Datenschutz- und Sicherheitsanforderungen im Internet der Dinge E-Book

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Impressum:

Copyright © Studylab 2018

Ein Imprint der GRIN Publishing GmbH, München

Druck und Bindung: Books on Demand GmbH, Norderstedt, Germany

Coverbild: GRIN Publishing GmbH | Freepik.com | Flaticon.com | ei8htz

Inhaltsverzeichnis

Zusammenfassung

Abkürzungsverzeichnis

Glossar

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung

1.1 Problemstellung

1.2 Zielsetzung

1.3 Vorgehensweise

2 Grundlagen

2.1 Das Internet der Dinge (IoT)

2.2 Datenschutz- und Sicherheitsanforderungen im Bereich IoT

2.3 IoT-Architektur

3 Stand der Wissenschaft

3.1 Das Internet der Dinge (IoT)

3.2 Datenschutz- und Sicherheitsanforderungen im Bereich IoT

3.3 IoT-Architektur

4 IoT-Framework

4.1 Funktionale Komponenten

4.2 IoT-Plattform

4.3 Schichtenmodell der IoT-Architektur

5 Datenschutz und Sicherheit

5.1 Probleme und Gefahren im Bereich IoT

5.2 Anforderungen im Bereich IoT

5.3 Relevante Aspekte und Faktoren zur Umsetzung der Anforderungen

6 Analyse der Referenz-Architekturen

6.1 Allgemeines

6.2 FIWARE

6.2.1 Übersicht

6.2.2 Implementierung der datenschutz- & sicherheitsrelevanten Anforderungen

6.3 RERUM

6.3.1 Übersicht

6.3.2 Implementierung der datenschutz- & sicherheitsrelevanten Anforderungen

7 Bewertung der Referenz-Architekturen

8 Zusammenfassung

8.1 Umsetzung der architektonischen Anforderungen

8.2 Umsetzung der datenschutz- & sicherheitsrelevanten Anforderungen

9 Fazit

Literaturverzeichnis

Zusammenfassung

Das Internet der Dinge (engl: Internet of Things, Kurzform: IoT) stellt eine Zukunftsvision des Internets dar, in der Benutzer, Computer und „Dinge“ durch zentral verwaltete Sensoren und Aktoren bequem, automatisiert und ohne Bedienungsschwierigkeiten wirtschaftlich zusammenarbeiten. Diese „Dinge“ umfassen schon bald mehrere Milliarden von Geräten und Diensten – zu finden an Produkten und Maschinen als Sensoren sowie bei Menschen z.B. als Wearables – zur Verbreitung und Verarbeitung von Informationen und Daten aller Art. Neue und bestehende Kommunikationsmodelle werden unter Berücksichtigung der informationsverarbeitenden Infrastrukturen zur Datenerfassung erweitert und entwickelt. Diese müssen in der Lage sein, die erforderliche Leistungsfähigkeit und Zuverlässigkeit für die Verarbeitung und den Transport einer enormen Masse an Daten und Informationen zu gewährleisten. Da durch die Verarbeitung von wirtschaftlich relevanten, sowie personenbezogenen Daten und Informationen, die Kriterien Datenschutz und Sicherheit essentielle Anforderungen für IoT-Anwendungen darstellen, müssen ebenfalls Mechanismen für einen ausreichenden Schutz der eingesetzten Technologien und Kommunikationsmethoden für IoT implementiert werden. Eine vertrauenswürdige, effiziente und wirtschaftlich effektive Sicherheit, sowie die Wahrung der Privatsphäre aller beteiligten Geräte, Dienste und Personen sind deshalb unabdingbar, um die Vertraulichkeit und Integrität der gesammelten Daten gewährleisten zu können.

Schlüsselwörter

Internet der Dinge – Internet of Things – IoT – Sicherheit – Privatsphäre – Datenschutz – Architektur

Abkürzungsverzeichnis

Glossar

Abbildungsverzeichnis

Abbildung 1: Funktionale Komponenten einer IoT-Architektur, Quelle: In Anlehnung an Gluhak et al. (2016): S. 16.

Abbildung 2: Kerninfrastruktur des Internets der Dinge, Integration und Anwendungsfelder, Quelle: Vermesan et al. (2015): S. 16.

Abbildung 3: FIWARE-Architektur mit funktionalen Komponenten, Quelle: In Anlehnung an FIWARE (2017b).

Tabellenverzeichnis

Tabelle 1: Datenschutz- und sicherheitsrelevante Aspekte und Faktoren im Bereich IoT

Tabelle 2: Ausgewählte IoT-Referenzmodelle und deren Architekturschichten, Quelle: In Anlehnung an Gluhak (2016): S. 63.

1 Einleitung

Dieses Kapitel gibt einen ersten Einblick in die Problemstellung des Themenkomplexes und zeigt die Eingrenzung der Thematik auf. Weiter werden die wissenschaftliche Herangehensweise und die Gliederung der Arbeit aufgezeigt.

