In dieser Folge spricht Gastgeberin Ing. Madeleine Mickeleit mit Peter Gaspar, Vertical Market Solutions und Leitung Solution Architecture bei A1 Digital. Thema: IoT-Security vom ersten Prototyp bis zur Skalierung. Im Fokus stehen SIM-basierte Identität, private APN, Anomalieerkennung im Netz und Praxisbeispiele wie Smart Metering.
Folge 187 auf einen Blick (und Klick):
Podcast Zusammenfassung
Wie sichern Unternehmen vernetzte Geräte wirtschaftlich und skalierbar?
Diese Folge richtet sich an IT- und OT-Verantwortliche, die viele Devices ins Feld bringen und PoCs in den Betrieb überführen. Die zentrale Frage lautet: Wie balanciert man Risiko, Kosten und Gerätegrenzen wie Batteriebetrieb und geringe Rechenleistung? Peter zeigt, wie vorhandene Netzfunktionen gezielt genutzt werden: SIM-basierte Authentifizierung liefert eine eindeutige Geräteidentität; private APN, IP-Filter, statische IP-Adressen, MPLS oder IPsec schützen die Kommunikation bis ins eigene Netz; netzseitige Anomalieerkennung warnt bei Auffälligkeiten und verhindert den Missbrauch entnommener SIM-Karten.
In kritischen Anwendungen wie Smart Metering kommen Zertifikatsmanagement, Ende-zu-Ende-Verschlüsselung, abgesicherte Firmware-Updates und Manipulationserkennung am Gerät hinzu.
Blick nach vorn: 5G eröffnet Optionen wie Network Slicing für getrennte Sicherheitsdomänen und die SIM als sicheres Element; das Design bereitet zugleich auf NIS2-Anforderungen vor. Ergebnis: ein passendes Sicherheitskonzept, das Geräte schont, Budgets schützt und skalierbar bleibt.
Hinweis: A1 Digital live treffen?
- Smart Country Convention Berlin 2025 (30.09–02.10),
- it-sa Expo&Congress (07.10–09.10),
- RecyclingAKTIV & TiefbauLIVE 2025 (09.10–11.10).
Für alle drei Events gibt es kostenlose Tickets über die A1-Digital-Landingpages.
Podcast Interview
Hallo, liebe Freunde des IoT, und herzlich willkommen zu einer neuen Folge im IoT Use Case Podcast. Heute sprechen wir über ein Thema, das viele von euch beschäftigt. Wie sichere ich meine IoT-Lösungen, vor allem wenn mehrere Geräte vernetzt sind, vom Wischroboter bis zur großen Industrieanlage? Wie bringe ich mein bestehendes Netzwerk auf den aktuellen Stand? Erfüllt es bereits wichtige Sicherheitsanforderungen oder was muss ich zusätzlich bedenken? Welche Maßnahmen kann ich mir sparen und welche brauche ich auf jeden Fall? Darüber sprechen wir heute. Wir haben konkrete Anwendungsfälle rund um Narrowband IoT und andere Übertragungstechnologien dabei. Wir klären, was ihr bei Sicherheit von Anfang an im Design berücksichtigen müsst, wie man Angriffsvektoren analysiert und was die aktuellen EU-Vorgaben für eure Projekte bedeuten. Zu Gast ist heute Peter Gaspar, er ist Vertical Market Solutions Manager und leitet den Bereich Solution Architecture bei A1 Digital. A1 Digital arbeitet als Integrator mit Fokus auf echte End-to-End Architektur. Was sie genau machen, erfahrt ihr gleich. Ich bringe außerdem ein paar eurer Community-Fragen mit. Ich bin sehr gespannt auf diese Folge und hoffe, ihr auch. Alle Infos zur Umsetzung findet ihr unter iotusecase.com und in den Show Notes. Los geht es, ab ins Podcaststudio.
Hallo und herzlich willkommen, Peter. Schön, dass du dabei bist.
Peter
Hallo Madeleine, danke. Ich freue mich auf die heutige Folge.
Wo erreiche ich dich gerade, wo bist du unterwegs?
Peter
Ich lebe und arbeite in Wien. Im Moment bin ich am Semmering in meinem Ferienhaus, dort habe ich Ruhe für die Aufnahme.
Schön, Wien. Das ist fantastisch. Grüße in die Region rund um Wien, sie ist wunderschön. Sitzt ihr dort mit dem gesamten Team oder wie ist A1 Digital aufgestellt?
