Sicherheit im Internet of Things

Das Internet verbindet alles mit allem, das ist seine Grundidee. In dieses allumfassende Netz fügen sich zunehmend Maschinen, Anlagen und Geräte ein. Diese „Dinge” können beispielsweise – Stichwort Industrie 4.0 – viele Produktionsschritte hochautomatisiert bewältigen. Menschen kontrollieren, ob die Maschinen alles im Griff haben. Diese Kontrolle ist zwingend notwendig, denn im Internet of Things (IoT) sind Cyberangriffe möglich – und passieren täglich. Dabei ist Sicherheit keine Selbstverständlichkeit, sondern muss immer wieder neu geschaffen werden.

Sicherheit im Internet of Things ist in der Wirtschaft essenziell. Das liegt am Ausmaß der Schäden, wenn etwa Server und damit komplette Produktionsketten lahmgelegt werden. Es ist durchaus denkbar, dass ein Hacker beispielsweise Dampfkessel, Druckgeräte oder Tankanlagen so manipuliert, dass sie explodieren.

Viele Maschinen und Anlagen waren ursprünglich nicht darauf ausgelegt, in der IoT-Ära zu funktionieren. Sie wurden digital nachgerüstet und lassen häufig zeitgemäße Sicherheitsmechanismen vermissen. Nach Ansicht des TÜV-Verbands brauchen sie zusätzlichen Schutz.

Jedes Gerät, das auf Basis von Internetprotokollen kommuniziert, kann Ziel von Cyberangriffen werden.

Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung

Der Kampf gegen Cyberangriffe

Das Internet of Things beschränkt sich nicht allein auf die Industrie. Jedes Smartphone, jede Smart Watch und jede Smart-Home-Applikation (wie „intelligente“ Stromzähler) ist verknüpft mit dem großen Ganzen – und daher ebenso anfällig. Die Zahl der mit dem Internet verbundenen Smart Products steigt rasant: 2020 sind es rund 30 Milliarden, schon für 2025 wird eine Zahl von 75 Milliarden IoT-Geräten prognostiziert.

„Die meisten IoT-Geräte werden vor dem Hintergrund der Funktionalität und nicht in Bezug auf Sicherheit entwickelt“, erinnert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Daher spiele die IT-Sicherheit keine oder nur eine untergeordnete Rolle. „Dies führt dazu, dass ein neuer Bereich der Gefährdung entsteht, eine größere Angriffsfläche, die von Cyber-Kriminellen für ihre Zwecke genutzt werden kann.“ Dieser Kampf zwischen Cybersecurity und Cyberangriffen geht täglich in eine neue Runde. Weltweit denken sich Cyberkriminelle tagtäglich neue Wege aus, um die Verteidigungslinien zu durchbrechen. Also muss das Sicherheitsniveau gleichermaßen steigen. Was noch vor zwei Jahren als sicher galt, kann heute bereits deutlich gefährdet sein.

Absolute Sicherheit gibt es nicht

Deshalb fordert der TÜV-Verband, sämtliche neue auf den Markt gebrachten Produkte mit dem bestmöglichen Sicherheitsstandard auszustatten. Dies gilt insbesondere dann, wenn aus einem virtuellen Angriff auch eine physische Gefahr für Leib und Leben entstehen kann. Nach Ansicht der TÜV-Expert:innen kann es weder Verbraucher:innen noch Unternehmen zugemutet werden, erst im Nachhinein per Software-Updates und -Patches das angestrebte Sicherheitsniveau zu erreichen. Umgekehrt müssen regelmäßige Updates aber möglich sein, um das Produkt über seinen gesamten Lebenszyklus hinweg sicher zu halten.

Die Expertise des TÜV-Verbands fließt ein in den EU-weit geltenden Cybersecurity Act und den geplanten Cyber Resilience Act, der einen wirkmächtigen Regulierungsrahmen  auch für IoT-Geräte schafft.

Der TÜV-Verband geht allerdings einen entscheidenden Schritt weiter: Die Expert:innen der Mitgliedsorganisationen haben bereits eine Zertifizierung für IoT-Produkte im Consumer-Umfeld entwickelt (Cybersecurity Certified, CSC). Auch wenn es keine absolute Sicherheit geben kann: Wer sich dieser Prüfung unterzieht und das Zertifikat erhält, demonstriert damit nach außen, dass dieses Produkt den aktuell bestmöglichen Schutz vorhält – zertifiziert durch die unabhängigen TÜV-Expert:innen.