Creating Impetus for a Secure Internet of Things

Please see below for the German version of this post.

Creating Impetus for a Secure Internet of Things

The world is becoming an increasingly networked place, and this trend is being accompanied by a growth in the number of threats we face from data manipulation and theft, attacks from criminal hackers, and even state intelligence services. This affects companies, infrastructures and private users alike. According to the latest surveys, half of all Internet users do not regard their data as secure on the Internet – an alarming statistic. For businesses, customer trust is just as much a foundation of their business models as it is for the digital communication and transactions engaged in by citizens. The use of encryption and other protective mechanisms is vital to guaranteeing network security. In this sphere companies have a high degree of responsibility for ensuring that such technologies are available to everybody in readily usable form.

As a technology developer with several years of expertise in the secure connections market, NXP is advocating a change of perspective in this environment: one which places data protection and the security of end customers and users at the heart of the networked world.

  • Comprehensive privacy protection
    The open network within which people and things communicate is highly vulnerable. The data created and exchanged can always be linked with people as users and with their identities. If this personal data falls into the wrong hands, or if it is falsified or damaged, what arises are threats such as the invasion of personal privacy and violation of informational self-determination, the creation of user profiles, data espionage, and the manipulation of data for fraudulent purposes or in order to launch attacks.
    What effective security concepts for today’s networked world need to do is make both protection of data and the anonymity of end customers and users a top priority. To achieve this, the integrity of data from the networked world – of the devices, things and sensors with which people exchange information – must be guaranteed at all times. Whatever method is chosen, however, protecting user rights (in the form of informational self-determination, data sovereignty and privacy) requires “human” identities to be kept separate from device identities. An example of anonymization technology can be found in the IEEE 1609 standard applied in vehicle communication (V2X): in line with this, vehicles constantly use new “pseudo-identities” during communication processes, making it impossible to track a driver’s route on the basis of an unchanging vehicle identity.
  • Safeguarding data sovereignty
    In the extensively networked environment that is the Internet of Things, protection against undesired flows of data is particularly crucial. People and companies must themselves have complete sovereignty over who is able to retrieve data from the devices they use, and what kind of data this is. This requires absolute certainty in knowing which other (external) device wishes to access internal data – so a person controlling their smart home from a smartphone, for example, must be sure that there is no way for third parties to gain access to their data and devices too.
  • Data security and data protection go hand in hand
    Networked devices must observe the principles of “Security by Design”; in other words, they must be designed in a way that either rules out manipulation of their integrity or, at the very least, makes this as difficult as possible. It is also essential to ensure that a digital device identity protects the user’s anonymity, something which requires the use of available Privacy-by-Design technology in order to anonymize the user and protect their privacy (e.g. multiple keys, anonymous attestation and zero-knowledge protocols).
  • Verifiable security standards
    Verifiable minimum security standard are essential to achieving maximum commitment in the efforts to apply the security mechanisms referred to here in the Internet of Things. An independent security assessment institute may be the way to ensure that standards are implemented and adhered to on this basis. Not only would this be to the benefit of security in the IoT, it would also enhance companies’ and users’ trust in the used technology.

NXP continually engages with representatives from science, industry, politics, associations and organizations in publicly discussing its proposals for regulations to protect users and their data in the Internet of Things. As part of this engagement, NXP has created the communications platform “Me&My Smarter World”. The most recent example of this series was the panel discussion Smart and Secure – How to protect Drivers and their Data, which took place at this year’s IAA motor show in Frankfurt. Here, NXP discussed data security with Andy Greenberg, writer of the Wired article on the Chrysler Jeep hack; Dr Tobias Miethaner, Head of the Digital Society Department at the German Federal Ministry of Transport and Digital Infrastructure; plus other representatives from business, industry and specialist media.

Please find more information on Certified Security in the Internet of Things here.

