Die Begriffe „Internet der Dinge“ und „Industrie 4.0“ sind heute in aller Munde. Abseits vom Hype soll hier einmal nicht nur auf die Chancen eingebetteter Technologien, sondern auf die Sicherheitsrisiken (Digital Security) eingegangen werden. Als Beispiel dient die Versicherungswirtschaft. Die Branche arbeitet seit einigen Jahren an Pay-as-you-drive-Tarifen, neuen Geschäftsmodellen für smarte Gebäude und an innovativen Gesundheitsdienstleistungen.
Risiken strukturiert analysieren und bewerten
Sieht man bei all den möglichen Szenarien von grundlegenden Fragestellungen ab, die beispielsweise das Grundprinzip von Versicherungen oder die informationelle Selbstbestimmung betreffen, lassen sich mit den üblichen Verfahren auch neue und veränderte Sicherheitsrisiken analysieren.
Zum einen ist hier generell die Luftschnittstelle zu erwähnen. Angriffe über kabellose Verbindungen, beispielsweises WLAN, RFID und Bluetooth, sind per se schwierig festzustellen und noch schwieriger zu vermeiden. Darüber hinaus sind bei der Analyse die interne und die externe Dimension sowie Funktions- und Informationssicherheit zu untersuchen: Während in der internen Dimension insbesondere die Integrität und Vertraulichkeit von Daten entscheidend ist, sind in der externen Dimension vor allem potenzielle Datenmanipulationen zu berücksichtigen.
Zielgerichtet Gegenmaßnahmen ergreifen
Viele Risiken lassen sich durch sensible Vertragsstrafen verringern. Darüber hinaus müssen kritische Komponenten redundant ausgelegt sein, wobei Kosten-/Nutzenaspekte eine zentrale Rolle spielen. Grundsätzliche Technologierisiken lassen sich weitestgehend transformieren. Kern der Abwägungen müssen stets die Vertraulichkeit und Integrität der Daten sein.
In der internen Dimension sind Datenvalidierungen, starke Authentifizierungsmechanismen und strikte Autorisierungen zu nennen. In der externen Dimension spielen zum Beispiel manipulationssichere Hard- und Software eine entscheidende Rolle. Aber auch kryptographische Verfahren, das intelligente Managen von Energie, automatisierte Alarmfunktionen sowie Mechanismen zur Identifikation kritischer Ereignisse müssen von Anfang an Teil der Lösung sein.
Wurden die neuen und veränderten Bedrohungen entsprechend behandelt, verbleiben diverse Risiken, die fortlaufend beobachtet und im Zweifelsfall akzeptiert werden müssen. Die Tatsache, dass falsche Rückschlüsse anhand neuer Daten gezogen werden, lässt sich zum Beispiel niemals ganz eindämmen. Weitere Restrisiken sind die bewusste Abschirmung von Mobilfunk- oder Sensoreinheiten, das Zerstören relevanter Module, generelles Technikversagen und Seitenkanalangriffe.
Potenziale bewusst ausschöpfen
Mobile und eingebettete Technologien bieten enorme Potenziale für innovative Geschäftsmodelle, nicht nur wie hier exemplarisch beleuchtet in der Versicherungswirtschaft, sondern querbeet durch alle Branchen und Bereiche. Neben den offenkundigen Chancen sollten jedoch die wesentlichen Sicherheitsrisiken, von denen hier einige benannt wurden, stets mit betrachtet werden, damit aus dem Traum der ubiquitären Vernetzung kein Albtraum wird.