Peter
Wir haben drei Fokusländer, in denen wir zu Hause sind. Ein Teil des Teams ist in Deutschland, wir haben eine Zentrale in München. Der dritte Teil des Teams sitzt in der Schweiz, dort kommt unsere Cloud-Lösung her und wird betreut.
Ich schaue nebenbei nach. Wir hatten zuletzt eine Folge mit euch, das war die Folge 152. Ein Kollege von dir und medDV waren dabei. Es ging um Vernetzung und Datenintegration bei Rettungsdiensten, vor allem in Bayern. Heute sprechen wir über ein anderes Thema. Bevor wir einsteigen, kurz zu dir. Du leitest das Architekturteam bei A1 Digital, kommst aus dem Mobilfunkgeschäft mit über 20 Jahren Erfahrung und arbeitest mit verschiedenen Funktechnologien. Was fasziniert dich an IoT?
Peter
Ich komme aus dem Mobilfunk. Das war spannend, aber ich wollte etwas Greifbares machen. In großen Mobilfunknetzen sind Projekte sehr groß und dauern lange. Im IoT kann man schnell Prototypen bauen und wieder innovativ sein, weil wir Use Cases umsetzen, die bis vor Kurzem noch nicht möglich waren. Das Feld entwickelt sich rasant, die Funktechnologien ebenso. Es ist spannend, am Puls zu bleiben und Dinge selbst auszuprobieren.
Wenn du sagst, dass Use Cases jetzt möglich sind, über welche sprechen wir und mit welchen Übertragungstechnologien arbeitet ihr im Team? Wir haben eben Narrowband IoT erwähnt. Ist das ein Teilbereich oder mit welcher Bandbreite an Technologien arbeitet ihr?
Peter
Ja, absolut. Narrowband IoT gibt es seit etwa sieben Jahren, was im Lebenszyklus einer Technologie noch nicht sehr lang ist. Das ist ein gutes Beispiel dafür, dass wir Use Cases umsetzen können, die früher nicht möglich waren. Wir haben zum Beispiel eine Hydrantenkappe entwickelt, die über Narrowband IoT alarmiert, wenn ein Hydrant geöffnet wird oder wenn Wasser im Hydranten steht. Wenn ein Hydrant in Betrieb geht, erfahren wir das in Echtzeit. Ohne Narrowband IoT oder LTE-M wäre das bisher nicht möglich gewesen, da Hydranten keine Stromversorgung haben. Mit den neuen, energiesparenden Technologien, die Geräte mit begrenzten Ressourcen unterstützen, ist das möglich geworden.
Bei diesem Use Case ist es interessant, die Sicherheitseigenschaften des Netzes zu nutzen. Das 4G-Netz hat im Vergleich zu 2G deutliche Sicherheitsverbesserungen erfahren. Man kann sich auf diese Eigenschaften verlassen und sie in die eigene Lösung einbeziehen. In diesem Projekt haben wir die SIM-Karte für die Authentifizierung und den Identitätsnachweis des Endgeräts genutzt und sie als sichere Komponente im Gerät eingesetzt.
Wenn du von Sicherheitseigenschaften sprichst, kannst du das genauer beschreiben? Was meinst du damit und welche gibt es in so einem Netzwerk? Nicht alle sind tief in der Architektur, deshalb eine kurze Erklärung, was Sicherheitseigenschaften in diesem Fall bedeuten.
Peter
Mit Sicherheitseigenschaften meine ich Funktionen des Netzes, die Lösungen mitnutzen können. Ich meine nicht die interne Kommunikation der Netzkomponenten, die betrachte ich als sicher und in 5G noch stärker. Die Betreiber haben ihre Netze auf einem Stand, dem man vertrauen kann. Diese Funktionen lassen sich nutzen, um eigene Entwicklungen zu sparen. Ein Beispiel ist Identität und Authentifizierung. Ich muss keine eigene Authentifizierung in die Lösung bauen, sondern nutze die vom Netz bereitgestellte Geräteidentität. Ein weiteres Beispiel ist die APN-Trennung. Damit trenne ich meinen Use Case von anderen Kunden des Mobilfunkbetreibers. Ich kann ein virtuelles Netzwerk über das Mobilfunknetz aufbauen und IP-Filter oder Verschlüsselung vom Betreiber zu meinem Netzwerk nach meinen Bedürfnissen steuern. Ich erhalte einen eigenen Access Point Name, also APN. Der Mobilfunkanbieter kann dieses separate APN nach Bedarf absichern, etwa mit IPsec Tunnel oder mit einer MPLS-Anbindung direkt an das eigene Netzwerk oder durch das Filtern unerwünschter Kommunikationswege.
