Im Zug der fortschreitenden Digitalisierung werden Echtzeitsysteme immer wichtiger. In einer siebenteiligen Blogserie beleuchten wir diese aus unterschiedlichen Perspektiven:
- Teil 1: Sensoren
- Teil 2: Netzwerk-Kommunikation
- Teil 3: Unternehmensdaten
- Teil 4: Externe Daten
- Teil 5: Datenhaltung und -management
- Teil 6: Datenanalysen
- Teil 7: Informationssicherheit und Datenschutz (ISDS)
Sie lesen aktuell Teil 7 zu Informationssicherheit und Datenschutz.
Der siebte Teil unserer Blog-Serie über Echtzeitsysteme beschäftigt sich mit dem Thema Informationssicherheit und Datenschutz (ISDS). ISDS stellt eine Herausforderung für alle IT-Systeme dar und Echtzeitsysteme sind hier keine Ausnahme.
Daten, die in einem System vorliegen, sollen für die vorgesehenen Anwendungen jederzeit zur Verfügung stehen, vor Verlust geschützt sein und nicht mutwillig verändert werden können. Dies ist Informationssicherheit. Weiter sollen die Daten – auch berechtigten Benutzerinnen und Benutzern – keinen Zugriff auf Informationen erlauben, der nicht vorgesehen ist. Hier geht es überwiegend um persönliche oder personenbezogene Informationen. Das ist Datenschutz.
Der Rest dieses Blog-Beitrags geht auf die speziell für Echtzeitsysteme relevanten Herausforderungen im Bereich ISDS ein. Aspekte, die für alle IT-Systeme gelten, werden weitgehend ausgeblendet.
Weniger ist mehr: Was nie da war, kann nicht verloren gehen
Die Datenerhebung sowie das Einspeisen der Daten erfolgt bei Echtzeitsystemen naturgemäss automatisiert. Ebenfalls naturgemäss liegen die Daten an der Quelle im höchsten Detailgrad vor.
Eine allfällige Anonymisierung oder Filterung der Daten, zum Beispiel um die Privatsphäre zu schützen, muss also ebenfalls automatisiert sein und mindestens im Rahmen des Echtzeitsystems betrachtet, wenn nicht gar direkt darin vorgenommen werden.
Im Gegensatz dazu können Daten für retrospektiv arbeitende Systeme auch ausserhalb des betreffenden Systems und/oder manuell aufbereitet werden. Falls mehrere Partner gemeinsam die Wertschöpfungskette bilden, können Daten in jedem beliebigen Schritt anonymisiert oder anderweitig so bereitgestellt werden (z.B. aggregiert), dass sie von einer anderen Partei bedenkenlos weiterverarbeitet werden können.
Als Beispiel betrachten wir die Daten einer Zahlstelle für Autobahngebühren: für die Abrechnung der Gebühren erfasst eine Kamera sämtliche Fahrzeuge inklusive Nummernschild. Soll ein anderes Echtzeitsystem nun z.B. die Anzahl Fahrzeuge pro Zeiteinheit auswerten, ist das Nummernschild nicht relevant und es sollte nicht in den Eingabedaten für dieses System enthalten sein.
Situationsbedingt kann es auch möglich und sinnvoll sein, auf das Erfassen von bestimmten Daten ganz zu verzichten. Das ist das Prinzip der Datensparsamkeit. Zum einen wird so eine spätere Anonymisierung oder Randomisierung überflüssig und zum anderen wird das Vertrauen in das System und dessen Betreiber gesteigert. Ein aktuelles Beispiel hierfür stellen die Diskussionen um sogenannte «Contact Tracing-Apps» zur Bekämpfung der Ausbreitung von COVID-19 dar: Diese sollen aus Datenschutzgründen ohne Informationen über die Besitzerin oder den Besitzer des mobilen Geräts und ohne geographische Ortung funktionieren.
Daten über die gesamte Lebensdauer schützen
In der Informationssicherheit wird die Datenübermittlung oft getrennt von der Datenhaltung betrachtet. Auf Englisch spricht man von «Data in Transit» für die Datenübermittlung und von «Data at Rest» für die Datenhaltung.
Um Daten während der Übermittlung vor unberechtigter Verwendung oder Veränderung zu schützen, werden Verschlüsselungsverfahren eingesetzt. Da Verschlüsselung zu einem erhöhten Energiebedarf führt, ist diesbezüglich die Übermittlung von Daten von «kleinen» Sensoren ein speziell interessanter Fall. Für Sensoren, die autonom an abgelegenen Orten funktionieren müssen, kann diese zusätzliche Energie unter Umständen nicht zur Verfügung gestellt werden.
