BSI-Empfehlungen zur Informationssicherheit von IoT-Infrastrukturen
Die Digitalisierung des öffentlichen Raums bedeutet sowohl Chance als auch Risiko. Das BSI veröffentlicht Empfehlungen zur planvollen Realisierung sicherer "Smart Cities/Regions".
Die Vision eines Internet of Things (IoT) wird zunehmend zur allgegenwärtigen Realität. Das äußert sich u.a. durch die forcierte Digitalisierung des öffentlichen Raums. Das Konzept der sogenannten Smart City bzw. Smart Region sieht neben der Digitalisierung einzelner Sektoren insbesondere deren Vernetzung vor, um von Synergieeffekten zu profitieren.
Ein wesentlicher Teil der GUTcert-Kunden kann diesen Sektoren im Prinzip direkt zugeordnet werden (Informationssicherheit, Umwelt, Energie, Gesundheitsvorsorge - z.B. DiGA), so dass die Problematik (perspektivisch) von zunehmender und unter Umständen auch ressortübergreifender Relevanz sein wird.
Aus technischer Sicht steht hinter dem Konzept der Smart Cities sowie deren weiterer Vernetzung zu Smart Regions die Idee des Internet of Things (IoT), womit die aktuelle Evolutionsstufe der Internet-Technologie gemeint ist. "Das IoT bezeichnet die Verknüpfung eindeutig identifizierbarer physischer Objekte (things) mit einer virtuellen Repräsentation in einer internet-ähnlichen Struktur. Es besteht nicht mehr nur aus menschlichen Teilnehmern, sondern auch aus Dingen." (Wikipedia) Die folgende Abbildung zeigt die prinzipielle Architektur des IoT für den Anwendungsfall Smart City.
Den daraus resultierenden Chancen und positiven Effekten – namentlich verbesserte Teilhabe und Lebensqualität in einer ökonomisch, ökologisch und sozial nachhaltigen Kommune oder Region auf Grundlage einer intelligenten IKT – stehen unbestreitbar signifikante, dem Internet inhärente (Sicherheits-) Risiken gegenüber. Um diesen Risiken bestmöglich und frühzeitig vorbeugend zu begegnen, publizierte das BSI im Ergebnis des Projekts "Secure Municipal IoT Infrastructures“ (SMIoTI) im Januar diesbezügliche Handlungsempfehlungen. Auf seiner Webseite führt das BSI dazu aus, dass die Handlungsempfehlungen im Wesentlichen die folgenden vier Vorschläge umfassen, die schon in der Planungsphase berücksichtigt werden sollten, um die Grundlage für sichere IoT-Infrastrukturen zu legen:
- Digitalisierungsbestrebungen in einer Kommune sollten in eine Digitalisierungsstrategie münden oder darauf aufbauen, um einen nachhaltigen Digitalisierungsprozess inklusive der dafür notwendigen übergeordneten Steuerung zu etablieren.
- Rollen, Verantwortung und mögliche Stakeholder sollten definiert/identifiziert sein, um ein strukturiertes Vorgehen zu unterstützen.
- Anwendungsfälle (insbesondere deren Nutzen) und deren Anforderungen (zum Beispiel organisatorisch, technisch, finanziell, personell, regulatorisch und insbesondere sicherheitsbezogen) sollten diskutiert und dokumentiert werden, um konkrete Zielvorstellungen mit Mehrwert zu entwickeln und eine vorausschauende Ressourcenplanung zu ermöglichen.
- Anhand der dokumentierten Anforderungen sollten Schutzbedarf bzw. Schutzziele der verarbeiteten Daten und Informationen ermittelt werden, um notwendige Sicherheitsmaßnahmen identifizieren und letztendlich umsetzen zu können.
Ansprechperson
Bei Fragen oder Hinweisen zum Thema Informationssicherheitsmanagementsysteme wenden Sie sich gern an Andreas Lemke.