JR-Center for Sicherheitsanalyse von IoT-Geräten

Dieses JR-Zentrum erforscht die Möglichkeiten einer automatisierten und unabhängigen Analyse von Geräten des "Internet of Things" in Bezug auf deren Sicherheit und bezüglich ihrer Auswirkungen auf die Privacy der Nutzer*innen.

Die Welt, in der wir leben, wird zunehmend digitaler. Ein wichtiger Schritt dieser Digitalisierung ist es, Objekte oder "Dinge" aus der physischen Welt mit der Funktionalität auszustatten, sich über ein Netzwerk, üblicherweise das Internet, mit anderen "Dingen" zu verbinden und so gemeinsam erhobene Daten auszunutzen. Der Überbegriff, der all diese vernetzten "Dinge" einschließt, ist das "Internet of Things" (IoT). IoT-Geräte sind sowohl in der Industrie ("Industrial IoT" [IIoT]) als auch bei Bürgerinnen und Bürgern ("Consumer IoT" [CIoT]) zunehmend im Einsatz. Typische CIoT-Geräte umfassen unter anderem Router, Smartphones, aber auch ehemals "nicht-smarte" Alltagsgegenstände wie Smartwatches, Kühlschränke, Glühbirnen, Türschlösser, Spielzeuge oder Waschmaschinen. Zunehmende Verbreitung finden auch Konzepte wie das der "Smart City" (SC), bei dem vornehmlich öffentliche Infrastruktur intelligenter und digitaler gestaltet werden soll.

Durch die zunehmende Verbreitung von IoT-Geräten wird es immer wichtiger, deren Sicherheit zu evaluieren. So hat zum Beispiel die europäische Kommission Ende Oktober 2021 beschlossen, dass alle drahtlos vernetzten Geräte und Produkte, die innerhalb der EU auf den Markt kommen, ab ca. Mitte 2024 gewisse Sicherheitsstandards erfüllen müssen.

Das Ziel dieses JR-Zentrums ist es, die Sicherheit einer Vielzahl von unterschiedlichsten IoT-Geräten systematisch, zuverlässig und im Idealfall vollständig automatisiert zu bewerten. Dabei ergibt sich die Notwendigkeit dieser Analyse aus mehreren Gesichtspunkten. Zum einen können bei IoT-Geräten aufgrund gewisser Einschränkungen oftmals nicht die Sicherheitstechnologien angewandt werden, die bei Nicht-IoT-Geräten heutzutage Standard sind. Solche Einschränkungen können Rechenleistung, Speicherplatz, Energieversorgung oder Datenrate sein. Solange die Konsument*innen wenig Bewusstsein für die Sicherheit ihrer Geräte haben und daher auch nicht bereit sind, mehr für sicherere Produkte auszugeben, haben Hersteller allerdings kaum einen Anreiz, in sicherere IoT-Geräte zu investieren.

Die reine Anzahl an unterschiedlichen erhältlichen IoT-Geräten fordert, dass eine Sicherheitsevaluierung automatisiert passiert. Der Fokus dieses JR-Zentrums ist dementsprechend die Erarbeitung einer automatisierten Sicherheitsevaluation von (C)IoT-Geräten, auch im SC-Kontext. Des Weiteren widmet sich das JR-Zentrum der Frage, wie in dieser Sicherheitsevaluation auch physische Angriffe und die gesamte Datenübertragung miteinbezogen werden können. Damit rückt zum ersten Mal eine unabhängige Zertifizierung dieser immer wichtiger werdenden Geräte in greifbare Nähe und es wird eine Möglichkeit geschaffen, um die Konformität von IoT-Geräten zu gegebenen Sicherheitsrichtlinien zu überprüfen. Weiters können die Forschungsergebnisse eine Basis bilden um auch IIoT oder IoT im Bereich des Gesundheitswesens zu evaluieren. All diese Thematiken werden voraussichtlich weit über die Laufzeit des JR-Zentrums hinaus von gesellschaftlicher Relevanz bleiben.