1.1 Problemstellung

Das Internet der Dinge (engl: Internet of Things, Kurzform: IoT) vereint eine Vielzahl von Technologien mit der Vision, eine vernetzte Welt sowohl für Unternehmen als auch für Endanwender zu schaffen. Jedoch müssen eine Vielzahl von datenschutz- und sicherheitsrelevanten Anforderungen betrachtet und implementiert werden, damit IoT trotz Einhaltung von Datenschutz und Privatsphäre verwirklicht werden kann. In dieser Arbeit werden grundlegende Eigenschaften und Architekturansätze von IoT als zukunftsweisender Technologieansatz identifiziert und diskutiert und mit bevorstehenden datenschutz- und sicherheitsrelevanten Anforderungen in Bezug gesetzt. Darüber hinaus werden Aspekte und Faktoren ausgearbeitet, die zu einer sicheren Umsetzung und Nutzung dieses technologischen Ansatzes benötigt werden. Darauf gründend werden zwei dominierende IoT-Architekturen näher betrachtet und ausgewertet. Ziel ist es, Schwachstellen und Verbesserungspotentiale dieser Architekturen im Kontext der datenschutz- und sicherheitsrelevanten Anforderungen aufzuzeigen, um daraus abzuleiten, wie zukünftige Modelle sicherer gestaltet werden können.

1.2 Zielsetzung

In dieser Arbeit werden sowohl die technischen Anforderungen an IoT als auch bestehende Sicherheitsbedrohungen und offene Herausforderungen diskutiert und mit bestehenden sowie zukünftigen Fragen hinsichtlich Datenschutz, Privatsphäre und Sicherheit verglichen. Weiter befasst sich die Arbeit mit der Analyse von Referenz-Architekturmodellen im Bereich IoT und deren Mechanismen zur Sicherung der Kommunikation. Weiter wird anhand zuvor ausgewählten Kriterien dargestellt, ob die ausgewählten Architekturen diese Anforderungen erfüllen. Die zentrale Forschungsfrage ist hierbei, welche datenschutz- und sicherheitsrelevanten Faktoren im Bereich IoT implementiert werden müssen und in welcher Tiefe diese in den ausgewählten Architektur-Referenzmodellen umgesetzt wurden. Resultierend daraus ergeben sich möglicherweise offene Handlungsfelder, die im Nachgang aufgezeigt werden.

1.3 Vorgehensweise

Für eine bessere Übersicht dieser Arbeit werden technische Definitionen – wenn davon auszugehen ist, dass sie im Allgemeinen nicht bekannt sind – in einem Glossar aufgeführt und kurz erläutert. Worte und Namen, die im Glossar enthalten sind, werden beim ersten Auftreten im Text kursiv dargestellt. Werden Begrifflichkeiten mehrmals genannt, wird auf eine weitere folgende kursive Darstellung verzichtet. Verweise im Glossar werden zur Abgrenzung der eigentlichen Arbeit separat geführt und nummeriert.

Mittels Primärliteratur wird in Kapitel 2 eine Grundlage zur Thematik präsentiert. Sekundärliteratur (Übersichtsarbeiten/Reviews) wird verwendet, um den derzeitigen Stand der Wissenschaft in Kapitel 3 abzubilden. Dabei spielen die Aspekte IoT im Allgemeinen, IoT-Architekturen, sowie Datenschutz und Sicherheit im IoT-Umfeld eine Rolle. Ebenfalls wird Primär- sowie Sekundärliteratur verwendet, um das IoT-Framework in Kapitel 4 zu beschreiben. Zur Ausarbeitung der datenschutz- und sicherheitsrelevanten Faktoren in Kapitel 5 wird auf Primär- und Sekundärliteratur zurückgegriffen, um die neuesten Erkenntnisse im Themenkomplex mit einzubinden. Dazu werden alle relevanten Informationen gesammelt und strukturiert aufgearbeitet, um eine Basis für den systematischen Vergleich der Referenzmodelle in Bezug auf datenschutz- und sicherheitsrelevante Faktoren in Kapitel 6 gewährleisten zu können. Weiter werden in Kapitel 6 zwei Referenz-Architekturen herangezogen und angesichts der zuvor definierten Aspekte beschrieben. Die Referenz-Architekturen werden:

a. nach dem Gesichtspunkt Open-Source ausgewählt, da dieser eine hohe Wiederverwendbarkeit erwarten lässt,

b. anhand der Beteiligung eines EU-Förderprogrammes ausgewählt, da hier viele renommierte Institutionen und Unternehmen beteiligt sind und somit von einer hohen allgemeinen Akzeptanz ausgegangen werden kann,

c. nach hohem Implementierungsgrad von datenschutz- und sicherheitsrelevanten Anforderungen innerhalb des Architekturmodells ausgewählt.

