Sessiondokumentation

Session:
IoT Security und Privacy

Sessiongeber / Eckdaten
Sessiontitel: IoT Security und Privacy
Sessiongeber: Prof. Dr. Sebastian Steinhorst, Technische Universität München, Fakultät für Elektrotechnik und Informationstechnik

Websites: www.esi.ei.tum.de
Art der Veranstaltung: Vortrag mit Diskussion
Teilnehmerzahl: ca. 30-35
Protokoll: Beate Mader

Dokumentation

In seiner Session beschäftigte sich Sebastian Steinhorst mit Fragen zum Thema Sicherheit und Privatsphäre beim Internet der Dinge. Hier sieht er einerseits viel Unsicherheit, andererseits aber auch großes Handlungspotential. Zunächst widmete sich Sebastian Steinhorst der Frage: Wo stehen wir technisch und gesellschaftlich?

Das Internet der Dinge ist mittlerweile fast allen Lebensbereichen angekommen. Dabei werden nahezu immer sensible Daten erfasst und übertragen. Die Erfahrung zeigt, dass viele Nutzer die Funktionalität und das Design eines Devices in den Vordergrund stellen, sich aber nur selten mit der Datensicherheit beschäftigen.

Hierbei unterscheiden sich zwei Nutzergruppen: Die eine ist unsicher im Umgang mit entsprechenden Geräten und Technologien und verfügt nichtüber ausreichende Informationen für einen sicheren Umgang mit IoT. Die andere geht einfach sehr unbedacht mit ihren Daten und entsprechenden Anwendungen um. So herrschen weiterhin viel Unsicherheit und Unwissen hinsichtlich der Risiken und Chancen von IoT Anwendungen vor.

Ein wichtiger Aspekt für die Sicherheit von IoT sind technische Standards. So wird in der Diskussion mit den Teilnehmern erwähnt, dass schon die Hardware teilweise überhaupt nicht in der Lage ist, Nutzern mehr Sicherheit zu bieten. So sei die Leistung mancher Wearables gar nicht ausreichend, um Daten zu verschlüsseln.

Auch Updates stellen ein Risiko dar. So berichtete Sebastian Steinhorst, dass sein Mobiltelefon nach einem Softwareupdate nicht mehr mit seinem Wearable kommunizieren kann. Das Gerät kann seinen eigentlichen Zweck nicht länger erfüllen. Bei entscheidenden Anwendungen und Endgeräten stellt dies ein großes Problem dar.

Ein wesentliches Sicherheitsrisiko auch für IoT ist aber vor allem der Mensch selbst. So kommt es schon allein durch Faulheit und mangelndes Interesse immer wieder zum Worst Case. Dies gilt insbesondere bei einer der wohl grundlegendsten Sicherheitsmaßnahmen: Der Verwendung sicherer Passwörter und ihrer Aktualisierung. Minimieren ließe sich dieses Risiko nur entsprechende Sicherheitsroutinen und Aufklärung.

In der Diskussion thematisierten die Teilnehmer mit Blick auf die Datensicherheit weniger den Schutz ihrer Privatsphäre („Ich habe es in der Hand, wem ich meine Daten freigebe.“) und der Verantwortung von Politik und Gesellschaft für diesen Schutz.

Vielmehr beschäftigten sie die Aspekte der Sicherheit: So sahen die Teilnehmer vor allem einen Bedarf hinsichtlich von Zertifizierungen und zeitgemäßen Protokollen, die weniger angreifbar sind als bisherige Lösungen. Im Umgang mit den Sicherheitsrisiken bei IoT befürworteten sie vor allem den Ansatz, Risiken so weit wie möglich zu minimieren und zu lernen, damit umzugehen. Diskutiert wurde auch, ob geschlossene Systeme die Lösung sein können und wie viel Regulierung man vom Staat brauche – und wolle.

Bei der Privatsphäre würde ein entsprechendes Siegel („datensicher“) Vertrauen schaffen. Wer seine Daten freigibt, müsse zudem gut sichtbar und umfassend darüber informiert werden, welche Daten freigegeben werden und wie diese genutzt werden können. Für die Datensicherheit bestehe Handlungsbedarf sowohl bei der Hard- als auch bei der Software.

Zum Ende der Session stellten die Teilnehmer fest: Wir müssen das Bewusstsein für die Sicherheit bei IoT Anwendungen schärfen.