT-Domänen aufgezeigt, dazu gehören Hacker, für einen Missbrauch anfällige Systeme und Geräte, Naturereignisse, die Abhängigkeit von Strom und Netzdiensten oder der Komplexität. Auch der Datenschutz wird immer wichtiger und wird adressiert. Für die Anwender ist es schwierig die Architektur der IoT-Produkte und die von den IoT-Sensoren über ihn gesammelten Daten zu verstehen, da die Einzelheiten der erfassten Daten entweder nicht von den Geräteherstellern weitergegeben werden. IoT-Geräte können miteinander kommunizieren und so Profile von Nutzern erstellen und das Nutzerverhalten durch Datenaggregation, Re-Identifizierung und Analysemethoden erfassen, um daraus beispielsweise geschäftliche Vorteile zu ziehen, was ohne das Wissen oder die Zustimmung des Nutzers geschehen könnte. So kann beispielsweise ein digitaler Eindruck unseres täglichen Lebens durch die Überwachung von intelligenten Geräten zu Hause, die Verfolgung des Standorts unserer intelligenten Autos, die Überwachung unserer Gesundheitsparameter durch intelligente Gesundheitsgeräte oder die Verfolgung unserer Gespräche mit intelligenten Geräten, die für einen anderen Zweck bestimmt sind, entstehen.
Sicherheitskontrollen
Als Ergänzung zu den Kontrollen aus der ISO 27002 werden 45 Sicherheitskontrollen für IoT-Dienstentwickler und IoT-Dienstanbieter empfohlen. Aufgebaut sind sie nach dem Schema:
Sie teilen sich in Informationssicherheit (1-28) und Datenschutz (29-45) auf.
Nachfolgend werden die Sicherheitskontrollen kurz vorstellt:
Fazit
Zusammenfassend ist die ISO 27400 ein umfassendes Nachschlagemittel, wenn es um die Sicherheits- und Datenschutz-Anforderungen von IoT-Geräten geht. Verschiedene Risiken werden aufgezeigt und beschrieben. Das Beispiel Risikoszenario einer IoT-Überwachungskamera hilft ein Verständnis dafür zu bekommen. Die 45 Sicherheitskontrollen zu den Themen Informationssicherheit und Datenschutz helfen, geeignete Massnahmen zum Schutz der Systeme und Daten zu bekommen.
ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch
Internationale Fachmesse für Produktions- und Montageautomatisierung
8. bis 11. Oktober
www.motek-messe.de
Internationale Fachmesse für industrielle Klebetechnologie
8. bis 11. Oktober
www.bondexpo-messe.de
Internationale Fachmesse für Kunststoffverarbeitung
15. bis 19. Oktober
www.fakuma-messe.de
International Technologiemesse für Blechbearbeitung
22. bis 25. Oktober
www.euroblech.com
International Trade Fair for Glass – Production, Processing, Products
22. bis 25. Oktober
www.glasstec.de