Interview | Benötigt IoT Standards?

Am 18. Oktober 2017 lädt das Austrian Standards Institute zu einer hochkarätig besetzten Veranstaltung zum Themea „Big Data, Cloud, Datenschutz & Co – mit Standards zum Erfolg“. Moderiert wird der inhaltlich anspruchsvolle Vortragstag von Herrn Prof. Dr. Manfred Wöhrl. Wir haben den Security-Experten vorab nach seiner persönlichen Meinung gefragt und wollen uns von ihm auf die interessante Veranstaltung einstimmen lassen.

Prof. Dr. Manfred Wöhrl ist aktuell in 4 Arbeitskreisen des Austrian-Standard-Instituts aktiv tätig - speziell auch zum Thema EU-DSGVO.
Prof. Dr. Manfred Wöhrl moderiert am 18. Oktober 2017 den IoT-Fachkongress 2017 des Austrian Standards Instituts.

Manfred Wöhrl ist seit mehr als 35 Jahren im Bereich der IT mit den Spezialgebieten Innovative Technologien und IT-Security tätig, war Gründer und Leiter der staatlichen Versuchsanstalt für Datenverarbeitung an der HTL-Spengergasse, sowie Lektor an der Universität Wien, Lehrbeauftragter an der Donauuniversität, der WU-Wien und der FH- Krems. Derzeit ist er Geschäftsführer der R.I.C.S. EDV-GmbH und der Digital-Society-Institut GmbH, Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen, Autor  von  Fachartikeln und gerichtlich beeideter Sachverständiger, sowie aktiv tätig in 4 Arbeitskreisen des Austrian-Standard-Institut, speziell auch zum Thema EU-DSGVO.

Inwieweit benötigt IoT Standards?

IoT benötigt definitiv Standards – und zwar dringend! Bei derzeit mehr als geschätzten 20 Milliarden weltweit aktiver IoT-Devices gibt es zwei gravierende Probleme. Erstens stellt sich die Frage des sicheren Betriebes aus dem Blickwinkel Zugriffssicherheit. Auf der anderen Seite steht man vor dem Problem der geringen Integrierbarkeit mangels offengelegter Schnittstellen.

Gibt es hierfür Lösungsansätze?

In beiden Fällen bieten Standards einen Lösungsansatz, von „Security by Design“ bzw. „Privacy by Design“ bis zu internationalen Schnittstellenstandards. Und darin liegen die besonderen Schwierigkeiten: Diese Standards dürfen  bei einem weltweiten IoT-Markt nicht nur mit nationalen Standards und Gesetzen definiert werden, auch EU-weite Richtlinien und Verordnungen reichen dafür nicht aus.

Erste Ansätze auf nationaler Ebene stellen Aktivitäten zur Definition von einem lokalen „IoT-Gütesiegel“ dar, das zum Beispiel in Österreich im Umfeld von IoT-Austria diskutiert wird.

Und was muss auf europäischer bzw. internationaler Ebene passieren?

Wie bereits erwähnt sind für einen weltweiten Ansatz zur Lösung der Probleme internationale Vorgaben unabdingbar. Seit einiger Zeit beschäftigt sich die Europäische Union mit der Organisation AIOTI (Alliance for Internet of Things Innovation, https://aioti.eu/) mit dem Thema und vor allem die ISO. Allerdings ist der Standardisierungsprozess bei der ISO langwierig und es dauert einige Zeit bis aus den „Drafts“ entstandene Regelwerke tatsächlich verpflichtend für die Entwickler von IoT-Devices werden.

In der Praxis hatte sich gezeigt, dass sogenannte „Industriestandards“, die auf Basis der Qualität entwickelter Produkte – oder auch der Marktführerschaft von Unternehmen  – den Markt dominieren, sich schneller in der Praxis durchsetzen und erst im Nachhinein als offizielle Standards in zuständigen Gremien definiert wurden.

IoT und Security gehören zusammen. Spricht man über vernetzte Dinge, muss parallel immer die Sicherheit in den Fokus rücken – welche Rolle spielen in diesem Zusammenhang Standards?

Wenn wir über die Internet der Dinge sprechen und speziell auch über „industrial IoT“ (IIOT – oder in anderen Worten Industrie 4.0) ist das Thema Security unabdingbar! Daher spielen in diesem Zusammenhang alle Standards zu diesem Thema eine Rolle. Diesem Umstand trägt auch der Sammelband des Austrian Standard  Instituts Rechnung, der im Rahmen des IoT-Fachkongressess 2017 veröffentlicht wird. Darin sind die wesentlichen Standards der Serie ISO 27000 und in weiterer Folge zum Thema BCM (Business Continuity Management) beinhaltet. Ein wesentlicher Inhalt aller dieser Standards betrifft Managementsysteme, wie man Prozesse optimal in einem Unternehmen zu organisieren hat.

Welche Rolle spielt hierbei das Austrian Standards?

Bei einer Reihe von Standardisierungsverfahren vertritt das Austrian Standards Institute und der Österreichische Verband für Elektrotechnik in einer Joint-Workinggroup JWG ASI/OVE 001.41, die ich persönlich leiten darf, Österreich bei den internationalen Standardisierungsbestrebungen bezüglich Internet der Dinge. Eine Reihe von Standards steht kurz vor der Fertigstellung.

Zum Beispiel  ISO/IEC CD 30141: „Information technology – Internet of Things Reference Architecture (IoT RA)“ Spezielle Drafts werden zu Standards im Bereich einheitliche Übertragungs-und messtechniken führen, wie z.B. ISO/IEC 20922: „Information technology — Message Queuing Telemetry Transport (MQTT) v3.1.1“

Zu erwähnen wäre noch ein Final Draft ISO/IEC 29161 zum Thema „Information technology — Data structure — Unique identification for the Internet of Things“.

