FacebookTwitterLinkedIn
  • IoT
  • Mai 19, 2021

IoT & Herausforderungen bei Datenspeicherung und Sicherheit

https://network-king.net/wp-content/uploads/2021/04/IoT8-769x414.jpg

Das Internet der Dinge (Internet of Things, IoT) wird mit Wachstumsproblemen zu kämpfen haben – so die Diagnose einiger Experten. Die sogenannten Wachstumsschmerzen, die man eher aus Kinderkliniken kennt, beschränken sich nicht auf Kinder und Jugendliche, sondern betreffen auch die dem IoT unterliegenden Technologien und Umgebungen.

Es stimmt, dass das Internet der Dinge ein neues Feld an Möglichkeiten eröffnet, aber es bringt auch neue Herausforderungen mit sich, die durch die großen Datenmengen entstehen, die es erzeugt. Für Stefan Vucicevic, technischer Redakteur bei Jatheon Technologies, stehen mehrere Fragen im Raum, auf die es keine allgemeingültige Antwort für alle Fälle gibt. Dennoch können Strategien den Anbietern von IoT-Lösungen helfen, sich dem immer komplexer werdenden regulatorischen Szenario zu stellen und eine Basis für die Sicherstellung betrieblicher Compliance zu schaffen.

Die Sammlung und Offenlegung von aus verschiedenen Quellen stammenden Daten gilt als eines der herausforderndsten Compliance-Themen für IoT-Lösungen. Stellen Sie sich beispielsweise eine LKW-Flotte oder ein Krankenhaus vor, die mit einer breiten Anzahl an IoT-Geräten ausgestattet sind. Wie viele regulatorische Aspekte müssen dabei verwaltet werden?

Daten, die von IoT-Geräten und -Diensten verarbeitet werden, müssen über einen bestimmten Zeitraum gespeichert werden. Sie müssen für eDiscovery oder Rechtsstreitigkeiten verfügbar sein. Im Allgemeinen arbeitet das IoT mit höchst vertraulichen Daten wie biometrischen Daten und Standortdaten. In der Folge kann es Gegenstand von Rechtsstreitigkeiten und hohen Geldstrafen sein. Daher ist es wichtig, die Daten zu schützen und die Privatsphäre und Authentizität sicherzustellen.

Vucicevic erachtet es als gute Vorgehensweise, diese Themen innerhalb eines IoT-Projektes von Anfang an strategisch anzugehen. Eine solche Strategie muss nicht unveränderlich sein, da sich die IoT-Landschaft und ihre Vorschriften ständig weiterentwickeln. Allerdings wird erwartet, dass berücksichtigt wird, wie die IoT-Lösung erstellt wird und wie sie mit den Daten umgeht. Außerdem sollen grundlegende Richtlinien definiert werden, um die Compliance aufrechtzuerhalten, zum Beispiel:

  1. Art der erzeugten Daten (Format, Metadaten, Datenquellen und Speichermedien)
  2. Wer kann auf die Daten zugreifen und wie wird der Zugang verwaltet
  3. Wie und für welche Zwecke werden die Daten verwendet
  4. Wer ist für den Datenschutz verantwortlich und wie sieht der Verantwortungsbereich aus
  5. Kosten der Datenerfassung, -speicherung und -weitergabe
  6. Wie wird mit Kundenanfragen und potenziellen Klagen umgegangen

Was ist zum Beispiel im Falle des letzten Aspektes – Rechtsverhandlungen – zu tun, wenn ein Gerichtsbeschluss den Anbieter der IoT-Lösung oder das anwendende Unternehmen dazu auffordert, bestimmte Datensätze zu liefern? Die Rechtsabteilungen müssen diese lokalisieren – in der Regel sind sie in der Cloud gespeichert – und Accounts oder Aufzeichnungen sperren, damit die Daten nicht verändert werden können. Dann müssen sie für die Einreichung beim Gericht vorbereitet werden.

Dies kann sehr zeitaufwendig sein, wenn es keine zuvor definierte eDiscovery-Methode gibt. Eine klar definierte und regelmäßig aktualisierte Strategie hilft dabei, die von IoT-Lösungen erzeugten Daten zu verwalten und den Ruf von den Unternehmen zu schützen, die die Lösungen anbieten oder nutzen.

