Open Access

Philipp Rammer

• Thema der vorliegenden Masterarbeit ist die Betrachtung von Aspekten der Informationssicherheit beim Einsatz von Geräten aus dem Kontext des Internet of Things (IoT) in Unternehmensnetzwerken. Medienberichte und Analysen der letzten Jahre deuten auf frappierende Sicherheitslücken in IoT-Geräten und damit einer, durch die unabhängig davon zunehmende Bedrohungslage im Internet verschärften, Gefährdung der Sicherheit hin. Eine Frage, die sich dabei stellt, ist, ob vorhandene Sicherheitskonzepte für den Einsatz von IoT-Geräten ausreichend sind. Um dies zu beantworten war es notwendig, eine für die Arbeit gültige Definition des sehr abstrakten Begriffs "IoT" zu entwickeln und mögliche Anwendungsbereiche in Unternehmensnetzwerken aufzuzeigen. Darauf folgt eine Beschreibung der grundlegenden Aspekte der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) und eine Analyse von Bedrohungen und Angriffen auf Netzwerke. Ausgehend von diesen Erkenntnissen wurde ein Sicherheitskonzept zusammengestellt, welches heute übliche Maßnahmen zur Sicherstellung der Informationssicherheit in Unternehmensnetzwerken beinhaltet. Um ein Konzept unter Berücksichtigung des Einsatzes von IoT-Geräten entwickeln und mit derzeitigen Maßnahmen zu vergleichen, wurden IoT-spezifische Rahmenbedingungen und Angriffe beschrieben. Dabei zeigen sich vor allem Einschränkungen hinsichtlich technischer Ressourcen, Anforderungen an die Skalierbarkeit von Lösungen sowie eigene Angriffsszenarien. Unter Zuhilfenahme von Standards zur Sicherstellung von Informationssicherheit wurde davon ausgehend ein Katalog von erkannten IoT-bezogenen Risiken zusammengestellt. Darauf basiert das vorgeschlagene, verbesserte Modell, welches organisatorische, applikationsbezogene und technische Maßnahmen zur Behandlung dieser Risiken beinhaltet. Dabei zeigt sich, dass nur Teile davon überhaupt durch Weiterentwicklung bestehender Sicherheitsmaßnahmen realisiert werden können, einige Ansätze jedoch neuartig sind und eine Veränderung der Sicherheitsarchitektur in einem Unternehmen notwendig wird. In der Praxis werden dabei insbesondere Mechanismen zur Authentifizierung, Autorisierung und der Sicherstellung des Datenschutzes zur Herausforderung, da dazu derzeit keine universell realisierbaren Konzepte vorliegen. Entsprechend dieser Erkenntnisse ist davon auszugehen, dass heute übliche Maßnahmen zur Sicherstellung der Informationssicherheit nicht ausreichend für einen IoT-Anwendungsfall sind.
• Recent and current media coverage as well as studies describe an alarming picture of the state of security in the Internet of Things (IoT). Prevalent vulnerabilities result in a comprehensive threat landscape, affecting information security in many aspects. This thesis aims to determine whether existing security models can cover security risks arising with the use of IoT devices in an enterprise network or new controls are necessary. As IoT is a very abstract term, exploring and defining an idea of this concept is the first step, followed by the identification and specification of the objectives of information security, which are confidentiality, integrity and availability. Attackers are permanently targeting computer networks, so enterprises need to implement suitable measures to protect data and information. A recapitulation of these procedures show that they consist of organizational, application specific and technical elements. Analyzing frame conditions of IoT devices infer, that new weak points and limitations must be considered when targeting IoT security. The application of a risk management process in this context, based on standards and best-practice approaches, reveals new IoT specific risks that need to be treated. The subsequent design of an adapted security model, consisting of controls in the identified scopes of application, shows that some of the existing measures can be extended to the use of IoT. But some issues cannot be covered, so that new approaches need to be applied. The discovered, insufficiently treated key fields are authorization, authentication and data privacy.