IoT-Geräte: Wenn Cyber Security für Kunde und Marke zum kritischen Faktor wird

bei

Internet der Dinge (IoT)
 / 20. Dezember. 2017

Die Allgegenwart des Internets bietet kostengünstige und stetig verfügbare Konnektivität für Geräte, Systeme und Prozesse. Die so generierten Verbraucher- und Nutzerdaten erkennen immer mehr Hersteller als eigenen Wert und Basis neuer und gewinnbringender Geschäftsideen. Zugleich ist es für viele Nutzer normal, persönliche Informationen gegen vermeintlich „kostenlose Dienste“ zu tauschen. Sollten sich jedoch Sicherheitsvorfälle ereignen, drohen Geräte-Herstellern inzwischen drastische Strafen, ganz zu schweigen von den Reputationsschäden. Was ist Herstellern zu raten, die einen Imageschaden ihres Unternehmens oder Rechtsstreit vermeiden möchten? „Auf jeden Fall die Bedrohungen und Risiken monitoren und entsprechend handeln“, sind Nigel Stanley und Mark Coderre von TÜV Rheinland überzeugt. Die Experten für Cyber Security zeigen den aktuellen Status Quo zu IoT und Cyber Security und geben strategische Empfehlungen, um Sicherheitsschwachstellen von IoT-Geräten so weit wie möglich zu vermeiden.

Der sinnvolle Einsatz von IoT-Geräten und damit erhobenen Daten kann unseren Lebensstandard und die Produktivität der Herstellung verbessern. Mit den zahlreichen Möglichkeiten von Big Data Analysen – bei denen Daten gezielt auf nützliche Informationen untersucht werden – eröffnen sich neue und aufregende kommerzielle Möglichkeiten. Grundlage für diese neuen Geschäftsmodelle ist das Internet of Things (IoT) oder auch Internet der Dinge. Immer mehr Hersteller bieten Produkte oder Services, mit denen sich die Vorteile des Internets und des World Wide Webs umfassend nutzen lassen.

Hersteller von Medizingeräten haben bereits früh erkannt, dass das Leben von Patienten und Ärzten  durch die Ausstattung von Geräten mit IoT-Funktionalität verbessert werden kann. Gute Beispiele dafür sind die zahlreichen Blutzucker-Messgeräte, die per Smartphone gesteuert werden und Daten via Internet übermitteln. Dadurch wird den Betroffenen der Umgang mit Diabetes etwas erleichtert.

Allerdings hat so mancher Hersteller von Medizingeräten seine Geräte recht übereilt an das IoT angepasst, ohne die damit verbundenen Probleme rund um Cyber Security zu beachten bzw. sie zu lösen. Schwachstellen wie

  • mangelhafte oder fehlerbehaftete Soft- bzw. Firmware, die die Sensibilität und Integrität medizinischer Daten bzw. Funktionen nicht adressiert,
  • falsch konfigurierte Netzwerkdienste mit unverschlüsselter Übertragung von Patientendaten,
  • Sicherheits- und Datenschutzprobleme wie die Verwendung schwacher Passwörter oder eine zu weitreichende Vergabe von Berechtigungen für nicht privilegierte Benutzer, die als Einfallstore für Hacker dienen können,

sind da nur die Spitze des Eisbergs. Eine der bekanntesten Vorfälle im Gesundheitswesen stammt aus 2015. Seinerzeit warnte die US-amerikanische Bundesbehörde für Arzneimittel und Medizinprodukte, Federal Drug Agency (FDA), vor dem Hospira Symbiq Infusion Systems. Über das Krankenhausnetzwerk hätte ein unautorisierter Dritter die Infusionspumpe unter seine Kontrolle bringen und die verabreichte Dosis verändern können. Konkrete Vorfälle waren glücklicherweise nicht bekannt. Vom Markt genommen wurde das Symbiq Infusion System dennoch, weil auch noch andere Schwachstellen aufgetreten waren.

Ein schnelles Aus für ein Produkt gab es in in der jüngsten Vergangenheit auch hier in Deutschland: 2017 wurde eine Spielzeugpuppe aufgrund von Sicherheitsbedenken verboten. Die My Friend Cayla-Puppe verwendete eine Spracherkennungstechnologie über einen Service mit Sitz in den USA. Die Daten aus den Tonaufnahmen erwiesen sich als ungesichert und konnten laut Endbenutzer-Lizenzvertrag an Dritte weitergeleitet werden. Das Produkt wurde auf Basis US-amerikanischen Bundesgesetzes Espionage Act vom Markt genommen. Bei einem anderen Vorfall waren 2017 zwei Millionen Sprachaufzeichnungen von Kindern, die von CloudPet-Stofftieren aufgenommen wurden, aufgrund einer unsicheren Datenbank zeitweise online für jedermann zugänglich.

