Das Internet der Dinge beziehungsweise Internet of Things (IoT) umfasst diverse intelligente Produkte und Dienstleistungen - von vernetzten Autos bis hin zu tragbaren Fitnessmessgeräten. Immer mehr wird es zum roten Faden, der alle Aspekte unseres Lebens verbindet. Erst kürzlich haben die Marktforscher von Gartner prognostiziert, dass in den nächsten Jahren sehr viel höhere Ausgaben für die Digitale Wirtschaft getätigt werden als für traditionelle Technologien, so dass bis 2020 ein zusätzlicher wirtschaftlicher Mehrwert von 1,1 Billionen Pfund zu verzeichnen sein wird. Mehr und mehr Prozesse werden digitalisiert und die physischen und virtuellen Welten verschmelzen - das Internet der Dinge bringt eine neue Art des Komforts in unser Leben. Doch es gibt auch einen Nachteil: Wir werden in immer stärkerem Maße abhängig von einem neuen und möglicherweise verletzlichen Ökosystem.
Alltägliche Objekte aus unserer physischen Welt, wie Parkuhren, Babyphones und Küchengeräte, werden nun mit dem Online-Ecosystem verbunden. Diese nie dagewesene Zahl an Geräten, die mit dem Internet verbunden werden, impliziert jedoch eine neue Art der Nutzung dieser Online-Welt. Wir können die Auswirkungen, die dieses Ecosystem möglicherweise auf die persönliche Sicherheit sowie die Datensicherheit haben wird, nicht ignorieren. Für die Art und Weise, wie wir kommunizieren, ist das IoT sicher eine große Chance. Die permanente Verbindung zur Online-Welt birgt jedoch auch die Gefahr, dass Angreifer in Computer-Systeme eindringen und der Datenschutz gefährdet wird. Und dies kann verheerende Folgen nach sich ziehen.
Das Internet der Dinge - eine unausweichliche Bedrohung für die Sicherheit?
Da mit dem IoT immer mehr Geräte zum Einsatz kommen werden, wird es unausweichlich immer häufiger Datenangriffe auf die mit dem Internet verbundenen Endgeräte geben. Entwickler sind überzeugt, dass mit dem Internet verbundene Geräte vielfältige neue Angriffsmöglichkeiten bieten.
Das Auto beispielsweise entwickelt sich derzeit schnell zu einem klar definierten Objekt, das mit dem Internet verbunden werden kann. Armaturenbrett-Anwendungen lassen sich mit sozialen Netzwerken verbinden und Wartungssensoren halten Autofahrer über den Status ihres Autos auf dem Laufenden. Vor kurzem erst prognostizierte visiongain, dass der weltweite Markt für Autos, die mit dem Internet verbunden werden können, 2014 ein Volumen von 25,2 Milliarden US-Dollar umfassen dürfte. Anders ausgedrückt: Die Zukunft ist bereits hier, sie ist nur nicht gerecht verteilt: Viele Autohersteller haben ihre Fahrzeuge bereits mit der Möglichkeit versehen, auf soziale Netzwerke zuzugreifen und sie mit Telefon-, Navigations- und Lokalisierungsfunktionalitäten bestückt. Manche sind der Meinung, dass vernetzte Autos eine neue Ära des Automobildesigns einleiten. Andere setzen sie ausschließlich mit Datenverlust und Datenschutzverstößen gleich.
Der Zugriff auf Daten, die von Autos generiert wurden, erfolgt über APIs (Application Programming Interfaces/Schnittstellen zur Anwendungsprogrammierung). Würde es einem Nutzer mit betrügerischen Absichten gelingen, die API zu manipulieren, wäre er in der Lage, das Auto ferngesteuert ohne Erlaubnis des Besitzers zu ver- oder entriegeln. Es besteht durchaus die Möglichkeit, dass es zukünftig zu einer Verknüpfung von Auto- und Internetkriminalität kommt - das ist zwar beunruhigend, aber durchaus realistisch.
Eine weitere Gefahr sind die Datenschutzrisiken, die in Bezug auf diese Geräte bestehen. Die mit dem Internet verbundenen Geräte, die in verschiedenen Objekten (wie Autos oder Haushaltsgeräten) installiert werden, lassen sich gut für rechtswidrige Überwachungen oder andere Eingriffe in das Privatleben verwenden. Man stelle sich vor, dass ein mit dem Internet verbundenes Auto einen Datenfluss produziert - was, wenn diese Daten "ausgespäht" werden können? Wenn Kriminelle beispielsweise mithilfe der mit dem Internet verbundenen Autos die Fahrtrouten der Autofahrer verfolgen können, oder nachvollziehen können, wann eine Person nach Hause kommt bzw. das Haus verlässt, indem sie ein mit dem Internet verbundenes Türschloss oder ein Thermostat mit Bewegungsmelder anbringen? In dieser Welt miteinander verbundener Geräte müssen wir davon ausgehen, dass unsere Privatsphäre nicht geschützt ist und diese Risiken nicht mehr hypothetischer Natur sind.