[08:23] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus
Du sagtest, man kann sich eigene Entwicklungen sparen. Am Ende ist das eine Technologieinvestition. Wie machen es Kunden heute ohne euch und wo verlieren sie Zeit und Geld? Was empfiehlst du?
Peter
Im Feld sehe ich zwei Extreme, wenn Kunden ihre Lösungen allein designen. Erstens, ein IoT Use Case entsteht aus einem Proof of Concept eines Enthusiasten im Unternehmen. Sicherheit wird kaum bedacht oder in den Hintergrund geschoben, mit der Idee, das später bei der Produktisierung nachzuholen. Wenn es so weit ist, fehlt oft das Know-how oder der Business Case kippt, weil Absicherung und Produktisierung viel Aufwand bedeuten. Zweitens, manche bauen die komplette Sicherheitskette selbst. Sobald die Lösung dann mit dem Mobilfunknetz verbunden wird, entsteht an mehreren Stellen eine Doppelung, also doppelte Verschlüsselung und doppelte Authentifizierung. Das verursacht unnötige Kosten und Komplexität, sowohl auf den Geräten als auch in der Gesamtlösung.
Verstehe. Wenn wir beim Hydrantenbeispiel bleiben, oder auf ein anderes Projekt schauen, sehe ich oft, dass ein Proof of Concept klein startet. Man nimmt eine SIM-Karte, hat die Geräte ID, baut die Lösung auf und im Projekt funktioniert das zunächst. In der Skalierung auf Hunderte oder Tausende Geräte entstehen dann Herausforderungen. Man sollte genau hinschauen, weil sich sonst doppelte Kosten verstecken, etwa durch doppelte Authentifizierung. Habe ich das richtig verstanden?
Peter
Genau. Es hängt immer vom Use Case und seinen Sicherheitsanforderungen ab. Wir zeigen dem Kunden das Gesamtbild, also wie der Use Case End-to-End funktionieren soll, wo mögliche Angriffsvektoren liegen und welche Risiken bestehen. Mit unseren Security Experten bewerten wir die Gesamtlösung und schlagen ein optimales Design vor.
Du sagtest, es gibt pro Use Case bestimmte Sicherheitsanforderungen. Gibt es eine Kategorisierung oder Kriterien?
Peter
Wir arbeiten granular pro Use Case. Ein Beispiel: Ein Kunde vermietet Wohnwagen und lagert sie im Winter auf einem großen Parkplatz. Ziel war, jeden Wohnwagen zonengenau zu lokalisieren, damit Mitarbeitende ihn schnell finden. Metergenau ist nicht nötig, die Zone reicht. Gleichzeitig sind die Geräte stark eingeschränkt, denn im Winter gibt es keine Stromversorgung. Alles läuft batteriebetrieben, klein und sparsam. Wir bewerten mit unseren Sicherheitsexperten die Risiken. Was passiert, wenn Daten gefälscht werden oder nicht ankommen. Was, wenn die SIM-Karte entnommen und anderswo genutzt wird. Danach empfehlen wir passende Technologien. In diesem Fall sind die Risiken gering. Gehen Daten verloren, sucht der Mitarbeitende länger. Das größte Risiko ist die missbräuchliche Nutzung der SIM-Karte.
Von einem Mitarbeitenden oder von jemandem intern?
Peter
Genau, entweder von einem Mitarbeitenden oder von jemandem, der den Wohnwagen zuvor gemietet hat und die SIM-Karte vor dem Einwintern entfernt. Unser Vorschlag lautet deshalb, auf zusätzliche Ende-zu-Ende-Verschlüsselung auf dem Gerät zu verzichten, dafür aber die SIM-Karte fest mit dem Gerät zu koppeln. Erkennen wir im Netz, dass die SIM-Karte in einem anderen Gerät steckt, sperren wir sie automatisch. Gegen das Fälschen der Geräteidentität setzen wir einen Netzfilter, der die SIM-Karte nur mit dem eigentlichen Use Case Server kommunizieren lässt. Steckt man die Karte in ein anderes Gerät und fälscht dessen Identität, erreicht man trotzdem nur diesen Server und kann die Karte nicht anderweitig verwenden. Mit einer einzelnen SIM-Karte ist das Risiko eines Denial of Service auf den Server gering. Über Logs und Traffic-Analysen erkennt man Auffälligkeiten schnell und kann die Karte sperren. So erreicht man ein solides Sicherheitsniveau, ohne das Gerät zu verkomplizieren. Der Energieverbrauch bleibt niedrig, zusätzliche Rechenleistung ist nicht nötig. Netzwerkfilterung und Netzwerkidentität liefern hier den entscheidenden Schutz.