Dabei wird ebenfalls ein kurzer Überblick zum Aufbau und zur Verwendbarkeit dieser Architekturen gegeben. Hiernach werden in Kapitel 7 die Referenz-Architekturen mit den zuvor strukturierten datenschutz- und sicherheitsrelevanten Anforderungen verglichen. Die Beschreibung und der Vergleich geschehen hauptsächlich anhand bestehender Dokumentation der Modelle. Zur Beschreibung des FIWARE-Frameworks wird hierzu auf das im Internet online verfügbare FIWARE-Wiki sowie FIWARE-GitHub zurückgegriffen, da keine schriftliche Dokumentation in Druckform vorliegt.

In Kapitel 8 folgt eine Zusammenfassung der in Kapitel 6 und Kapitel 7 ausgearbeiteten Ergebnisse. Zur besseren Übersicht werden die betrachteten Referenz-Architekturen und deren architektonische Ansätze, sowie die Umsetzung der datenschutz- und sicherheitsrelevanten Anforderungen jeweils in einer eigenen Tabelle verglichen. Die Kollation wird dabei auf Grundlage einer Ordinalskala durchgeführt, da diese im Unterschied zu technischen und wirtschaftlichen Messgrößen besonders geeignet ist, um eine erste Ordnung für einen beurteilungsfähigen Vergleich darzustellen. Auf Basis einer reinen Literaturrecherche ist zum jetzigen Zeitpunkt ein anderes Bewertungsverfahren (z.B. Scoring) nicht valide genug, um die Ordinalskala noch weiter abzustufen oder um reale und verlässliche Messungen für eine Kardinalskala zu bestimmen. Dabei wird die Bewertung in Tabelle 2 mittels Ja/Nein-Abstufung vorgenommen, um einen direkten Vergleich der ausgewählten Architekturmodelle aufzeigen zu können. In Tabelle 3 hingegen wird eine Abstufung in vorhanden/teilweise vorhanden/nicht vorhanden realisiert, da hier eine reine Ja/Nein-Reflexion den ausgearbeiteten Konsens nicht deutlich genug widerspiegelt. In Kapitel 9 werden die ausgearbeiteten Punkte kritisch reflektiert und ein abschließendes Fazit gezogen.

2 Grundlagen

In diesem Kapitel werden grundlegende Begriffe der Thematik erklärt, um ein erstes Verständnis für einen tieferen Einstieg in den Themenkomplex in den darauffolgenden Kapiteln vorzubereiten.

2.1 Das Internet der Dinge (IoT)

Das Internet als Verbund von Rechnernetzwerken und autonomen Systemen hat unser Leben in den letzten Jahren drastisch verändert. Durch die Nutzung von E-Commerce-Plattformen, sozialen Netzwerken, Web 2.0 und dem nahezu von überall möglichen mobilen Internetzugriff ist diese Kommunikationsform ein fester Bestandteil in unserem alltäglichen Leben geworden. Hierüber können Informationen nicht nur abgerufen, sondern auch aktiv mitgestaltet werden.[1] Heute schon wird der Zugriff auf diese Dienste zu 66% über tragbare Endgeräte abgewickelt, wie eine Studie von ARD/ZDF 2016 ergibt – die Nutzung hat sich also in den letzten Jahren deutlich vom klassischen PC und Laptop auf das Smartphone verlagert und ist somit allgegenwärtig. Jedoch bedarf die Nutzung des Internets immer noch einer Interaktion mit einem Gerät – sei es das Smartphone oder Wearables, wie Smart-Watches, um Informationen eingeben und abrufen zu können. Dies soll sich jedoch in naher Zukunft ändern.[2]

Im Jahr 1999 schuf Kevin Ashton die Grundlage für IoT im Labor des Auto-ID-Centers am Massachusetts Institute of Technology (MIT). Ashton war einer der Pioniere mit seiner Idee, Informationen von Geräten mittels Radio Frequency Identification (RFID) automatisiert über das Internet zu versenden. Dieses Konzept stellte sich als zukunftsweisend heraus – wenn alle Geräte und Objekte des täglichen Lebens mit Identifikatoren und drahtloser Konnektivität ausgestattet wären, könnten diese Objekte untereinander kommunizieren und alle Informationen zentral von Computern verwaltet werden. Damit würde die Aufgabe, Daten der realen Welt manuell aufzunehmen und digital abzuspeichern, an Computer ausgelagert werden können, die anders als Menschen keiner limitierten Arbeitszeit und Aufmerksamkeitsspanne unterliegen. So wäre es möglich, beliebige Objekte jederzeit zu verfolgen und zu überwachen.[3] Dadurch kann eine hohe Prozessoptimierung erreicht und daraus resultierend erhebliche Kosten eingespart werden. Dieser Ansatz ist ein maßgeblicher Katalysator für den Durchbruch der nächsten industriellen Revolution, genannt Industrie 4.0.[4] Durch einen ständigen Informationserhalt der angebundenen Objekte können Dinge zeitsparend ersetzt, repariert oder bestellt werden und bedürfen weit weniger manueller Überprüfungen durch den Menschen. Dafür soll Objekten und Computern mittels Sensoren die Möglichkeit gegeben werden, die Welt ohne Interaktion des Menschen zu erkunden und messbar zu machen.[5]