Unnötig zu erwähnen, dass es sich in allen Fällen mindestens um geschäftskritische Imageschäden handelte. Was ist Unternehmen zu raten, die solche Fälle vermeiden möchten? Einer der ersten Schritte ist die Integration des IoT-Cyber-Risikos in das Risiko-Register des Unternehmens und die Durchführung einer DICE-Bewertung für alle geplanten Produkte und Services. DICE ist das Akronym für einen inhärenten Risikobewertungsansatz, das für ‘’Dependency‘‘ (Abhängigkeit), ‘’Impact‘‘ (Auswirkungen), ‘’Complexity“ (Komplexität) und ‘’Ecosystem‘‘ (Ökosystem) steht und von TÜV Rheinland entwickelt wurde. Entscheidend für die Bewertung eines Systems, Prozesses oder Gerätes gemäß der DICE-Kriterien ist, dass angemessene und kostengünstige Maßnahmen zur Risikobewältigung implementiert werden. Alle Produkte und Services sollten eine DICE-Bewertung durchlaufen und zwar auf Basis eines strategischen Plans. Die Qualifizierung, ab welchem Punkt Sicherheit zu einem wichtigen oder kritischen Faktor für Endverbraucher und die eigene Marke wird, ist auf jeden Fall vital.

Darüber hinaus können Prüfungen und Zertifizierung von IoT-Services einen qualifizierten Nachweis darüber leisten, dass Hersteller personenbezogene Daten ihrer Kunden gut schützen und für den Kunden transparent verarbeiten. TÜV Rheinland etwa bietet ein Produkt- und ein Service-Zertifikat, mit dem Produkthersteller sowie Systemanbieter zeigen können, dass ihr Angebot entsprechend den Anforderungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) geprüft wurde. In den IoT-Prüfungen bewertet TÜV Rheinland unter anderem, inwieweit Prozesse und Maßnahmen implementiert sind, um Sicherheitsvorfällen vorzubeugen und gegebenenfalls angemessen reagieren zu können.

Compliance allein macht ein Produkt noch nicht sicher. Erst wenn Hersteller die mit Cyber-Sicherheit verbundenen Bedrohungen und Risiken monitoren und daraus entsprechende Konsequenzen ziehen, können sie sich auf ihre Produktinnovationen konzentrieren – in der Gewissheit, alle erforderlichen Maßnahmen ergriffen zu haben, die der dynamischen Entwicklung auch wirklich Rechnung tragen. Mehr Informationen über das DICE-System und eine Checkliste der wichtigsten Empfehlungen für Hersteller rund um die Cyber Security von IoT-Geräten enthält das Whitepaper von TÜV Rheinland unter dem Titel „Herausforderungen im Internet of Things (IoT)“, das hier herunterzuladen ist.

Der Autor: Nigel Stanley ist Fachexperte für Informationssicherheit, Cyber-Sicherheit und Risikomanagement bei TÜV Rheinland und verfügt über mehr als 25 Jahre Erfahrung in der IT-Branche. Er ist ein anerkannter Vordenker und sachverständiger Experte, der bereits komplexe Projekte im Bereich Cyber-Sicherheit für kleine und mittlere Unternehmen sowie Großkonzerne durchgeführt hat. Er verfügt über umfassende Kenntnisse im Bereich Cyber-Sicherheit, Informationssicherheit, Risikomanagement, Maßnahmen bei Datenschutzverletzungen, Digitale Forensik, Notfallmanagement, Cyber-Kriegsführung, Cyber-Terrorismus, Sicherheit von Mobilgeräten, BYOD, Sicherheit von Smartphones, Anwendungsentwicklung, Softwareentwicklung, Systemtechnik, Supervisory Control and Data Acquisition (SCADA) und industrielle Steuerungssysteme. Nigel Stanley ist Diplom-Ingenieur und Mitglied der Institution of Engineering and Technology (IET), wo er im Lenkungsausschuss für Cyber-Sicherheit sitzt. Außerdem ist er Mitglied des Institute of Electrical and Electronic Engineers und der British Computer Society. Er verfügt über einen MSc im Bereich Informationssicherheit von der Royal Holloway, University of London, wo er für seine MSc-Dissertation mit dem Royal Holloway University Smart Card Centre Crisp Telecom-Preis ausgezeichnet wurde.

Der Autor: Mark Coderre ist ein Top-Manager mit mehr als 25 Jahren Erfahrung in der Implementierung von Cyber Security im Gesundheits- und Versicherungswesen. Er arbeitet als National Practice Director bei TÜV Rheinland mit Schwerpunkt CISO-Beratung, Identitätsmanagement im Gesundheitswesen sowie Governance Risk & Compliance (GRC) Management. In der vorherigen Position bei Aetna in Hartford/Conneticut war Mark Coderre als geschäftsführender Direktor für Sicherheitsstrategie und Risikomanagement tätig. Sein Ansatz in der Informationssicherheit ist zukunftsorientiert und zugleich pragmatisch, was sich in seinem fachlichen Hintergrund in puncto Sicherheitstechnik und Unternehmensarchitektur begründet. Mark Coderre hatte vor kurzem eine Führungsrolle bei der Adaption von Best Practices aus dem Finanzsektor ins Gesundheitswesen, mit dem er ein Programm von internationaler Bedeutung etabliert hat. Mark Coderre genießt branchenweit hohe Anerkennung. Unter anderem wurde er mit dem 2013 CSO Magazine Award for International Governance, Risk & Compliance, dem 2014 RSA/Archer Operational Risk Management Award sowie dem Liberty Alliance Federated Identity Deployment of the Year Award ausgezeichnet.

Vorheriger ArtikelVon Schnittstellen zu geplanten Schwachstellen
Nächster ArtikelMit Managed Security Services gegen Cyber-Angriffe