Zudem kann es im Zusammenhang mit jeder großartigen technologischen Neuerung auch zu menschlichem Versagen kommen. Dies ist insbesondere im Zusammenhang mit der immer häufiger in Anspruch genommenen Möglichkeit relevant, private mobile Endgeräte ins Unternehmensnetzwerk anzuschließen (BYOD). Es kommt heutzutage viel zu häufig vor, dass Smartphones, Tablets und Laptops herumliegen oder sogar in das Visier von Dieben geraten. Diese Geräte können an Unternehmenssysteme sowie an Autos und Privatgeräte angeschlossen werden und ermöglichen es Fremden oder Dieben, auf personenbezogene Daten sowie auf vertrauliche und als geheim eingestufte Unternehmensdaten zuzugreifen.
Die Bedeutung von APIs und IT-Richtlinien
Mit dem Internet verbundene Geräte kommunizieren also über APIs. Der Sicherheit der APIs kommt deshalb eine Schlüsselfunktion zu. Die API fungiert auch als Policy Enforcement Point (PEP) für intelligente Geräte und regelt die Richtlinien für die Zugangskontrollen. Zudem ist es auf API-Ebene möglich, intelligente Geräte mit "virtuellen Patches" zu versehen, um Sicherheitskorrekturen vorzunehmen. All dies fällt in den Bereich Governance. Die starken Bedenken im Zusammenhang mit den Themen Datenschutz und Sicherheit in Bezug auf IoT-Geräte zeigen, dass Unternehmen Richtlinien für die Verwendung persönlicher Daten erstellen und offen kommunizieren müssen, um das Vertrauen in Informationen zu bewahren. Sicherheitsmanager und IT-Leiter müssen für die Einführung adäquater Richtlinien sorgen, um gegen Vorkommnisse dieser Art gewappnet zu sein.
Es ist notwendig, die Themen Governance und Schutz der Datenflüsse im IoT-Bereich anzugehen und zu steuern. Laut Forrester werden die Ausgaben im IT-Bereich in Großbritannien 2014 voraussichtlich um 4,6 Prozent steigen. Kollaborationssoftware sowie mobile Applikationen und Sicherheit werden zu den Bereichen zählen, in denen die höchsten Softwareausgaben getätigt werden. Dies deutet stark darauf hin, dass sich Unternehmen der Risiken bewusst sind und damit beginnen, entsprechende Schritte einzuleiten um diesen entgegenzuwirken.
Unternehmen haben unter anderem die Möglichkeit, derartige Sicherheitsbedenken durch die Implementierung einer API-Management-Strategie aus dem Weg zu räumen. Von Unternehmen eingesetzte APIs übermitteln vertrauliche Informationen und führen geschäftliche Transaktionen durch, die nur ganz bestimmten, autorisierten Geschäftspartnern zur Verfügung gestellt werden dürfen. Eine wirksame API-Strategie umfasst die Einführung klarer Management-Richtlinien, die sich mit den oben beschriebenen Privatsphäre- und Sicherheitsthemen auseinandersetzen.
Die Management-Lösung leistet dies mithilfe von Überwachungs- und Steuerungsfunktionen sowie der Ausgabe von Prüfprotokollen, die detailliert darüber Aufschluss geben, wie die APIs eingesetzt werden. Die API-Management-Lösung fungiert in erster Linie als Torwächter und stellt eine verlässliche Methode dar, mit deren Hilfe der Datenfluss zwischen den einzelnen verbundenen Geräten gesteuert und überwacht werden kann.
Die gute Seite
Ungeachtet dieser Gefahren wird sich das Internet der Dinge weiterhin durchsetzen. Web-APIs sind wunderbar dafür geeignet, den Schritt in diese zunehmend vernetztere Welt zu wagen. Intelligente Unternehmen müssen darauf achten, sowohl ihre IoT-Strategie weiterzuentwickeln, als auch für effektive API-Sicherheitsmaßnahmen und ein effektives API-Management zu sorgen, um die Vorteile des IoT nutzen zu können.
Jede Auseinandersetzung mit dem IoT wird weitere Erkenntnisse bringen. Sicherheitsbedenken werden uns dazu veranlassen, uns über den Wert und die Bedeutung der Objekte bewusst zu werden, die Teil unserer physischen Welt sind. Wir werden entscheiden, ob diese mit dem Internet verbunden werden sollten, oder ob sie für sich allein einen größeren Mehrwert bereithalten. Mit einer API-Management-Strategie lassen sich diese Sicherheitsbedenken abschwächen und die Vorteile des Internet der Dinge nutzen.