Unsichere Geräte, fehlende Transparenz – wie steht’s um den Datenschutz im IoT?
Das IoT ist längst da – doch wie steht es um den Datenschutz im IoT? IoT-Geräte finden sich heute schon in vielen Haushalten. Wie zum Beispiel Smart TVs: Die modernen Fernsehgeräte verbindet sich mit dem heimischen WLAN und bieten so neben dem TV-Programm auch noch praktische Apps für Streaming und Shopping. Nicht nur im Wohnzimmer, sondern auch im industriellen Sektor fasst das Internet der Dinge (IoT) Fuß: So kommunizieren etwa Geräte miteinander, um in Fabriken für Produktionsnachschub zu sorgen.
Doch deutsche Unternehmen sehen sich bei der Umsetzung von IoT-Projekten mit komplexen Herausforderungen konfrontiert. Eines der größten Hemmnisse stellen Bedenken hinsichtlich der IT-Sicherheit dar – zu diesem Ergebnis kommt eine aktuelle IDC-Studie. So haben fast 31 Prozent der befragten Unternehmensvertreter ernsthafte Vorbehalte gegenüber IoT-Integrationen.
Uniscon-CTO Dr. Hubert Jäger kann die Sorgen der Anwender gut nachvollziehen. In puncto Datenschutz im IoT sieht er derzeit vor allem drei große Baustellen: „Unsichere Geräte, fehlende Transparenz und privilegierten Zugriff.“
Datenschutz im IoT: Das Internet der unsicheren Geräte?
„Das IoT ist in seinem derzeitigen Zustand geradezu eine Einladung zu Sicherheitsverletzungen“, sagt Jäger: Jedes Gerät, das die Anwender ins Netzwerk bringen, könnte ein potenzieller Einstiegspunkt für Cyberkriminelle sein. So kann schon der Smart TV zum Problem werden, wenn sich beispielsweise Hacker über im Gerät gespeicherte Daten Zugang zum heimischen Netzwerk verschaffen. In der Industrie, wo meist eine große Zahl von IoT-Geräten miteinander verknüpft ist, multipliziert sich dieses Risiko dementsprechend.
Unternehmen müssen Datenflüsse kontrollieren
Für die Verunsicherung der Anwender macht Jäger vor allem fehlende Transparenz verantwortlich: Es müsse klar ersichtlich sein, welche Daten ein Gerät erhebt und speichert und was mit diesen Daten geschieht. Wenn also der Smart TV ein Nutzerprofil erstellt und auswertet, muss der Nutzer das erfahren und, wenn er das möchte, widersprechen können. Industrieunternehmen müssen analog dazu die Datenflüsse von IoT-Geräten kontrollieren können. Nur so lässt sich verhindern, dass wertvolle oder sensible Daten in unbefugte Hände kommen. „Unternehmen setzen bei der Übertragung und Verarbeitung von Daten aus IoT-Anwendungen häufig auf eigene Rechenzentren, seltener auf Cloud-Angebote aus dem Netz“, so Jäger. Dabei verzichten die Unternehmen bewusst auf Geschäftsvorteile, die Cloud-Anwendungen mit sich bringen.
Privilegierter Zugriff als Einfallstor
Der Gedanke dahinter sei, dass Unternehmen die Daten im eigenen Rechenzentrum besser im Griff behalten und die Datensicherheit eher gewährleisten könnten. „Das stimmt allerdings nur bedingt“, sagt Jäger. Denn genau wie in der Cloud würden Daten im eigenen Rechenzentrum zwar verschlüsselt übertragen und gespeichert, lägen aber zur Verarbeitung unverschlüsselt und damit im Prinzip ungeschützt auf den Servern vor.
Cyberkriminelle könnten sich Zugang zu diesen Daten verschaffen, indem sie privilegierte Nutzerkonten, wie sie beispielsweise für Administratoren vorgesehen sind, ausnutzen. Darüber hinaus herrscht bei vielen Unternehmen Unklarheit darüber, welche privilegierten Benutzerkonten es überhaupt gibt und wo sich diese befinden.
Risikofaktor Mensch
„Der Mensch ist nach wie vor einer der größten Risikofaktoren in der IT-Sicherheit“, sagt Jäger. Doch inzwischen gibt es IT-Infrastrukturen, die Verarbeitungsserver mit rein technischen Maßnahmen schützen. Privilegierter Zugriff durch Administratoren oder Mitarbeiter ist nicht vorgesehen. Diese „Versiegelung“ genannte Technologie ist beliebig skalierbar und lässt sich auch auf ganze Rechenzentren ausweiten. Jäger: „So lassen sich auch Cloud-Angebote realisieren, mit denen nicht nur IoT-Anwendungen rechtskonform umsetzbar sind, sondern auch andere sicherheitskritische Applikationen, etwa aus den Bereichen RegTech und eHealth.“
Eine versiegelte Cloud-Infrastruktur, die bereits jetzt produktiv nutzbar ist, ist uniscons sealed platform. Die hochsichere Cloud-Plattform wurde Anfang des Jahres mit dem Deutschen Rechenzentrumspreis in der Kategorie „Innovationen im Whitespace“ ausgezeichnet. „Mit der sealed platform als Basis für ihre IoT-Plattformen haben Industrieunternehmen sensible Daten jederzeit zuverlässig im Griff – egal, ob diese in der Cloud oder im eigenen Rechenzentrum liegen“, sagt Jäger. So klappt es auch mit dem Datenschutz im IoT. „Und sind die Sicherheitsbedenken erst einmal aus der Welt geschafft, können sich die Unternehmen auf ihre Kernkompetenzen konzentrieren.“
Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.