Ein vertrauenswürdiges Framework für das Internet der Dinge

Craig SpiezleWie kann man ein vertrauenswürdiges Framework für das Internet der Dinge schaffen? Ein Interview mit Craig Spiezle, Executive Director und President der Online Trust Alliance (OTA).

Die OTA ist bekannt für zahlreiche Initiativen zur Onlinesicherheit, wie zum Beispiel den Data Privacy and Protection Day und die jährliche Online Trust Audit and Honor Roll. Wie Anfang dieses Jahres bereits angekündigt, hat die OTA ihre Ansichten zum Internet der Dinge (Internet of Things, IoT) ergänzt.

Anzeige

Das Ziel der OTA ist es, ein Trust Framework aus Sicherheit, Datenschutz und Nachhaltigkeit für IoT-Geräte zu entwickeln. Auf diesem Framework soll dann ein mögliches Zertifizierungsprogramm für IoT-Geräte und Hersteller basieren. Dazu hat die OTA eine Arbeitsgruppe bestehend aus führenden Unternehmen der Branche ins Leben gerufen. Zusätzlich hält sie eine Reihe von Workshops ab, um entsprechend bewusstseinsbildend zu wirken. Das Rahmenwerk konzentriert sich zunächst auf IoT-Anwendungen im privaten Bereich sowie auf tragbare Geräte und Fitness-Technologien.

Das Interview mit Craig Spiezle führte GlobalSign.

Wie würde das IoT-Framework der OTA die Sicherheitsrichtlinie für die Infrastruktur eines Anbieters gestalten?

Anzeige

Wir befinden uns hier noch in der Anfangsphase, müssen aber Sicherheit und Datenschutz ganzheitlich betrachten. Wie werden beispielsweise Daten auf dem Gerät gespeichert und übertragen, an eine mobile App und dann zum betreffenden Cloud-Dienst? Der allgemeinen Ansicht nach müssen die Daten während der Übertragung verschlüsselt werden, die Apps vor Plattform-Exploits abgesichert und das Gerät vor Schnüffeleien geschützt sein. Im Backend sollte man auf übliche Best Practices zurückgreifen.

Können Sie uns schon mehr zu den Grundlagen des IoT-Framework der OTA sagen?

Wir konzentrieren uns auf drei Säulen: Datenschutz, Sicherheit und Nachhaltigkeit. Unter Nachhaltigkeit verstehen wir Lebenszyklus-Probleme über die herkömmliche Produktgarantie hinaus. Beispielsweise: Wie wird dann gepatched? Was passiert, wenn es das betreffende Unternehmen vielleicht gar nicht mehr gibt?

Wo sehen Sie den größten Bedarf für Regulierung und Leitlinien, wenn der Traum vom IoT konkreter wird?

Das IoT entwickelt sich und wächst weiter. Seine typischen Eigenschaften, aber auch Gründe für die geäußerten Sicherheitsbedenken werden immer deutlicher:

  • Daten werden sehr persönlich, dynamisch und anhaltend erfasst und weiter gegeben
  • Vertrauen in eine Kombination aus Geräten, Apps, Plattformen und Cloud-Services
  • Multiple Datenströme und Berührungspunkte, Offenlegung von Daten
  • Probleme mit Nachhaltigkeit / Lebenszyklus
  • Fehlende festgelegte Standards

Unser Ziel ist es, Best Practices festzulegen, die auf Freiwilligkeit beruhend von Unternehmen umgesetzt werden. Aus regulatorischer Sicht erwarten wir, dass es mehr Eingriffe des Gesetzgebers geben wird. Insbesondere im Hinblick darauf wie Daten erhoben, wie Verbraucher informiert werden und welche Möglichkeiten sie haben zu kontrollieren was mit ihren Daten passiert. Hier könnte es beispielsweise einen Wechsel von einer Opt-out zu einer Opt-in-Regelung geben.

Was sind Ihrer Meinung nach die wichtigsten Sicherheitsgrundlagen, die Organisationen beim Aufbau einer IoT-Lösung beachten sollten?

Sie müssen gleichzeitig auf Sicherheit und Privatsphäre achten. Als Zweites müssen sie den Datenfluss und die Berührungspunkte berücksichtigen. Dazu müssen Sie Partner und Dienstleister zur Rechenschaft ziehen.