Risikoanalyse für IoT-Initiativen

Compliance-Fragen sind nur eine der Risikovariablen von IoT-Projekten. Cybersicherheit ist ein weiteres zentrales Thema für die Entwickler und Anbieter von IoT-Lösungen. Was würde passieren, wenn es bei einem IoT-Gerät zu einem Datenleck der gesammelten Daten kommt? Oder was wäre, wenn es Opfer eines Cyberangriffes wird und das Gerät mit Menschenleben arbeitet, beispielsweise in der Überwachung von Vitalzeichen? Was wären die Konsequenzen für die Menschen und für das ganze Unternehmen?

Um diesen Fragen zu begegnen, setzen einige Experten auf die Anwendung einer Risikoanalyse-Methodik für IoT-Projekte. Mit Hilfe dieser Methode können die einzelnen Risikoquellen richtig eingeschätzt werden, ohne sie zu über- oder unterschätzen, und die Ergebnisse können mit allen am IoT-Projekt Beteiligten geteilt werden. Jeder kann seine eigene Bewertung vornehmen, die potenziellen Auswirkungen messen und Kontrollmaßnahmen empfehlen. Die Experten Wavestone und Sigfox empfehlen, mit der ISO 27005 zu beginnen, um mehr über die Methoden der Risikoanalyse zu erfahren.

Außerdem weisen sie darauf hin, dass IoT-Projekte besondere Merkmale aufweisen, die bei der Risikoanalyse zu berücksichtigen sind. Im Allgemeinen umfassen IoT-Projekte ein dezentralisiertes Netzwerk von Geräten, die über ein großes geografisches Gebiet verteilt sind und aufgrund der Natur des IoT-Projekts keine lokale Wartung erfordern. Aufgrund dieser Eigenschaften ist es schwierig, Sicherheit zu garantieren: Wenn ein einziger Punkt in der IoT-Lösung verwundbar ist, kann die gesamte Kette gefährdet sein. Und je größer die physische Abdeckung ist, desto größer sind auch die Risiken. Zudem ist die Aktualisierung von Hardware oder Firmware oder die Installation von Patches vor Ort im Falle von Fehlern oder Schwachstellen praktisch unmöglich.

Die meisten IoT-Projekte umfassen viele Technologien und verschiedene Anbieter. Das ist eine weitere Herausforderung. Schützen die Sicherheitsmaßnahmen, die von jedem einzelnen getroffen werden, ausreichend vor Cyberrisiken? Zum Beispiel arbeiten viele Sensoren mit 8-Bit-Mikrocontroller-Technologien und können daher keine komplexen Verschlüsselungsalgorithmen ausführen, sagen die Experten Wavestone und Sigfox.

Sie empfehlen, dass IoT-Anbieter über eine spezifische Sicherheitspolitik für ihre Produkte und Dienste verfügen, die die geltenden Vorschriften, akzeptable Risiken und Tools zur Sicherstellung der Implementierung und Effizienz der festgelegten Maßnahmen abdecken. Derartige Maßnahmen sollten den gesamten Lebenszyklus der Lösungen, Technologien und des am IoT-Projekt beteiligten Ökosystems abdecken:

– Gerätesicherheit: Denken Sie an alle Phasen, von der Herstellung bis zum Vertrieb, einschließlich Recycling und Entsorgung.

– Technologie-Stack-Sicherheit: Berücksichtigen Sie jedes Element, von der Hardware bis zur Cloud, einschließlich eingebetteter Software, Konnektivitätsfunktionen und Anwendungen. Führen Sie regelmäßige Begutachtungen durch – auch wenn sich die Technologien nicht verändert haben, können neue Bedrohungen oder Schwachstellen aufgetaucht sein.

– Sicherheit des Partner-Ökosystems: Lassen Sie sich die Cybersicherheit Ihrer Partner bescheinigen.

Definieren Sie schließlich einen Reaktionsplan mit Regeln zur Benachrichtigung bei Bedrohungen, Schwachstellen oder Angriffen sowie technische und kommunikative Maßnahmen zur Schadensbegrenzung und zur schnellen Wiederherstellung.

FacebookTwitterLinkedIn