IT-­Sicherheit im Internet der Dinge

Das Projekt untersucht zwei verschiedene, aber dennoch miteinander verbundene Fragen. Erstens, wie können wir vertrauenswürdige und resiliente Mobilfunknetze (5G) für unsere Gesellschaft und Industrie aufbauen und betreiben? Unsere erste Hypothese zu diesem Problem lautet: Dies ist eine gemeinsame Verantwortung von Ausrüstern, Netzbetreibern und nationalen Behörden. Darüber hinaus muss die Risikominimierung auf vier verschiedenen Ebenen angegangen werden - Standards, Implementierung, Konfiguration und Prozesse. Unsere zweite Hypothese besagt, dass es darauf ankommt, wo Technologie gebaut/entwickelt wurde und die Rechtsstaatlichkeit bei der Bewertung des Risikos eines bestimmten Herstellers berücksichtigt werden sollte. Dies führt zu einer Vielzahl von relevanten Fragen:

  • Wie kann ein "vertrauenswürdiger" Lieferant definiert und bewertet werden?
  • Welche Strategien gibt es, um das Risiko von Netzwerksabotage und Kommunikationsstörungen zu minimieren?
  • Ist es möglich, vertrauenswürdige und belastbare Netzwerke auf der Grundlage von nicht vertrauenswürdigen Netzwerk-Equipment aufzubauen?
  • Wie können wir Best Practices zwischen europäischen Mobilfunkbetreibern für sichere und zuverlässige Netzwerkkonfigurationen einführen und austauschen?

Das zweite zentrale Thema dieses Projekts ist, wie funktionieren globale Halbleiter-Lieferketten und welche Rolle spielt Europa dabei? Halbleiter wie Prozessoren oder Speicherchips sind die Grundlage für viele neue Technologien. Die Halbleiter-Lieferkette ist hochinnovativ, spezialisiert und absolut global. Das Projekt analysiert diese Lieferketten aus der Perspektive der nationalen Sicherheit und aus der Sicht technologischer Abhängigkeiten: Wie zufriedenstellend ist es für Europa, immer mehr von Halbleitern aus einem Land abhängig zu sein, das wir als "systemischen Rivalen" ansehen? Wie können wir diese Abhängigkeiten bewerten und welche Auswirkungen haben sie auf die Industriepolitik?

  • Wer sind die dominanten Akteure in bestimmten Stadien der Halbleiter-Herstellung?
  • In welchen Halbleiterbereichen ist Europa stark von ausländischen Akteuren abhängig und können diese "ökonomischen Druckpunkte" zu Europas Nachteil ausgenutzt werden?
  • Wie können diese Abhängigkeiten wirksam angegangen werden und welche Rolle spielt hier Regulierung und strategische Industriepolitik?

 

Folgendes beschreibt den Projektfokus bis Sommer 2018

Die vollständige Vernetzung unseres privaten und beruflichen Alltags schreitet stetig voran. Das Internet wächst jedes Jahr um mehrere Milliarden Geräte. Wir sind sehr gut darin, Menschen und Dinge zu vernetzen – der Sicherheit dieser neuen, vernetzten Welt schenken wir jedoch wenig Beachtung. Wie müssen wir daher über IT-Sicherheit nachdenken, in einer Welt, in der Milliarden Geräte miteinander über ein einziges Netzwerk kommunizieren? Durch das Internet der Dinge stehen erstmals nicht mehr nur Daten auf dem Spiel, sondern Sicherheitslücken bedrohen potenziell direkt Leib und Leben.

Gerade im Bereich Smart Home versagt der Markt derzeit, verhältnismäßig sichere und vertrauenswürdige Geräte herzustellen. Hersteller haben kaum ökonomische Anreize auf IT-Sicherheit bei der Produktentwicklung zu achten: Router, Digitale Videorecorder oder Webcams werden fortlaufend von Kriminellen gehackt und zu Hunderttausenden in globalen Botnetzen verbunden, um dann gezielt Unternehmen oder Internet-Infrastruktur anzugreifen. Dies ist ein globales Problem, dem immer mehr Regierungen ihre Aufmerksamkeit schenken.

Das Projekt IT-Sicherheit im Internet der Dinge analysiert, bewertet und entwickelt ökonomische Anreize für IoT-Hersteller, Security Best Practices und Security-by-Design bei der Produktentwicklung umzusetzen. Hierfür werden in Workshops verschiedene Konzepte, wie Ausweitung der Produkthaftung, verpflichtende Mindeststandards oder freiwillige Gütesiegel analysiert und bewertet.

