Von: Rob van Kranenburg und Petros Kavassalis, Universität der Ägäis | i4m Lab/ IoT-Rat
Angesichts der Vielfalt an Sprachen weltweit kommt es in der schriftlichen und gesprochenen Sprache schnell zu Missverständnissen. Nicht selten enden Gespräche in einem unverständlichen Kauderwelsch. Vor 2000, als die Idee der Cloud geboren wurde und das moderne Cloud-Computing nicht mehr als eine Fantasie oder noch im Demo-Status war, gab es nur eine kleine „Blase“ leicht erkennbarer Geräte wie Desktop-Computer, Peripheriegeräte, Laptops und erste Mobiltelefone.
Ab 2000 ging die Entwicklung rasant voran und eröffnete neue Computing- und Vernetzungsmöglichkeiten. Heute können nicht nur Computer und Mobilgeräte vernetzt werden, sondern auch weniger naheliegende Geräte wie Lampen, Kameras, Kühlschränke, Fernseher, Fahrzeuge und städtisches Mobiliar wie Straßenlaternen. Wir befinden uns in einer Welt, in der ein Großteil der Vernetzung und Datenübertragung stattfindet, ohne dass sofort ersichtlich ist, wer mit wem kommuniziert. Meist wissen wir weder, wer oder was hinter den erfassten Daten steckt, noch wo sie ausgewertet werden.
In einigen Teilen der Welt, in denen viele Wissenschaftler und Ingenieure in der Politik aktiv sind, wurden potenzielle Bedrohungen frühzeitig durch die Entwicklung eines robusten kybernetischen Systems bekämpft. Dieses macht sich Infrastruktur, Hardware und Dienste zunutze, sodass Geräte aufbauend auf der Architektur Systeme steuern können. Wir brauchen Architekturen, die die ungezügelte Verbreitung von IoT-Geräten im Zaum halten, denn sonst steigen die Cybersicherheitsrisiken.
Hier in der westlichen Welt gibt es keinen einheitlichen Ansatz der Branche, deshalb lassen sich die Gerätesicherheit und zugehörige Protokolle nur über gesetzliche Vorgaben steuern. Glücklicherweise haben einige US-Politiker die Notwendigkeit der Absicherung erkannt und das Gesetz H.R.1668, den „IoT Cybersecurity Improvement Act of 2020“ (Gesetz zur Verbesserung der Cybersicherheit von IoT-Geräten), unterzeichnet. Doch dies ist nur der erste Schritt in diesem Prozess. Dieses Gesetz führt einen Mindeststandard für die Sicherheit aller IoT-Geräte ein, die von Regierungsbehörden erworben werden. Letztlich wird sich dies dann auch im kommerziellen IoT-Bereich durchsetzen.
Hier in Europa haben wir zudem mangels Data Lakes und, was noch schlimmer ist, mangels einer Vision für die digitale Transformation die Kontrolle über die (privatisierte) Infrastruktur und die großen Datenplattformen (GAFA = Google, Apple, Facebook und Amazon) verloren. Auch im KI-Bereich schwinden unseren Einflussmöglichkeiten. Natürlich wäre es das Beste, wenn sowohl die USA als auch Europa eigene kybernetische Systeme aufbauen und eine strenge Identitätskontrolle (von Menschen, Gütern, Dingen und Robotern) ausüben würden. Die EU hat in kürzester Zeit eine mehrstufige Cybersicherheitsrichtlinie entwickelt, die ein Hauptbezugspunkt für die Lösung von Problemen der gegenwärtigen IoT-Welt sein sollte.
Das könnte etwa bedeuten, dass vorhandene Geräte von einer Art Behörde überwacht werden müssen. Idealerweise würden Sicherheitstests und die Unterweisung der Marktteilnehmer im Rahmen der Geräteprüfung für das CE-Zeichen stattfinden, welches die Konformität mit den Anforderungen in der EU anzeigt: „Um eine CE-Kennzeichnung auf elektronischen Produkten für den legalen Verkauf auf dem europäischen Markt anzubringen, muss ein Hersteller die Einhaltung der geltenden EU-Vorschriften und -Richtlinien nachweisen können, einschließlich der Niederspannungsrichtlinie (Low Voltage Directive, LVD) 2014/35/EU, der Maschinenrichtlinie 2006/42/EG, der Medizinprodukterichtlinie (Medical Devices Directive, MDD) 93/42/EWG und der In-vitro-Diagnostika-Richtlinie (In-vitro Diagnostic Directive, IVDD) 98/79/EG.“
Auf ähnliche Weise müssen wir jedem Gerät in einem IoT-Gefüge eine eindeutige Identität zuweisen. Es handelt sich dabei um einen notwendigen Schritt, um für IoT-Sicherheit und Risikokontrolle zu sorgen, insbesondere im Heimnutzungsbereich sowie in der öffentlichen Infrastruktur. Eine solche Identität macht die Geräte identifizierbar, sobald sie online gehen, und verbessert die Sicherheit beim Einsatz der IoT-Geräte in Serviceketten. Dies sorgt sowohl für mehr Cybersicherheit als auch für mehr Datenschutz beim Endverbraucher. Diese Identitäten sollten jedoch nicht als dauerhafte, sondern als flüchtige oder Einweg-Identitäten konzipiert sein, um eine systematische Rückverfolgung des Geräts und der Geräteinhaber zu verhindern. Allerdings sollten sie reguliert sein und allgemein anerkannt und genutzt werden. Natürlich basieren sie auf standardisierten digitalen Zertifikaten, die eine ordnungsgemäße Authentifizierung, Transparenz, effiziente Autorisierung sowie die Verschlüsselung sicherstellen.
Um sicherzustellen, dass IoT-Geräte die Sicherheitsanforderungen erfüllen, kann man sich etwa an folgende Stellen wenden:
Die Welt steht am Scheideweg beim Kampf um strenge Sicherheitsregeln für IoT-Geräte, die Benutzerdaten schützen und Integrität gewährleisten. Es ist an der Zeit, dass Vertreter von Industrie und Regierung zusammenarbeiten – zum Wohle der Gesellschaft und für die zukünftige Stabilität des wachsenden IoT-Bereichs. Die Welt beobachtet dies genau und ist bereit, darauf zu vertrauen, dass die richtigen Schritte unternommen werden.
Die Dringlichkeit ist umso größer, als das IoT und die Geräte jedes Einzelnen – je nachdem, welche Daten sie preisgeben – zunehmend mit der persönlichen Identität verknüpft sind. Unternehmen, die IoT-Geräte herstellen oder vertreiben, und staatliche Aufsichtsbehörden tragen alle dazu bei, die Sicherheit der Geräteidentität, Authentifizierung, Integrität und Datenverschlüsselung mittels PKI-Zertifikaten so zu gestalten, dass die Nutzer ohne Kompromisse geschützt werden.