Momentan ist die Datenschutz-Grundverordnung in aller Munde. Müssen sich Unternehmen vor dem Start fürchten?

Derzeit ist Datenschutz Grundverordnung deswegen in aller Munde, da sehr hohe Strafzahlungen bei nicht Einhaltung ab dem 25. Mai 2018 drohen. Es besteht daher zu Recht der dringende Bedarf, firmeninterne Prozesse, bei denen personenbezogene Daten verarbeitet werden, bis zu diesem Zeitpunkt auf Einhaltung der EU-Verordnung sowie des  überarbeiteten österreichischen Datenschutzgesetzes zu überprüfen und anzupassen. Gleichzeitig gilt aber in der österreichischen Rechtsprechung die Regel der Verhältnismäßigkeit – damit ist bei Nichteinhaltung nicht sofort mit der Höchststrafe zu rechnen.

Und zusätzlich soll nicht unerwähnt bleiben, dass eine hohe Rechtsunsicherheit bezüglich des im Juni 2017 novelliert Datenschutzgesetzes in vielen Detailpunkten („Öffnungsklauseln“- weiterführende Informationen) besteht, da diese Gesetzesnovelle ohne Rücksichtnahme auf die Stellungnahmen von (vorerst zur Stellungnahme eingeladenen) Stakeholdern  umgesetzt wurde. Damit besteht im Klagsfall durchaus ein nicht geringes Prozessrisiko, auch bei scheinbar klaren Fällen. Es ist anzunehmen (und auch zu hoffen) dass in absehbarer Zeit eine weitere Novelle des Datenschutzgesetzes folgen wird.

Hätte es Entscheidungen diesbezüglich schon früher geben müssen oder sind wir hier noch zeitlich im Rahmen?

Die Zeit wird knapp – es hängt vor allem von zwei Faktoren ab, inwieweit wir uns noch im zeitlichen Rahmen befinden: der Größe des Unternehmens und (damit verbunden) der Komplexität der Prozesse, in denen personenbezogene Daten verarbeitet werden.

Eine Reihe von internationalen Unternehmen und Konzernen sind schon seit Bekanntwerden des Stichtages 25. Mai 2018 mit ihren  Compliance-Verantwortlichen aktiv mit der Überarbeitung ihrer Prozesse beschäftigt. Ich sehe die Probleme speziell bei kleinen und mittleren KMUs, die den Aufwand für eine konforme Prozessanpassung bis heute unterschätzt haben. Diese haben extremen Handlungsbedarf. Dabei ist zu beachten, dass es sich nicht nur um eine rechtliche Frage handelt, sondern speziell auch um eine technisch/ organisatorische Umsetzung von Maßnahmen. Gerade dieser Teil wird bei einer Reihe von Informationsveranstaltungen zu diesem Thema geradezu sträflichst vernachlässigt.

Der IoT-Fachkongress 2017 zeigt einmal mehr wie sehr IoT die Welt verändert. Gibt es den gläsernen Menschen oder Mitarbeiter schon?

Definitiv ja! Das hängt mit zwei Entwicklungen der letzten Jahre zusammen: Der Kampf gegen den Terrorismus, unter dem Motto „Wenn du etwas verbergen willst, bist du verdächtig!“ Außerdem bemerkt man eine hohe Bereitschaft, Daten freiwillig in sozialen Netzen uneingeschränkt freizugeben – „Ich habe ja nichts zu verbergen“.

Im Businessumfeld spielen Zutrittskontrollsysteme ebenso eine wichtige Rolle wie die Überwachung der Mitarbeiter beim Umgang mit kritischen Daten. Umso wichtiger ist es, dass die EU erkannt hat, dass dringender Handlungsbedarf besteht und mit der EU-DSGVO prinzipiell ein wichtiger Schritt zum Schutz der Privatsphäre des Bürgers geschaffen wurde.

Was verspricht der IoT-Fachkongress 2017 seinen Besuchern?

Der IoT-Fachkongress 2017 bringt erstmals die Themen IoT-Big Data-Cloud  und Security in den Zusammenhang mit dem Datenschutz. Gerade bei der Umsetzung der Datenschutz Grundverordnung wird oft vergessen, woher die Risiken drohen: von Überwachungskameras und Drohnen im privaten und kommerziellen Umfeld bis hin zur Verbindung pseudonymisierter Informationen im Big Data-Umfeld mit der Gefahr eines  Rückschlusses auf private Daten. Die exponentielle Zunahme der Möglichkeiten für Hackerangriffe durch die steigende Anzahl von unsicheren IoT-Devices nicht zu vergessen.

Weitere Infos und Anmeldung unter: www.austrian-standards.at/iot

Über Manfred Wöhrl:

Manfred Wöhrl ist seit mehr als 35 Jahren im Bereich der IT mit den Spezialgebieten Innovative Technologien und IT-Security tätig, war Gründer und Leiter der staatlichen Versuchsanstalt für Datenverarbeitung an der HTL-Spengergasse, sowie Lektor an der Universität Wien, Lehrbeauftragter an der Donauuniversität, der WU-Wien und der FH- Krems. Derzeit ist er Geschäftsführer der R.I.C.S. EDV-GmbH und der Digital-Society-Institut GmbH, Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen, Autor  von  Fachartikeln und gerichtlich beeideter Sachverständiger, sowie aktiv tätig in 4 Arbeitskreisen des Austrian-Standard-Institut, speziell auch zum Thema EU-DSGVO.