Super spannend. Mir war nicht bewusst, dass SIM-Karten entnommen oder getauscht werden können. Das betrifft sicher auch andere IoT Use Cases, in denen viele Geräte gemanagt werden und Sicherheitslücken entstehen können. Das muss man von Anfang an mitdenken.
[15:44] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien
Du hast Kostenaspekte erwähnt. Fassen wir kurz zusammen, worauf man achten sollte. Erstens, Geräteidentität und Authentifizierung über die SIM, das habe ich so mitgenommen. Zweitens, Trennung über das Netz mit einem eigenen IP-Bereich. Drittens, Trafficanalyse als Schutzmechanismus, also prüfen, was ein Gerät tut und ob es das tun sollte. Stimmt das so als Zusammenfassung?
Peter
Genau. Man kann Anomalien erkennen und alarmieren, damit der Betrieb entscheiden kann, ob es sich um einen Angriff handelt oder ob es normal ist. Diese Anomalieanalysen und das Alarmieren lassen sich auch im Netz umsetzen.
Macht ihr das direkt in eurem Team oder über einen Partner? Wie funktioniert das?
Peter
Wir setzen das in der Regel mit Partnern um. Wir sind Integrator und kombinieren die passenden Komponenten zu einer Lösung für den jeweiligen Use Case.
Genau. Das ist interessant, denn man kennt A1 Digital als großen Anbieter im Mobilfunkbereich und hier übernehmt ihr zusätzlich die Rolle als Integrator, der die Architektur wirklich End-to-End mitdenkt. Das macht nicht jeder. Spannend ist auch, dass ihr von der Hardware, also von der SIM-Karte, bis zur Plattform gemeinsam mit Partnern aufbaut. Das hängt dann wohl vom Use Case ab, welche Partner dabei sind.
Peter
Absolut. Wir haben Komponenten, die wir in fast jedem Projekt nutzen, zum Beispiel die IoT-Plattform, die Konnektivität und ausgewählte Hardware, die wir wiederverwenden. So bauen wir Lösungen effizient zusammen und müssen nicht für jede Lösung bei null starten. Wichtig ist unsere Erfahrung in der Produktisierung. Sicherheit ist dabei zentral, wenn man einen Proof of Concept zu einem Produkt hebt, das man in großem Maßstab ausrollen kann und auf das man sich verlassen kann.
Dann würde ich sagen, denkt Sicherheit von Anfang an mit. Berücksichtigt das schon in euren Proof of Concepts, damit ihr die Netzwerkfunktionalitäten optimal nutzen und sauber in eure Architektur einbauen könnt. Welche Anwendungsfälle habt ihr? Denkt ihr das heute schon mit? Arbeitet ihr mit Partnern? Schreibt es gern in die Kommentare oder auf LinkedIn. Peter, ich packe deinen Kontakt in die Show Notes. LinkedIn passt als Kanal, oder? Wenn ihr Best Practices teilen oder euer Projekt besprechen wollt, meldet euch gern.
Ich gehe noch auf eure Lösung ein. Du hast Traffic-Analyse, Netzwerkfilter und die Sicherheitsanforderungen erwähnt. Ist das eine Dienstleistung von euch? Was kaufe ich konkret ein? Kommt das mit euren Produkten? Erklär bitte kurz eure Lösung und wie ich vorgehe, wenn ich mit euch zusammenarbeiten möchte.
Peter
Vieles von dem, was ich heute angesprochen habe, sind Standardprodukte rund um die Konnektivität. Ein privater APN ist zum Beispiel ein Standard, der mit der Konnektivität verfügbar ist. Die Authentifizierung über die SIM-Karte, die feste Zuordnung einer SIM-Karte zu einem Gerät und das automatische Reagieren, wenn das Gerät ausgetauscht wird, gehören ebenfalls dazu. Entscheidend ist, diese Produkte auch wirklich zu nutzen. In einer End-to-End-Lösung bauen wir die Eigenschaften gezielt ein. Dabei helfen wir, die optimale Kombination der Funktionen für den Use Case zu finden, damit er wirtschaftlich bleibt. Einfach, nicht zu komplex und dennoch auf dem erforderlichen Sicherheitsniveau. Sicherheit wird nicht unterschätzt, aber in vielen Fällen kann man das Netz nutzen, um vieles zu vereinfachen.