————————————————————————————————————————————

Impulse für ein sicheres Internet der Dinge

Mit der fortschreitenden Vernetzung der Welt wächst auch die Zahl der Bedrohungen durch Manipulationen, Datendiebstähle und Angriffe krimineller Hacker und staatlicher Nachrichtendienste auf Unternehmen, Infrastrukturen und die Privatsphäre von Nutzern. Laut aktuellen Umfragen hält die Hälfte der Internetnutzerinnen und -nutzer ihre Daten im Netz nicht für sicher. Das ist alarmierend: Denn für die Wirtschaft ist das Vertrauen der Kundinnen und Kunden ebenso Grundlage ihrer Geschäftsmodelle wie für die digitale Kommunikation und Transaktionen der Bürgerinnen und Bürger. Der Einsatz von Verschlüsselungs- und anderen Schutzmechanismen ist erforderlich, um die Sicherheit im Netz zu gewährleisten. Dabei kommt den Unternehmen ein hohes Maß an Verantwortung zu, um solche Techniken einfach nutzbar für jedermann anzubieten.

NXP als Technologieentwickler und langjährige Experten im Markt für sichere Verbindungen tritt vor diesem Hintergrund für einen Perspektivwechsel ein, der den Schutz der Daten und die Anonymität der Endkunden und Anwender in den Mittelpunkt der vernetzten Welt stellt.

Umfassender Schutz der Privatsphäre
Das offene Netzwerk, in dem Menschen und Dinge kommunizieren, zeigt eine hohe Verletzlichkeit. Erzeugung und Austausch von Daten lassen sich immer mit dem Menschen als Nutzer verbinden, mit seiner Identität. Gelangen diese persönlichen Daten in die falschen Hände oder werden sie verfälscht oder beschädigt, drohen Gefahren wie die Verletzung der Privatsphäre und der informationellen Selbstbestimmung, die Erstellung von Nutzerprofilen oder das Ausspähen oder Manipulieren von Daten (Betrug, Angriffe).

Wirksame Sicherheitskonzepte für die vernetzte Welt müssen vielmehr den Schutz der Daten und die Anonymität der Endkunden und Anwender in den Mittelpunkt stellen. Die Integrität von Information aus der vernetzten Welt – von Geräten, Dingen und Sensoren, mit denen der Mensch im Austausch steht – muss dazu jederzeit gewährleistet sein. Zum Schutz der Nutzerrechte (informationelle Selbstbestimmung, Datensouveränität, Privatheit) sind „menschliche“ Identitäten aber in jedem Fall von Geräteidentitäten zu entkoppeln. Ein Beispiel für eine solche Anonymisierungstechnologie ist die in der Fahrzeugkommunikation (V2X) verwendete IEEE 1609-Norm, nach der Fahrzeuge bei Kommunikationsvorgängen immer neue „Pseudoidentitäten“ verwenden. Dadurch entfällt die Möglichkeit, den Weg eines Autofahrers anhand der immer gleich bleibenden Identität seines Fahrzeugs zu verfolgen.

Datensouveränität sichern
Schutz vor unerwünschtem Datenflüssen ist in der umfassend vernetzten Welt des Internets der Dinge besonders wichtig. Die Menschen und Unternehmen selbst müssen die absolute Hoheit darüber behalten, wer welche Daten aus den von ihnen genutzten Geräten abrufen kann. Dies setzt voraus, dass absolut zweifelsfrei erkennbar ist, welches andere Gerät von außen auf die internen Daten zugreifen will. Wer beispielsweise sein vernetztes Smart Home von seinem Smartphone aus steuert, muss sicher sein können, dass es Dritten unmöglich ist, sich nicht ebenfalls einen Zugang zu seinen Daten und Geräten zu verschaffen.

Datensicherheit und Datenschutz gehen Hand in Hand
Vernetzte Geräte sind so auszugestalten, dass Manipulationen ihrer digitalen Identität ausgeschlossen oder zumindest maximal erschwert werden (Security by Design). Gleichzeitig ist dabei sicherzustellen, dass die Anonymität des Nutzers gewahrt bleibt. Hier müssen die verfügbaren Privacy-by-design Technologien zur Anonymisierung des Anweders und zum Schutz seiner Privatsphäre angewendet werden (z.B. Multiple Schlüssel, Anonymous Attestation und Zero-Knowledge Protokolle).