Wir haben einige kritische Punkte zusammengestellt, die Unternehmen bedenken sollten, ehe sie in ein IoT-Ökosystem einsteigen. Das gilt gerade für Firmen, die im B2C-Markt tätig sind:

  • Was passiert zukünftig mit den Daten, die Sie erfassen und übertragen? Es besteht die Möglichkeit für eine nicht bekannte, sekundäre Datennutzung mit unbeabsichtigten Folgen.
  • Kompatibilität – hat der Verbraucher die Möglichkeit Updates und Patches rückgängig zu machen, falls das Gerät nicht mehr mit dem Netzwerk oder anderen verbundenen Geräten kompatibel ist?
  • Welche (potenziellen) Auswirkungen auf die Kernfunktionalität des Produktes hat es, wenn Sie eine Datenschutzrichtlinie ändern müssten?
  • Das typische Handy wird etwa zwei Jahre genutzt, während ein Garagentor oder Thermostat 15 Jahre oder länger halten. Wie sieht eine zu erwartende Support-Politik für Patches bei Sicherheitsrisiken aus? Was kann der Verbraucher über die typische Produktgarantie hinaus erwarten?
  • Verlassen Sie sich auf das installierende Unternehmen oder auf Dritte? Was tun diese genau, welche Einstellungen werden gegebenenfalls im Auftrag des Verbrauchers vorgenommen?
  • Ähnlichkeiten mit PCI – Wenn Sie Kreditkartendaten handhaben, mit ihnen in Berührung kommen, sie speichern oder übertragen, müssen diese Vorgänge PCI-konform ablaufen.
  • Haben Sie irgendeine Art von Antivirenlösung? Wie verhindern Sie, dass Ihre Geräte kompromittiert werden?
  • Wird ein Haus verkauft, was sind die Folgen, wenn immer mehr Immobilien als “Smart Homes” in Rechnung gestellt werden? Wer hat Zugang zu den Daten? Wie wird es praktisch gehandhabt, wenn der Zugriff auf das Garagentor, auf intelligente Geräte und ein Thermostat entfernt und zurückgesetzt werden müssen?
  • Verbraucher müssen wichtige Fragen in Bezug auf ihre Daten verstehen. Was passiert, wenn sie das Gerät nicht mehr verwenden? Was passiert, wenn sie von einem Fitness-Band zu einem anderen wechseln wollen? Sind die Daten übertragbar? Sind die Bänder überhaupt kompatibel? Können sie verlangen, dass ihre Daten zurückgesetzt und gelöscht werden, auch wenn sie kein Kunde mehr sind? Werden Sie über einen Missbrauch von Daten dann noch informiert?

Was kann die Branche tun, damit Anbieter Sicherheit und Datenschutz in ihr IoT-Ökosystem gleich von Anfang an „einbauen“?

Es ist dringend notwendig sich zusammenzutun, um Best Practices festzulegen und zu etablieren. Dies ist besonders wichtig angesichts der vielen neuen Akteure, die auf den Markt drängen. Eine Reihe von Standards und Richtlinien, die an verschiedene Gerätetypen und Umgebungen angepasst werden können, wären ein wichtiges Instrument für Branchenneulinge und langgediente Unternehmen gleichermaßen.

Wir gehen davon aus, dass auch Einzelhändler von diesen Richtlinien profitieren und sie deshalb auch zugrunde legen würden. Schon allein, um zu entscheiden, welche “intelligenten” Produkte sie verkaufen und bewerben wollen. Ein unabhängig zertifiziertes IoT-Gerät bekommt eventuell mehr Regalfläche als ein Gerät, das etablierte Richtlinien nicht erfüllt. Einzelhändler haben eine gewichtige Stimme, und können dazu beitragen, dass Anbieter sich stärker engagieren und Best Practices schneller übernehmen.

Fehlen etablierte Standards oder Richtlinien, kann dies Unternehmen hindern, IoT-Ökosysteme zu entwickeln – Woher sollen sie wissen, wo sie anfangen sollen?

Wir freuen uns zu hören, dass die OTA sich dieses Themas annimmt und sind sehr gespannt auf das geplante Rahmenwerk.

Sie wollen sich aktiv beteiligen und die OTA dabei unterstützen, Best Pratices für das IoT festzulegen? Die OTA-Arbeitsgruppe steht allen Interessierten offen. Hier erfahren Sie mehr.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.