IT-­Sicherheit im Internet der Dinge

Die vollständige Vernetzung unseres privaten und beruflichen Alltags schreitet stetig voran. Das Internet wächst jedes Jahr um mehrere Milliarden Geräte. Wir sind sehr gut darin, Menschen und Dinge zu vernetzen – der Sicherheit dieser neuen, vernetzten Welt schenken wir jedoch wenig Beachtung. Wie müssen wir daher über IT-Sicherheit nachdenken, in einer Welt, in der Milliarden Geräte miteinander über ein einziges Netzwerk kommunizieren? Durch das Internet der Dinge stehen erstmals nicht mehr nur Daten auf dem Spiel, sondern Sicherheitslücken bedrohen potenziell direkt Leib und Leben.

Gerade im Bereich Smart Home versagt der Markt derzeit, verhältnismäßig sichere und vertrauenswürdige Geräte herzustellen. Hersteller haben kaum ökonomische Anreize auf IT-Sicherheit bei der Produktentwicklung zu achten: Router, Digitale Videorecorder oder Webcams werden fortlaufend von Kriminellen gehackt und zu Hunderttausenden in globalen Botnetzen verbunden, um dann gezielt Unternehmen oder Internet-Infrastruktur anzugreifen. Dies ist ein globales Problem, dem immer mehr Regierungen ihre Aufmerksamkeit schenken.

Das Projekt IT-Sicherheit im Internet der Dinge analysiert, bewertet und entwickelt ökonomische Anreize für IoT-Hersteller, Security Best Practices und Security-by-Design bei der Produktentwicklung umzusetzen. Hierfür werden in Workshops verschiedene Konzepte, wie Ausweitung der Produkthaftung, verpflichtende Mindeststandards oder freiwillige Gütesiegel analysiert und bewertet.

Workshop #1 ─ IT-Sicherheit im Internet der Dinge (DE)

20. September 2016

Im ersten Workshop wurden die zentralen Herausforderungen der IoT-Sicherheit diskutiert. In zwei Brainstorming-Sessions wurden die Teilnehmer*innen zunächst gefragt, (1) welche Herausforderungen sie in den kommenden 5-10 Jahren sehen und (2) wie sie diese hinsichtlich “Dringlichkeit” und “Politische Handlungsmöglichkeiten” bewerten/priorisieren würden.

PDF IconEinführungspapier (PDF, Deutsch)

PDF IconWorkshop-Protokoll (PDF, Deutsch)

 

Workshop #2 ─ IoT-Sicherheit durch verpflichtende Mindeststandards? (DE)

14. Dezember 2016

Im zweiten Workshop analysierten und bewerteten die Teilnehmer*innen, ob und inwieweit verpflichtende Mindeststandards als Marktzutrittsbarriere die IoT-Sicherheit langfristig fördern könnten. Hierfür wurden Schwierigkeiten bei der Einführung solcher Mindeststandards diskutiert: Überprüfung der Einhaltung des Standards, Unterscheidung zwischen Industrial IoT und Consumer IoT?

PDF IconWorkshop-Protokoll (PDF, Deutsch)

 

Workshop #3 ─ IoT-Sicherheit während der Produktlebenszeit (DE)

17. Mai 2017

Der dritte Workshop fokussierte auf die ständig wachsende Diskrepanz zwischen Produktlebenszeit und aktivem Softwaresupport-Zeitraum. In Deutschland wird ein Kühlschrank durchschnittliche 12 Jahre lang benutzt. Ein “smarter” Kühlschrank müsste daher für 12 Jahre mit Sicherheitsupdates versorgt werden. Wie kann das erreicht werden und welche ökonomischen und organisatorischen Herausforderungen kommen hier auf den Hersteller zu?

Ein Workshop-Protokoll ist nicht vorhanden.

 

Workshop #4 ─ EU’s Cybersecurity Certification Scheme (EN)

11. Oktober 2017

Die EU-Kommission hat ENISA mit der Koordinierung eines europaweiten, freiwilligen Zertifizierungsverfahrens für IT-Sicherheit beauftragt. Im kürzlich vorgestellten EU Cybersecurity Certification Scheme (Cybersecurity Package COM(2017)477) wird dies weiter konkretisiert. Im vierten Workshop wurde das vorgeschlagene Modell der EU-Kommission analysiert und kritisch bewertet wird. Darüber hinaus wurden konkrete Verbesserungen erarbeitet, um einem effizienten und effektiven Ökosystem aus Zertifizierung und Marktbeobachtung näher zu kommen.

PDF IconWorkshop-Protokoll (PDF, Englisch)

WeiterlesenSchliessen