Verifizierbare Sicherheitsstandards
Um eine möglichst hohe Verbindlichkeit beim Einsatz der genannten Schutzmechanismen im Internet der Dinge zu erreichen, bedarf es verifizierbarer Mindestsicherheitsstandards. Eine unabhängige Prüfinstanz – eine Art „Security-TÜV“ – kann auf dieser Grundlage die Umsetzung und Einhaltung der Standards garantieren. Dies käme nicht nur dem Sicherheitsniveau im IoT zu Gute, sondern würde auch das Vertrauen von Unternehmen und Verbrauchern in die verwendeten Technologien stärken.

NXP diskutiert seine Vorschläge für Regelungen zum Schutz von Anwendern und deren Daten im Internet der Dinge immer wieder öffentlich mit Vertretern aus Wissenschaft, Industrie, Politik, Gesellschaft und Verbänden. Dazu hat NXP die Kommunikationsplattform „Me&My Smarter World“ geschaffen. Jüngstes Event in dieser Veranstaltungsreihe war das Panel Smart and Secure – How to protect Drivers and their Data während der diesjährigen IAA in Frankfurt, auf der NXP das Thema Datensicherheit mit Andy Greenberg, dem Autor des Wired-Beitrags über den Chrysler Jeep Hack, Dr. Tobias Miethaner, Leiter der Abteilung Digitale Gesellschaft im Bundesverkehrsministerium sowie weiteren Vertretern aus Wirtschaft, Industrie und Fachmedien diskutiert hat.

Mehr Informationen zu zertifizierter Sicherheit im Internet der Dinge finden Sie hier.

 

During the Panel Discussion Smart and Secure – How to protect Drivers and their Data at this year’s IAA motor show // Während der Diskussionsrunde Smart and Secure – How to protect Drivers and their Data auf der diesjährigen IAA in Frankfurt: from right to left // v.l.n.r.: Dr. Thomas Wollinger, Managing Director, Escrypt; Lars Reger, CTO Automotive, NXP; Dr. Daniel Hobohm, Global Head of Product Lifecycle Management – Intelligent Transport Systems, Siemens AG; Markus Albers, Managing Partner, Rethink.

B

Dr. Mathias Wagner, Chief Security Technologist, NXP, at the Panel Discussion Smart and Secure – How to protect Drivers and their Data at this year’s IAA motor show in Frankfurt. // Dr. Mathias Wagner, Chief Security Technologist, NXP, auf der Veranstaltung Smart and Secure – How to protect Drivers and their Data auf der diesjährigen IAA in Frankfurt.

Lars Reger
Lars Reger
Lars Reger, Senior Vice President, is Chief Technology Officer at NXP Semiconductors. As CTO, Lars is responsible for managing new business activities and R&D in the focus markets of Automotive, Industry 4.0., Internet of Things, Mobile, and Connectivity & Infrastructure. NXP has the broadest processor portfolio for the Internet of Things and is the world's largest chip supplier to the automotive industry. NXP and its global team of experts drive the development of autonomous, securely connected vehicles and accelerate the introduction of smart and securely connected devices for the Internet of Things through its outstanding edge computing expertise. Before joining NXP, Lars gained deep insight into the microelectronics industry with a focus on the automotive sector. He began his career with Siemens Semiconductors as Product Engineer in 1997. His past roles at Infineon included Head of the Process and Product Engineering departments, Project Manager for Mobile System Chips, and Director of IP Management. Prior to joining NXP as CTO of the automotive division in 2008, he was responsible for business development and product management within the Connectivity Business Unit at Continental. In December 2018 Lars was appointed CTO and has since then been responsible for the overall technology portfolio of NXP.

Comments are closed.

Buy now