Foto: StockSnap Pixabay
Vincent Van Gogh soll gesagt haben: »Große Dinge entstehen, wenn man eine Reihe von kleinen Dingen zusammenbringt.« Dieses Zitat beschreibt treffend das Internet der Dinge (Internet of Things – IoT). Zahlreiche Bausteine kommen zusammen, sodass ein großes Ganzes entsteht. Ein Ganzes, von dem wir hoffen und annehmen, dass es die Art und Weise verändert, in der wir leben, arbeiten und Geschäfte machen. Hier wollen wir einige der Herausforderungen diskutieren, die mit einer sicheren Bereitstellung und Verwaltung des IoT einhergehen.
Wenn man sich mit dem sicheren Einsatz von IoT-Technologien beschäftigen will, ist die Fertigung der Geräte ein guter Einstieg. Mit dem IoT sind ambitionierte Ziele verbunden. Um sie zu erreichen muss allerdings eine Reihe von Voraussetzungen erfüllt sein. Es gilt nicht nur eine Vielzahl unterschiedlicher Komponenten zusammenzubringen und deren Verbindung untereinander abzustimmen. Man muss dabei die Integrität der Geräte ebenso sicherstellen wie die Vertrauenswürdigkeit der gesammelten Daten. Darin sind sich die Branchenexperten einig.
Maciej Kranz, Cisco VP für den Bereich strategische Innovation, schreibt in der IoTechExpo.com, »[2018] wird IoT-Sicherheit zur Priorität Nr. 1 in Unternehmen werden«. Soll das IoT die mit ihm verbundenen Versprechen tatsächlich einlösen, sind Firmen darauf angewiesen, den angeschlossenen Geräten zu vertrauen. Und Unternehmen müssen sich darauf verlassen, dass die von diesen Geräten gesammelten Daten echt, unverändert und vertraulich sind und bleiben. Es kommen ständig mehr vernetzte Geräte in IoT-Ökosystemen zum Einsatz. Firmen müssen diese zuverlässig identifizieren und authentifizieren. IoT-Geräte erhalten üblicherweise bei ihrer Herstellung ihre ursprüngliche Identität in Form einer »digitalen Geburtsurkunde«. Mithin ist die Produktion das erste wichtige Glied in einer Vertrauenskette, die auf das gesamte IoT einwirkt.
Ein sicherer Herstellungsprozess von IoT-Geräten umfasst im Wesentlichen drei Schritte:
- Die Kontrolle der Produktionsabläufe, um zu gewährleisten, dass es sich um legitime Produkte handelt und um Fälschungen auszuschließen.
- Die betreffenden Geräte mit einer »digitalen Geburtsurkunde« ausstatten um die Geräte zu identifizieren und zu authentifizieren.
- Digital signierte Software und Firmware um die Integrität zu gewährleisten und vor Malware zu schützen.
Produktionsabläufe kontrollieren
Die Produktionsabläufe bei der Herstellung von IoT-Geräten zu kontrollieren, stellt von vorneherein sicher, dass nur legitime Geräte auf den Markt und schlussendlich in die IoT-Ökosysteme der Kunden kommen. Digitalzählwerke verhindern die unbefugte Herstellung von Geräten, und sie verhindern, dass Geräte etwas vorgeben zu sein, das sie nicht sind. Digitalzählwerke schützen aber nicht nur die Geräte selbst, sondern auch die angeschlossenen Implementierungen. Und die Hersteller schützen ihr geistiges Eigentum was Lizenzgebern und Anbietern gleichermaßen nutzt. Aber wie stellt man sicher, dass jedem Gerät eine individuelle Identität zugeordnet ist? Das führt uns zum zweiten Schritt.
Digitale Geburtsurkunden
Ein Gerät mit einer digitalen Geburtsurkunde zu versehen, gewährleitstet etwas, das an anderer Stelle als »Transportidentität« bezeichnet wird. Damit ist gemeint, dass sich jedes einzelne Gerät identifizieren lässt und man es später registrieren kann, wenn es in einem IoT-Ökosystem eingesetzt wird. Eine simple Analogie ist, dass wir mit unserer Geburt ein Dokument erhalten, ausgestellt von einer vertrauenswürdigen Regierungsstelle. Dieses Dokument verwenden wir im Laufe unseres Lebens um unsere Identität nachzuweisen. Etwa, wenn wir uns an einer Universität einschreiben. Die Tatsache, dass dieses Dokument von einer vertrauenswürdigen Regierungsquelle ausgestellt wurde, bescheinigt hier gegenüber einer Bildungseinrichtung, dass wir tatsächlich diejenige oder derjenige sind für den wir uns ausgeben. Das betreffende Ökosystem hat damit die Information bekommen, dass es die betreffende Person (deren Identität) akzeptieren kann. Was aber passiert mit den Geräten während ihres gesamten Lebenszyklus, und wenn sie bereits Teil eines IoT-Ökosystems sind? Hier greift der dritte Schritt.
Code digital signieren
Das digitale Signieren von Software und Firmware hat eine Reihe von Vorteilen. Es gewährleistet die Integrität des betreffenden Gerätes, schützt vor Malware und erlaubt ein durchgängig sicheres Lifecycle-Management von IoT-Geräten. Software- und Firmware-Updates sind an der Tagesordnung. Nicht selten werden sie nachts durchgeführt um den laufenden Betrieb so wenig wie möglich zu stören. Diese Updates gewährleisten einen optimalen Betrieb und werden häufig verwendet um potenzielle Sicherheitsschwachstellen zu patchen. Die Kehrseite der Medaille: Updates fungieren ihrerseits als Angriffsvektoren über die Malware und Viren in ein ansonsten geschlossenes und vertrauenswürdiges Ökosystem eingeschleust werden. Die Codesignatur erlaubt es Geräten, automatisch zu überprüfen, ob Code-Updates authentisch sind und aus einer vertrauenswürdigen Quelle stammen. Das sorgt für die kontinuierliche Integrität des Systems.
Sicherheit im IoT – von Grund auf
Der Ansatz muss sein, dass IoT von Grund auf zu sichern, angefangen bei der Herstellung von IoT-Geräten. Sicherheitslösungen für Identitäts- und Zugriffsmanagement bieten flexible und skalierbare Certificate of Authority (CA)-Software. Damit haben Kunden die Möglichkeit, elektronische Identitäten für Geräte und Dienste für sämtliche Arten von IoT-Anwendungsfällen zu registrieren, auszugeben und zu verwalten. Im Idealfall kombiniert mit Hardware-Sicherheitsmodulen (HSM). Sie schützen und verwalten die zugrunde liegenden kryptografischen Schlüssel.
Juan C. Asenjo | Thales eSecurity Global Partner Marketing
Sicherheitsverantwortliche haben nur wenig Mitspracherecht bei IoT-Entscheidungen
Beim Einsatz von IoT-Anwendungen gilt in Unternehmen die größte Sorge der IT-Sicherheit
Der ROI ist die größte Herausforderung der IoT-Branche – noch vor der Sicherheit
IoT: Softwarequalität ist der Schlüssel zur Sicherheit im Internet der Dinge