Bevor wir darüber sprechen, wie wir unsere Geräte absichern, müssen wir klären, wogegen wir sie absichern. Hier kommt der Gedanke eines Bedrohungsmodells ins Spiel. Ein Bedrohungsmodell ist einfach eine Beschreibung der Risiken, die wir berücksichtigen, und der Annahmen, die wir über die Umgebung treffen, in der unsere Geräte betrieben werden. Es bestimmt, wie wir Hardware, Software und betriebliche Abläufe gestalten.
Sobald man Hardware in einem Zimmer platziert, wird die Diskussion über Sicherheit sehr konkret. Menschen fragen sich naturgemäss, was das Gerät tut. Wie funktioniert es? Kann es mich sehen? Kann es mich hören? Kann es mich verfolgen? Dies sind keine Geräte, die in einem abgeschlossenen Serverschrank verstaut sind. Sie befinden sich im privaten Rückzugsbereich einer Person, manchmal in den schwierigsten Momenten ihres Lebens, und wir tragen die Verantwortung, auf diese Bedenken einzugehen und dafür zu sorgen, dass man sich in der Nähe des Geräts sicher fühlt. Unsere Geräte werden in teilweise überwachten Räumen betrieben, in denen sich Personen, Besucher und Personal täglich um sie herum bewegen. Diese Umgebung prägt, wie wir über Bedrohungen denken und wogegen wir uns schützen müssen.
Wir gehen davon aus, dass jemand kurzen, gelegentlichen Zugriff auf ein Gerät erhalten könnte. Vielleicht ist ein Besucher neugierig, vielleicht interagiert jemand anderes damit. Ein solcher kurzzeitiger Zugriff sollte nicht ausreichen, um ein Gerät zu öffnen, etwas anzuschliessen oder einen Modus auszulösen, der die normalen Schutzmassnahmen umgeht. Gleichzeitig können wir leistungsfähigere Angreifer, also Personen mit Werkzeugen oder Zeit, nicht vollständig ausschliessen, auch wenn dies in der Regel auf einen umfassenderen Einbruch auf Standortebene hindeuten würde. Das bedeutet, dass Vertrauen aus der Systemarchitektur entstehen muss und nicht allein aus dem Grad der Einsehbarkeit des Zimmers.
Die Lieferkette fügt eine weitere Dimension hinzu. Jedes Gerät besteht aus Komponenten, die durch mehrere Hände gehen, und für Teile des Prozesses und der Komponenten verlassen wir uns auf externe Partner. Ein realistisches Bedrohungsmodell muss die Möglichkeit einer Manipulation während dieser Schritte einbeziehen. Wir benötigen vorhersehbare Hardware, vertrauenswürdige Partner und konsistente Fertigungsverfahren.
Da wir eine grosse Flotte von IoT-Geräten betreiben, müssen wir auch Flotteneffekte berücksichtigen. Ein Netzwerk ist nur so stark wie seine schwächsten Glieder. Wir entwerfen unter der Annahme, dass ein einzelnes kompromittiertes Gerät keinen Zugriff auf irgendein anderes Gerät, irgendwelche sensiblen Daten oder irgendeinen Teil des übergeordneten Systems gewähren darf.
Da wir schliesslich im Gesundheitswesen tätig sind, ist der Datenschutz von Anfang an Teil des Bedrohungsmodells. Geräte sollten keine Informationen speichern, die Personen identifizieren oder sensible Details preisgeben könnten. Selbst im schlimmsten Fall eines physischen Zugriffs oder einer vollständigen Kompromittierung sollte ein Angreifer nichts Aussagekräftiges über den Menschen im Raum erfahren können.
Das mag nach viel klingen, doch Sicherheit ernst zu nehmen bedeutet auch, transparent über die Risiken zu sein und klar darzulegen, wie wir ihnen begegnen.