Daten eines einzelnen «kleinen» Sensors sind allerdings vielleicht für einen potenziellen Angreifer nicht so interessant. Gleichzeitig viele Sensoren abzuhören ist wiederum aufwändig. Aus diesen Gründen kann unter Umständen bewusst auf eine Verschlüsselung vom Sensor bis zum Empfänger der Messdaten verzichtet werden. Unter der Annahme, dass ab dem Empfänger genügend Energie zur Verfügung steht, können die Daten ab diesem Punkt verschlüsselt übertragen werden. Die Entscheidung hängt von verschiedenen Faktoren ab und muss für jede Datenquelle individuell gefällt werden.
Das Thema «Data in Transit» in ressourcenbeschränkten Sensornetzwerken ist auch Gegenstand aktueller Forschung:
«Security in Wireless Sensor Networks (WSNs) presents several well-known challenges stemming from all kinds of resource constraints of individual sensors. The problem of securing these networks emerges more and more as a hot topic.»
A. Praveena (2017)
Da für die Datenhaltung sowohl für Echtzeitsysteme wie andere Systeme oft Datenbanksysteme im weitesten Sinne zum Einsatz kommen, stellen sich im Bereich «Data at Rest» normalerweise keine speziellen Herausforderungen für Echtzeitsysteme.
Auch Datenbanken werden heute oft in der Cloud betrieben. Darum beschäftigen sich auch Cloud-Anbieter mit diesem Thema. Einen Überblick zum Thema Datenbanksicherheit am Beispiel der Azure-Plattform gibt dieser Artikel von Microsoft.
Da kann ja jeder kommen… Oder nicht?
In einem ähnlichen Rahmen wie die abhörsichere Übertragung von Daten ist die Echtheit (Authentizität) und Unveränderbarkeit (Integrität) der Daten zu betrachten. Wie alle IT-Systeme wird ein Echtzeitsystem aus einem Grund betrieben: damit Entscheidungen schneller oder präziser gefällt werden können, damit aktuelle Daten zur Weiterverarbeitung zur Verfügung stehen, damit Aufgaben schneller erledigt sind und so weiter.
Entscheidungsträgerinnen und Entscheidungsträger sowie weiterverarbeitende Systeme müssen sich auf die Qualität der Daten verlassen können. Aus diesem Grund ist es wichtig, dass das Echtzeitsystem nur erwartete Eingabedaten verarbeitet. Es soll nicht möglich sein, absichtlich falsche Datenpunkte einzuspeisen oder die schon eingelesenen Daten zu verändern.
Während die Anforderung, nur Eingaben aus erwarteten Quellen zu verarbeiten, für jedes System Sinn macht, lassen sich auf Kryptographie basierende Lösungen zur Sicherstellung der Authentizität der Sensordaten bei Echtzeitsystemen wiederum aus energietechnischen Gründen unter Umständen nicht einfach so einsetzen. Erlebt hatte dies vor ein paar Jahren ein Veloverleih-Startup dessen Zürcher Veloflotte von Querulanten digital in die Limmat verschoben und zum Valentinstag in einem grossen Herz auf der Stadtkarte angeordnet wurde.
Eine sehr starke Garantie bezüglich «Tamper-Proofing» bieten sogenannte Smart Contracts, also digital gespeicherte Verträge, die nach ihrer Erstellung nicht mehr verändert werden können und bei Eintreffen bestimmter Bedingungen automatisch ausgeführt werden. Die AXA-Versicherung hatte 2017 bis 2019 mit dem Produkt «Fizzy» eine Versicherung im Angebot, welche auf Smart Contracts basierte. Die vereinbarten Zahlungen an die Begünstigten, fällig bei Flugverspätungen von mehr als zwei Stunden, wurden von «Fizzy» kurz nach der Landung eines verspäteten Fluges vollautomatisch ausgelöst. Eine kurze Erklärung von Smart Contracts gibt es auf der Webseite der Hochschule Luzern.
Never touch a running system?
Unabhängig davon, ob Daten von Sensoren verschlüsselt übertragen werden, kann der Sensor selbst angegriffen werden. Das Ziel kann sein, die Daten abzugreifen, bevor sie verschlüsselt werden. Für jede Software werden im Verlaufe der Zeit Schwachstellen entdeckt und publiziert.
