Dieses Bild hat keinen alternativen Text.
Brian A Jackson/ Shutterstock

Wenn der Toaster das Bankkonto leerräumt

Ein Trend der diesjährigen Internationalen Funkausstellung (ifa) in Berlin waren vernetzte Haushaltsgeräte. Oftmals in Kombination mit Sprachsteuerung und künstlicher Intelligenz (KI) werden Waschmaschine und Co. immer vielseitiger und leistungsfähiger. Sie sind über das Internet der Dinge miteinander verbunden, lassen sich von unterwegs steuern und geben Ratschläge zum Energiesparen. Doch bereits im Oktober 2016 zeigte die Malware Mirai, welche Gefahr vom Toaster auf dem Küchenschrank ausgehen kann. Mirai überlastete durch gezielte Distributed Denial of Service Attacken (DDoS) Netze und störte so Dienste wie Amazon, Twitter oder auch Netflix und verursachte sogar teilweise ihren Ausfall. Dabei zeigte Mirai – ein Botnet aus unsicher konfigurierten IoT-Geräten wie Toastern, Kaffeemaschinen oder Kühlschränken – lediglich, dass dringender Handlungsbedarf bei der Qualitätssicherung und Zertifizierung im Internet der Dinge (IoT, Internet of Things) besteht.

Generell lässt sich sagen, dass vier große Herausforderungen bei der Sicherheit im IoT bestehen: Um Sicherheitsprobleme bei IoT-Produkten über die gesamte Lebenszeit zu verhindern, müssen die Hersteller eine aktive Produktpflege über Updates betreiben. Dies fällt den Herstellern schon bei noch aktiv vertriebenen Produkten schwer. Nicht mehr im Handel befindliche Geräte werden schnell zu Elektroschrott, wenn kein sicherer Betrieb mehr möglich ist. Sicherheitsprobleme entstehen Geräteübergreifend, da Hersteller oft einfache Controller nutzen und ihre Software mithilfe der vom Hersteller herausgegebenen Firmware einfügen. So können über das IoT leicht eine große Menge an Devices angegriffen und sabotiert werden. Darüber hinaus lassen sich viele IoT-Geräte nicht vom Endkunden personalisieren, wodurch Sicherheitsprobleme durch die Ausnutzung von Fehlern in der Anmeldeprozedur bis hin zu weit verbreiteten Standardpasswörtern entstehen. Auch die Cloud, über die die Daten vom IoT-Gerät mit dem Hersteller oder einem seiner Partner ausgetauscht werden, stellt ein Sicherheitsproblem dar, sobald z. B. Sicherheitslücken auf den entsprechenden Servern bekannt werden.

IoT-Testen

Ein Ansatz, um das Internet der Dinge sicherer zu machen, ist es, IoT-Geräte hinsichtlich Funktionalität, Interoperabilität, Robustheit, Sicherheit und Vertrauenswürdigkeit zu testen. In der IoT-Community existieren dafür bereits Testwerkzeuge, allerdings sind diese oftmals unvollständig, werden nur wenig gewartet oder sind nur kommerziell verfügbar, sodass keine ganzheitliche Lösung zur Verfügung steht.

Einen anderen Ansatz verfolgt das vom Bundesministerium für Wirtschaft und Energie (BMWi) geförderte IoT-T Projekt, in dem eine auf dem quelloffenen Programmierwerkzeug Eclipse basierende IoT-Testware entwickelt wird. Das Projekt läuft vom 1. September 2016 bis zum 31. Dezember 2019. FOKUS-Wissenschaftler des Geschäftsbereichs SQC entwickeln eine Testware, die Unternehmen bei der Erstellung von IoT-basierten Lösungen und Produkten in den Bereichen Qualitätssicherung und Zertifizierung unterstützen soll. Die IoT-Testware setzt dabei auf automatisiert ausführbare Testsuiten für IoT-Protokolle und -Dienste. Dabei werden bewährte Technologien wie TTCN-3 verwendet. TTCN-3 ist ein etablierter Standard, um Protokolle zu testen. Seit 1998 stetig weiterentwickelt, wurden damit bereits VoIP, 4G und IPv6 getestet. Solche Protokolle sind die Grundlage für die Kommunikation zwischen vernetzten Dingen.

Zu den wichtigsten Aufgaben beim IoT-Testen zählt die Definition geeigneter Testsuiten, die sich z. B. aus Nutzerszenarien oder Anforderungen an die Geräte ableiten oder aus vorhandenen Testfällen zusammenstellen lassen. Auf der Grundlage der Architektur der zu testenden Systeme oder Objekte und der ausgewählten Testziele müssen die Zugangspunkte der Testsystem-Komponenten bestimmt werden. Für jeden Test wird dabei eine passende Aufteilung der Ablaufsequenz sowie ihre Zuordnung auf parallele Testkomponenten erforderlich, die die definierten Testschritte ausführen bzw. ein Umgebungsverhalten simulieren. Wie genau die IoT-Prüfmethoden eingesetzt werden, hängt von den jeweiligen Prüfobjekten und -zielen ab. Solche Prüfobjekte können z. B. sein:

- Mikrokontroller

- Protokollimplementierungen

- IoT-Gateways

- Server in der Cloud

- Endgeräte der Benutzer

- IoT-Infrastrukturen und -Lösungen

Bei bisher existierenden Testwerkzeugen werden häufig nur eingeschränkte Teilaspekte betrachtet, die unter Umständen zu keiner hinreichenden Qualitätsaussage führen. Besonders für KMUs und Startups mit begrenzten Kapazitäten fehlt es in der jungen IoT-Branche an einer kostengünstigen und umfassenden Lösung. Dabei ist wichtig, dass diese schnell und zuverlässig Qualität, Sicherheit, Skalierbarkeit sowie Interoperabilität überprüfen und nachweisen kann. Die Eclipse IoT-Testware soll vorhandene Lücken bei der Qualitätsprüfung von IoT-Geräten bzw. IoT-Lösungen schließen und damit deren hinreichen Zertifizierung ermöglichen. Die IoT-Testware wird von Fraunhofer FOKUS als komplette Open Source Technologie zur Verfügung gestellt.

