IT-Sicherheit im Internet der Dinge

Executive Summary

Spätestens die Angriffe der letzten Monate sollten uns verdeutlicht haben, was auf dem Spiel steht, wenn wir uns weiterhin nicht um IT-Sicherheit im Internet der Dinge kümmern. In Finnland fallen die Heizungen ganzer Häuserblocks aus. Populäre Dienste, wie Twitter, Netflix oder Spotify sind in Teilen der USA über Stunden nicht erreichbar. Auch das organisierte Verbrechen nutzt solche Angriffe, um Unternehmen zu erpressen. Wir vernetzen zunehmend alles, ohne dabei auf die Sicherheit zu achten. Das Internet der Dinge verschärft diese Situation noch erheblich, allein aufgrund der schieren Masse an Geräten.

Wie müssen wir also über IT-Sicherheit nachdenken, wenn wir Milliarden autonomer Geräte über das Internet miteinander verbinden? In unserem Papier analysieren wir zunächst, warum der IoT-Markt (Internet of Things) bei IT-Sicherheit versagt hat und warum das Internet der Dinge für Hacker so interessant ist: Es ist derzeit ökonomisch nicht sinnvoll für IoT-Hersteller bei der Entwicklung auf IT-Sicherheit zu achten, da der Markt vor allem Features und Leistungsfähigkeit honoriert, jedoch nicht Sicherheit. So bestehen Informationsasymmetrien, wodurch der Nutzer vollständig von den Aussagen des Herstellers bzgl. IT-Sicherheit abhängig ist und diese kaum überprüfen kann.

Und die Möglichkeit der Externalisierung des Risikos seitens des Herstellers führt zu einem Markt, der überschwemmt ist von unsicheren IoT-Geräten. Diese systemischen Unsicherheiten im Internet der Dinge in Verbindung mit dem hohen Verbreitungsgrad bestimmter IoT-Geräte, immer leistungsfähigerer Hardware und ständiger Konnektivität zum Internet, machen IoT-Geräte besonders lukrativ für Hacker. Das müssen wir ändern.

Im zweiten Teil des Papiers diskutieren wir Handlungsoptionen für die Politik. Der Ruf nach Mindeststandards für IoT-Geräte ist groß – sowohl auf europäischer als auch internationaler Ebene. So spricht auch die Bundesregierung in ihrer neuen Cyber-Sicherheitsstrategie 2016 von einer gewissen “Basis-Zertifizierung” und “Gütesiegeln für IT-Sicherheit”. Beide Ansätze werden jedoch nur gelingen, wenn sie von Beginn an europäisch und international vorangetrieben werden, statt deutsche Insellösungen zu erschaffen.

Ein Mindeststandard für IoT-Geräte hätte die Chance, das Marktversagen im Internet der Dinge zu adressieren und könnte, ähnlich der CE-Kennzeichnung, unsicheren Geräten den Marktzugang erschweren. Ein darauf aufbauendes IoT-Siegel könnte Versprechen des IoT-Herstellers gegenüber dem Kunden überprüfbar machen. So würden sich IoT-Hersteller über IT-Sicherheit von der Konkurrenz am Markt differenzieren und IT-Sicherheit würde stärker in die Kaufentscheidung einfließen. Eine erweiterte Produkthaftung kann letztlich an den Mindeststandard und das IoT-Siegel anknüpfen und dadurch leichter umsetzbar werden.