Ist ein Gerät von einer bekannten Schwachstelle betroffen, kann diese grundsätzlich durch ein Software-Update behoben werden. «Grundsätzlich», weil das Aktualisieren der Software von Sensoren eine Herausforderung darstellen kann.
«As it stands, many IoT devices are un-patchable, and as such, cannot be made secure.»
IEEE (2017) (Abschnitt 2 in „Best Practices“)
Viele sogenannte «Internet of Things»-Geräte (IoT-Geräte; also Alltagsgegenstände, die ans Internet angeschlossen werden) bieten keinen oder nur einen sehr umständlichen und fehleranfälligen Prozess, ihre ab Werk eingebaute Software auf eine neue Version zu bringen – falls die Software überhaupt mit (Sicherheits-)Updates versorgt wird. Je nach Anwendung und Anforderungen kann das schlimmstenfalls bedeuten, dass ein Sensor oder IoT-Gerät aus dem Verkehr gezogen werden muss.
Datenschutz als «nicht-technisches» Problem
Datenschutz ist weniger als Informationssicherheit ein technisches Thema. Viele Aspekte werden im Rahmen von juristischen Betrachtungen behandelt.
In der Schweiz wird das Inkrafttreten des auf der europäischen «Datenschutz-Grundverordnung (DSGVO)» (Englisch «General Data Protection Regulation GDPR») basierenden überarbeiteten Datenschutzgesetzes (Neues Datenschutzgesetzt, nDSG) für 2021 oder 2022 erwartet. Vom Parlament wurde die Revision des DSG im September 2020 verabschiedet. Nach Ablauf der Referendumsfrist wird der Bundesrat über das Inkrafttreten bestimmen. Der Bund hat die Pflichten von Unternehmen unter dem DSGVO zusammengestellt. Die Walder Wyss AG führt eine aktuelle Übersicht der DSG-Revision.
Für, zum Beispiel, ein System zum Speichern und Verarbeiten von Kontaktdaten, die zur Bekämpfung der Ausbreitung von COVID-19 von Restaurantgästen oder dem Publikum von Fussballspielen hinterlassen werden, ist Datenschutz ein wichtiges Thema. Unabhängig von den gesetzlichen Grundlagen steht es System-Betreibern selbstverständlich frei, strengere Regeln anzuwenden. Je nach Hintergrund kann dies eine «unique selling proposition» sein: zum Beispiel für Messenger-Apps auf Smartphones.
Zusammenfassung
Informationssicherheit und Datenschutz (ISDS) ist nicht nur, aber auch in Echtzeitsystemen ein ständiger Begleiter. Informationssicherheit ist dabei das technischere Thema, Datenschutz das juristischere. Für beides existieren im Projektmanagement Hilfsmittel, wie zum Beispiel die Schutzbedarfsanalyse gemäss HERMES (siehe Exkurs unten).
In der Schweiz ist das revidierte Datenschutzgesetz (nDSG) vom Parlament verabschiedet und tritt 2021 oder 2022 in Kraft.
Die technischen Mittel zur Sicherstellung von ISDS variieren je nach System. Da Echtzeitsysteme in der Regel einen hohen Automatisierungsgrad aufweisen, können in der Regel auch nur automatisierte Massnahmen eingesetzt werden.
Exkurs: Datenschutz und Informationssicherheit in IT-Projekten
Das Thema Datenschutz ist in IT-Projekten omnipräsent. So ist es auch in die Projektmanagementmethode HERMES der Bundesverwaltung der Schweiz integriert. Bereits in der Initialisierungsphase eines Projektes wird eine sogenannte Schutzbedarfsanalyse («Schuban») erstellt. Darin werden unter anderem die Anforderungen an die Vertraulichkeit und Integrität der Daten festgehalten und daraus der entsprechende Handlungsbedarf abgeleitet.
Dank dem im Rahmen von HERMES zur Verfügung gestellten Excel-Template ist die Schuban durch Beantworten von insgesamt neun Fragen in fünf Kategorien mit wenig Aufwand durchzuführen. Zudem deckt sie neben dem Datenschutz auch die Informationssicherheit ab.
Neben dem Bund bieten auch andere Organisationen, z.B. Bitkom, Informationen und Hilfsmittel zum Thema an. Der umfangreiche Leitfaden «Risk Assessment & Datenschutz-Folgenabschätzung» kann von der Bitkom-Website heruntergeladen werden.
Ein Gedanke zu „Fokus Echtzeitsysteme – Teil 7: Informationssicherheit und Datenschutz (ISDS)“
Kommentare sind geschlossen.