KI als neues Heilmittel bei der Qualitätssicherung?

Künstliche Intelligenz (KI) ist mangels einer allgemein akzeptierten Definition von Intelligenz ein schwer greifbarer Begriff. Je nachdem in welcher Ausprägung sich diese Intelligenz befindet, sprechen wir von starker oder schwacher KI. Schwache Künstliche Intelligenz kann uns bereits heute bei konkreten Anwendungsproblemen unterstützen. So werden gerade im Internet der Dinge immer häufiger KI-Technologien eingesetzt. Beispiele dafür sind das autonome Fahren, die Parkraumüberwachung, Analyse von Inhalten in der Medienbranche, selbstorganisierende Netze im Telekommunikationssektor oder KI-basierte Industrial Internet of Things-Lösungen für die Produktion. Beim Einsatz von KI müssen aber immer auch die Wirtschaftlichkeit, Sinnhaftigkeit, Nachvollziehbarkeit, Zertifizierbarkeit, Sicherheit, DSGVO-Konformität und Zukunftssicherheit im Blick behalten werden. So finden z. B. in der Automobilindustrie in Normen wie der ISO 26262 KI-Ansätze keine Berücksichtigung im Rahmen einer Zertifizierung, wodurch sich für Automobilhersteller ganz neue Haftungsfragen stellen. Gerade in Bezug auf IT-Sicherheit und Datenschutz bestehen bei KI-Methoden Risiken. Oft besteht kein detailliertes Verständnis der Funktionsweise von solchen Verfahren, wodurch sie anfällig für Manipulationen sind. So lassen sich z. B. digitale Verkehrszeichen mit für den Menschen nicht wahrnehmbarem Rauschen oder subtilen Manipulationen so modifizieren, dass diese von Machine Learning-Systemen – mit denen IT-Systeme in die Lage versetzt werden, auf Basis vorhandener Datenbestände und Algorithmen Muster und Gesetzmäßigkeiten zu erkennen und Lösungen zu entwickeln – völlig anders und damit falsch interpretiert werden. Dies hat im Zweifelsfall Folgen für die Sicherheit der Fahrzeuginsassen von hochautomatisiert fahrenden Automobilen und anderen Verkehrsteilnehmern. Zudem gibt es bereits Methoden, mit denen die zum Training herangezogenen Daten aus einem trainierten System wieder extrahiert werden können, wodurch Probleme beim Datenschutz entstehen. Trotz dieser Herausforderungen werden KI-Systeme immer weiter zum Einsatz kommen. So wird zum Beispiel in der Luftfahrt ein großer Wettbewerbsvorteil durch KI-Systeme sowohl am Boden, Flughafen, in der Entwicklung und Wartung von Flugzeugen und bei der Flugsicherung gesehen. Konkret könnte ein solches System Fluglotsen bei der Reihung der anfliegenden Flugzeuge unterstützen. Fraunhofer FOKUS untersucht in einem Luftfahrtforschungsprojekt Methoden zur Qualitätssicherung, die für die Zertifizierung von KI in der Luftfahrt notwendig sind. Darüber hinaus erforschen die Wissenschaftler eine entsprechende Methodik zur Zertifizierung.

In welchen (Anwendungs-)Fällen KI Sinn macht und wo sie als Werkzeug zur Lösung spezieller (Teil-)Probleme beitragen kann, zeigt Fraunhofer FOKUS in einem neuen Strategiepapier zur KI, dass noch in diesem Jahr erscheinen wird.

Fitmachen für die Qualitätssicherung im Internet der Dinge

Die FOKUS-Akademie bietet hochkarätige IKT-Schulungen für IKT-Verantwortliche, Entwicklerinnen und Entwickler, Projektleiterinnen und Projektleiter und Führungskräfte aus kleinen und mittelständischen Unternehmen (KMU), Industrie und öffentlicher Verwaltung an. Zusammen mit dem German Testing Board hat sie die Schulung »Certified Professional for IoT« entwickelt. Die Schulung bietet der Industrie Know-how in Form von Methoden und Leitlinien zur Absicherung der Qualität von IoT-Lösungen. Dabei geht es insbesondere darum, wie die Qualitätssicherung für das Internet der Dinge aussehen kann. Neben technischen Rahmenbedingungen sind dabei auch gesellschaftliche Fragestellungen wie Sicherheit, Datenschutz und sogar Ethik zu betrachten. Die Kombination dieser Aspekte erhöht zunehmen die Komplexität der Projekte und Lösungen in dem Bereich. Die nächste Schulung findet vom 10. bis 12. Dezember bei Fraunhofer FOKUS statt.