Das ist wichtig. Danke für den Hinweis. Du hast am Anfang gesagt, der Business Case muss immer mitgedacht werden. Wenn man für Kunden Lösungen aufbaut, muss man prüfen, ob es sich rechnet. Man startet oft klein und entwickelt weiter. Es ist wesentlich, dass ihr den Business Case mit betrachtet. Egal ob Wasserhydrant oder Wohnwagen, es steht immer ein Business Case dahinter, den man rechnen muss. Gut, dass du das noch einmal betont hast.
Peter
Am anderen Ende der Skala stehen unsere Smart Metering Projekte. Dort wird Sicherheit sehr ernst genommen, denn es geht um personenbezogene Kundendaten und um Abrechnung. Wir nutzen zunächst Netzwerkfunktionen wie MPLS oder IPsec Tunneling, also Verschlüsselung direkt im Netz, private APNs, Filterung, Authentifizierung, statische IP-Adressen und die eindeutige Geräteidentifikation. Zusätzlich beraten wir zur Sicherheit auf Applikationsebene, zum Beispiel zur Verteilung von Zertifikaten und ihrem Lifecycle. Wir empfehlen Ende-zu-Ende-Verschlüsselung vom Zähler bis zum Zentralsystem und betrachten den gesamten Lifecycle der Zähler, inklusive abgesicherter Firmware Upgrades. Eine Anekdote aus einem Projekt. Die SIM-Karte lässt sich aus dem Zähler nicht entnehmen. Das wird über einen eingebauten Sensor überwacht. Sobald jemand den Zähler öffnet, wird sofort alarmiert. Es geht also nicht nur um die Netzwerkzuordnung der SIM-Karte zum Gerät, sondern auch um die Erkennung physischer Manipulation. Solche Projekte sind auf mehreren Ebenen abgesichert. Du siehst, wie wichtig das Netz ist und dass man es gezielt berücksichtigt und nutzt.
Absolut. Ihr deckt eine große Bandbreite an Use Cases ab. Ich verlinke das in den Show Notes. Schaut gern auf A1 Digital vorbei, dort findet ihr die Case Studies, die ihr mit Kunden umgesetzt habt, und natürlich auch bei uns auf der Plattform. Besonders spannend fand ich die Geschichte mit eurem Kunden Hawle. Lest dort gern nach, wie sie vorgegangen sind, und kommt in unsere Community. Wenn ihr euch austauschen wollt, Best Practices teilen oder euer Projekt besprechen, meldet euch gern. Vielen Dank, dass du heute dabei warst. Es war wertvoll, tiefer einzusteigen und zu klären, was bei der Umsetzung wichtig ist, was es braucht und welche Aspekte die Sicherheit umfasst.
[24:00] Übertragbarkeit, Skalierung und nächste Schritte – So könnt ihr diesen Use Case nutzen
Zum Abschluss noch eine Frage. Wie entwickeln sich diese Projekte in den nächsten zwei bis drei Jahren? Siehst du Trends, etwa bei Netzwerksegmentierung? Was kommt deiner Meinung nach dazu? Gibt es bei euch neue Produktfeatures? Erzähl gern, soweit du kannst.
Peter
Mit 5G und den neuen Standards wird es noch spannender. Bei der Datenintegrität gibt es Verbesserungen. Für physische Sicherheit bringen 5G-Netze Eigenschaften mit, bei denen das Netz selbst als Sensor dient. Veränderungen der elektromagnetischen Wellen, etwa wenn eine Person einen Raum betritt, können erkannt und in Use Cases genutzt werden. Es gibt zudem Initiativen, die die SIM-Karte als sicheres Element für Applikationen nutzen. Zertifikate lassen sich auf der SIM speichern und ihr Lifecycle kann dort verwaltet werden. Dazu kommt Network Slicing. Das 5G Netz lässt sich für mehrere Anwendungen aufteilen, Sicherheitsanforderungen können getrennt betrachtet werden und Qualität sowie Zuverlässigkeit der Kommunikation werden gezielt sichergestellt. Es kommt einiges. Wir schauen uns das an und sprechen mit Kunden, die es benötigen.
Das klingt nach einer weiteren Folge, in der wir das vertiefen. Vielen Dank für deine Zeit und die Einblicke. Schöne Grüße und eine gute Restwoche an euch. Macht es gut, ciao.
