Fachartikel vom 01/09/2018

Cyber Security im Internet der Dinge Sicherheitsschwachstellen in IoT-Geräten

„Intelligente“ Geräte können unseren Lebensstandard und die Produktivität bei der Herstellung durchaus verbessern. Bei Sicherheitsvorfällen drohen den Herstellern allerdings drastische Strafen. Wie lässt sich Cyber Security bei vernetzten Geräten aktiv steuern? Nigel Stanley und Mark Coderre von TÜV Rheinland, Experten für Cyber Security geben strategische Empfehlungen zur Verringerung und Vermeidung von Sicherheitsschwachstellen.

Bild: Photovoir/ photodune
Einige Hersteller von Medizingeräten haben ihre Geräte übereilt an das IoT angepasst, ohne die Probleme rund um Cyber Security zu lösen. (Bild: Photovoir/ photodune)

Für viele Nutzer ist es inzwischen normal, persönliche Informationen gegen vermeintlich „kostenlose Dienste“ im Netz zu tauschen. Die über das „Internet of Things“ (IoT, Internet der Dinge) generierten Verbraucher- und Nutzerdaten erkennen immer mehr Hersteller als eigenen Wert und Basis neuer und gewinnbringender Geschäftsideen. Mit den zahlreichen Möglichkeiten von Big-Data-Analysen – bei denen Daten gezielt auf nützliche Informationen untersucht werden – eröffnen sich neue und aufregende kommerzielle Möglichkeiten. Immer mehr Hersteller bieten Produkte oder Services, mit denen sich die Vorteile des Internets und des World Wide Webs umfassend nutzen lassen. Bis 2020 gehen die Marktforscher von Gartner von mehr 20,4 Milliarden vernetzter Geräte aus.

IoT-Funktionalität bei Medizingeräten

Hersteller von Medizingeräten haben bereits früh erkannt, dass das Leben von Patienten und Ärzten durch die Ausstattung von Geräten mit IoT-Funktionalität verbessert werden kann. Gute Beispiele dafür sind die zahlreichen Blutzucker-Messgeräte, die per Smartphone gesteuert werden und Daten via Internet übermitteln.

Dadurch wird den Betroffenen der Umgang mit Diabetes etwas erleichtert. Allerdings hat so mancher Hersteller von Medizingeräten seine Geräte recht übereilt an das IoT angepasst, ohne die damit verbundenen Probleme rund um Cyber Security zu beachten beziehungsweise sie zu lösen. Schwachstellen wie

  • mangelhafte oder fehlerbehaftete Soft- beziehungsweise Firmware, die die Sensibilität und Integrität medizinischer Daten oder Funktionen nicht adressiert,
  • falsch konfigurierte Netzwerkdienste mit unverschlüsselter Übertragung von Patientendaten,
  • Sicherheits- und Datenschutzprobleme wie die Verwendung schwacher Passwörter oder eine zu weitreichende Vergabe von Berechtigungen für nicht privilegierte Benutzer, die als Einfallstore für Hacker dienen können

sind da nur die Spitze des Eisbergs.

Kontrolle durch unauthorisierte Dritte

Einer der bekanntesten Vorfälle im Gesundheitswesen stammt aus 2015. Seinerzeit warnte die US-amerikanische Bundesbehörde für Arzneimittel und Medizinprodukte, Federal Drug Agency (FDA), vor dem „Hospira Symbiq Infusion Systems“. Über das Krankenhausnetzwerk hätte ein unautorisierter Dritter die Infusionspumpe unter seine Kontrolle bringen und die verabreichte Dosis verändern können. Konkrete Vorfälle waren nicht bekannt. Vom Markt genommen wurde das Symbiq Infusion System dennoch, weil auch noch andere Schwachstellen aufgetreten waren.

Bild: choreograph/ photodune
Prüfungen und Zertifizierung von IoT-Services leisten einen qualifizierten Nachweis darüber, dass Hersteller personenbezogene Daten ihrer Kunden gut schützen. (Bild: choreograph/ photodune)

Ein schnelles Aus für ein Produkt gab es in der jüngsten Vergangenheit auch hier in Deutschland: 2017 wurde eine Spielzeugpuppe , die eine Spracherkennungs-technologie über einen Service mit Sitz in den USA nutzte, aufgrund von Sicherheitsbedenken verboten.

IoT-Cyber-Risiko und DICE-Bewertung

Was ist Unternehmen zu raten, die geschäftskritische Imageschäden vermeiden möchten? Einer der ersten Schritte ist die Integration des IoT-Cyber-Risikos in das Risiko-Register des Unternehmens und die Durchführung einer „DICE“-Bewertung für alle geplanten Produkte und Services. „DICE“ ist das Akronym für einen inhärenten Risiko-Bewertungs-Ansatz, den TÜV Rheinland entwickelt hat und der für „Dependancy“ (Abhängigkeit), „Impact“ (Auswirkungen), „Complexity“ (Komplexität) und „Ecosystem“ (Ökosystem) steht. Entscheidend für die Bewertung eines Systems, Prozesses oder Gerätes gemäß der DICE-Kriterien ist, dass angemessene und kostengünstige Maßnahmen zur Risikobewältigung implementiert werden. Alle Produkte und Services sollten eine DICE-Bewertung durchlaufen und zwar auf Basis eines strategischen Plans. Die Qualifizierung, ab welchem Punkt Sicherheit zu einem wichtigen oder kritischen Faktor für Endverbraucher und die eigene Marke wird, ist auf jeden Fall vital.

EU-DSGVO und Zertifizierungen von IoT-Services

Darüber hinaus können Prüfungen und Zertifizierung von IoT-Services einen qualifizierten Nachweis darüber leisten, dass Hersteller personenbezogene Daten ihrer Kunden gut schützen und für den Kunden transparent verarbeiten. Mit dem Produkt- und Service-Zertifikat von TÜV Rheinland etwa können Produkthersteller sowie Systemanbieter nachweisen, dass ihr Angebot entsprechend den Anforderungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) geprüft wurde. In den IoT-Prüfungen wird unter anderem bewertet, inwieweit Prozesse und Maßnahmen implementiert sind, um Sicherheitsvorfällen vorzubeugen und gegebenenfalls angemessen reagieren zu können. 

Mehr auf Sicherheit.info

Fazit: Compliance allein macht ein Produkt noch nicht sicher. Erst wenn Hersteller die mit Cyber-Sicherheit verbundenen Bedrohungen und Risiken monitoren und daraus entsprechende Konsequenzen ziehen, können sie sich auf ihre Produktinnovationen konzentrieren – in der Gewissheit, alle erforderlichen Maßnahmen ergriffen zu haben, die der dynamischen Entwicklung auch wirklich Rechnung tragen. Mehr Informationen über das DICE-System und eine Checkliste der wichtigsten Empfehlungen für Hersteller rund um die Cyber Security von IoT-Geräten enthält das Whitepaper von TÜV Rheinland unter dem Titel „Herausforderungen im Internet of Things (IoT)“.

Nigel Stanley & Mark Coderre, TÜV Rheinland

Kontakt- und Firmen-Infos im Branchenverzeichnis