Strategische IT-Sicherheitspolitik für das Internet der Dinge

Beim Thema IT-Sicherheit wird staatlichen Institutionen, kritischer Infrastruktur und der Industrie 4.0 viel Beachtung geschenkt. Darüber wird jedoch vergessen, dass Milliarden  „smarter“ Haushalts- und Entertainmentgeräte – das Consumer Internet of Things (CIoT) – auf den Markt kommen, die eklatante Sicherheitsmängel aufweisen. Die Anzahl internetfähiger Geräte, bei deren Entwicklung nicht auf Sicherheit geachtet wurde, wird stetig anwachsen. Eklatante Sicherheitslücken in CIoT-Geräten haben zwei Folgen: Erstens führen sie dazu, dass Bürgerinnen und Bürger keinen Schutz vor Kriminellen haben und ihre Geräte ausfallen. So sind mittlerweile vernetzte Spülmaschinen, Fernseher und Webcams angreifbar. Zweitens werden die Sicherheitslücken von Kriminellen ausgenutzt, um hunderttausende CIoT-Geräte zu kapern, zusammenzuschließen und industrielle Produktionssysteme oder Webseiten von Unternehmen lahmzulegen. IT-Sicherheit im Internet der Dinge wird damit in den kommenden Jahren nicht nur zu einer Herausforderungen für den Schutz der Verbraucher sondern der vernetzten Wirtschaft zugleich.

Aufgrund fehlender ökonomischer Anreize und falsch verteilten Verantwortlichkeiten kann der Markt für IoT-Geräte dieses Problem nicht alleine lösen. Allerdings muss regulierendes Eingreifen durch den Staat die Besonderheiten des Internets der Dinge berücksichtigen, um effektive Regulierungsansätze zu finden.

Als wichtigster Teil einer nachhaltigen IoT-Strategie wird eine europaweit verpflichtende Mindestanforderung an die IT-Sicherheit von CIoT-Geräten gesehen – ähnlich der bestehenden CE-Kennzeichnung. Ein Anfang könnte hier zum Beispiel mit Internetroutern gemacht werden. Regulierungsbedarf gibt es ebenso bei der Frage nach gesetzlichen Vorgaben hinsichtlich Softwaresupport, vor allem für Sicherheitsupdates. Ebenso sollten Verantwortlichkeiten von Distributoren neu geregelt werden, da die überwiegende Zahl von CIoT-Geräten durch ausländische OEM-Hersteller produziert wird. Eine Ausweitung der Produkthaftung auf Software ist im Kern sinnvoll, jedoch derzeit mit vielen rechtlichen Hürden und offenen Fragen verbunden, wodurch es vermutlich nicht erster Schritt einer IoT-Strategie sein sollte.

Erfolgreiche Regulierungsvorschläge müssen dabei vier Eigenschaften des IoT-Markts berücksichtigen: (1) Wenige Sicherheitslücken in ein paar populären CioT-Geräten reichen aus, um hunderttausende Geräte voll-automatisiert mit Malware zu infizieren. (2) Aufgrund mangelnder Einflussmöglichkeiten durch den Benutzer hält sich Malware verhältnismäßig lange auf CIoT-Geräten. (3) CIoT-Geräte eignen sich sehr gut zur Erstellung von Botnetzen. Bei diesen sind Kompromittierter und Geschädigter nicht dieselbe Entität. (4) Im Gegensatz zu klassischen IT-System ist der Mensch mangels Einflussmöglichkeiten auf die Software nicht das „schwächste Glied in der Kette“.