 

Workshop #1 ─ IT-Sicherheit im Internet der Dinge (DE)

20. September 2016

Im ersten Workshop wurden die zentralen Herausforderungen der IoT-Sicherheit diskutiert. In zwei Brainstorming-Sessions wurden die Teilnehmer:innen zunächst gefragt, (1) welche Herausforderungen sie in den kommenden 5-10 Jahren sehen und (2) wie sie diese hinsichtlich “Dringlichkeit” und “Politische Handlungsmöglichkeiten” bewerten/priorisieren würden.

PDF IconEinführungspapier (PDF, Deutsch)

PDF IconWorkshop-Protokoll (PDF, Deutsch)

 

Workshop #2 ─ IoT-Sicherheit durch verpflichtende Mindeststandards? (DE)

14. Dezember 2016

Im zweiten Workshop analysierten und bewerteten die Teilnehmer:innen, ob und inwieweit verpflichtende Mindeststandards als Marktzutrittsbarriere die IoT-Sicherheit langfristig fördern könnten. Hierfür wurden Schwierigkeiten bei der Einführung solcher Mindeststandards diskutiert: Überprüfung der Einhaltung des Standards, Unterscheidung zwischen Industrial IoT und Consumer IoT?

PDF IconWorkshop-Protokoll (PDF, Deutsch)

 

Workshop #3 ─ IoT-Sicherheit während der Produktlebenszeit (DE)

17. Mai 2017

Der dritte Workshop fokussierte auf die ständig wachsende Diskrepanz zwischen Produktlebenszeit und aktivem Softwaresupport-Zeitraum. In Deutschland wird ein Kühlschrank durchschnittliche 12 Jahre lang benutzt. Ein “smarter” Kühlschrank müsste daher für 12 Jahre mit Sicherheitsupdates versorgt werden. Wie kann das erreicht werden und welche ökonomischen und organisatorischen Herausforderungen kommen hier auf den Hersteller zu?

Ein Workshop-Protokoll ist nicht vorhanden.

 

Workshop #4 ─ EU’s Cybersecurity Certification Scheme (EN)

11. Oktober 2017

Die EU-Kommission hat ENISA mit der Koordinierung eines europaweiten, freiwilligen Zertifizierungsverfahrens für IT-Sicherheit beauftragt. Im kürzlich vorgestellten EU Cybersecurity Certification Scheme (Cybersecurity Package COM(2017)477) wird dies weiter konkretisiert. Im vierten Workshop wurde das vorgeschlagene Modell der EU-Kommission analysiert und kritisch bewertet wird. Darüber hinaus wurden konkrete Verbesserungen erarbeitet, um einem effizienten und effektiven Ökosystem aus Zertifizierung und Marktbeobachtung näher zu kommen.

PDF IconWorkshop-Protokoll (PDF, Englisch)

 

Workshop #5 – IoT-Security and Market Surveillance

29. Mai 2018

Die Workshopteilnehmer:innen diskutierten, wie neue notwendige Informationsflüsse zwischen den verschiedenen Akteuren, basierend auf NLF und dem EU Cybersecurity Act, aussehen müssten. Der Fokus lag hier vor allem auf der Einheziehung unabhängiger Dritter, wie Sicherheitsforscher:innen und Hacker:innen, als auch der besseren Aufklärung der Verbraucher:innen. Im zweiten Teil wurde das Potenzial einer europaweiten Produktdatenbank mit Informationen zur IT-Sicherheit von IoT-Geräten analysiert. Am Workshop nahmen Vertreter:innen aus Zivilgesellschaft, Wissenschaft, Wirtschaft und Verwaltung teil. Der Workshop fand unter der Chatham House Regel statt.

PDF IconIntro Papier (PDF, englisch)

PDF IconWorkshop-Protokoll (PDF, englisch)

 

WeiterlesenSchliessen

Expert:innen

Projektleiter "IT-Sicherheit im Internet der Dinge"
+49 (0)30 81 45 03 78 99
  • Digitale Infrastrukturen
  • IT-­Sicherheit im Internet der Dinge
Studentische Mitarbeiterin
+49 (0)30 81 45 03 78 80
  • IT-­Sicherheit im Internet der Dinge
  • Digitale Energiewende