Must Have: IoT-Sicherheit auf Chipebene

Illustration: Geralt Absmeier

Ein entscheidendes Element für IoT-Sicherheits-Chips ist eine Public Key Infrastructure (PKI). Alle IoT-Geräte mit diesen Chips brauchen eine starke Identität, die dann für die sichere Authentifizierung verwendet wird.

 

Das IoT hat sich zweifelsohne zu einer unglaublich erfolgreichen Industrie entwickelt. Umfrageergebnisse von Vanson Bourne und der Software AG aus dem Jahr 2018 unter 800 leitenden IT- und Geschäftsentscheidern haben ergeben, dass jedes vierte Unternehmen die Einführung des IoT als eine der wichtigsten Unternehmensinitiativen eingestuft hat. Darüber hinaus erzielten 98 Prozent der Befragten bereits eine Rendite aus ihren IoT-Investitionen.

Ein Viertel der Befragten hat jedoch eingeräumt, dass Cybersicherheit eine Herausforderung bleibt. Wenig überraschend. Überraschend ist eher wie niedrig diese Zahl ist. Jedenfalls, wenn man sie mit den Erfahrungen in der Praxis abgleicht. Zudem wissen wir, wie viele IoT- und IIoT-Geräte Sicherheitslücken haben. Die wachsende Zahl der IoT-Angriffe belegten unter anderem die Sicherheitsexperten von Kaspersky im Oktober letzten Jahres. Mit Hilfe von Honeypots entdeckte das Unternehmen im ersten Halbjahr 2019 102 Millionen Angriffe auf IoT-Geräte von 276.000 eindeutigen IP-Adressen aus.

Was wir derzeit feststellen ist, dass sich einige Implementierungen aufgrund mangelnder Sicherheit verzögern. In Zukunft werden folglich mehr Cloud-Service-Anbieter mit Sicherheitsunternehmen zusammenarbeiten, um ihren Kunden eine sichere Gerätebereitstellung und -verwaltung sowie ein generell sicheres IoT-Ökosystem anzubieten. Die Angriffe werden weitergehen und Sicherheitsstandards nützen wenig, wenn sie nicht eingehalten werden. Die Ursache: OEMs sind nicht bereit, die zusätzlichen Kosten für mehr Gerätesicherheit zu tragen. Eine Lösung bestünde darin, diese Kosten an die Verbraucher weiterzugeben. Davor scheuen sich allerdings die meisten Anbieter.

 

Sicherheit auf Chipebene einbauen

Trotzdem ist es wichtig, sichere IoT-Geräte zu bauen. Nur so lassen sich Angriffe reduzieren. Wir wissen, dass es nicht funktioniert, Sicherheit erst im Nachgang zu implementieren. Sicherheit – und das ist hier die Identität – muss in den frühestmöglichen Phasen des Lebenszyklus eines Geräts berücksichtigt werden: auf dem Chip.

Auf Chips eingebettete Geräteidentitäten sind eine der ultimativen Errungenschaften von Security-by-Design und schützen ein IoT-Gerät buchstäblich vom Chip bis in die Cloud. Darin liegt eine große Chance. Deshalb schließen sich Unternehmen, die Geräteidentitäten verwalten, mit Halbleiterherstellern zusammen, um die Geräteidentität bereits auf Chipebene umzusetzen.

Ein maßgeblicher Teil für IoT-Sicherheits-Chips ist eine Public Key Infrastructure (PKI). Alle IoT-Geräte mit diesen Chips benötigen eine starke Identität, die dann für die sichere Authentifizierung verwendet wird. Geräte müssen nachweisen, dass sie das sind, was sie vorgeben zu sein und nicht etwas anderes, sie müssen ihre eigene Identität generieren und sie sicher speichern. Zunehmend kommen Geräte schon mit einem Zertifikat. Das soll ihre Vertrauenswürdigkeit nachweisen und die Wahrscheinlichkeit eines nicht autorisierten Zugriffs senken.

Es kommen zunehmend Lösungen auf den Markt, die deutlich sicherer sind als ihre Vorgänger. So nutzt beispielsweise ein globaler Anbieter integrierter Schaltkreise mit Sitz in Taiwan die Vorteile einer PKI-basierten Identitätsbereitstellung, die speziell für das Identitätslebenszyklus-Management von IoT-Geräten entwickelt wurde. Sie stellt für jede integrierte Schaltung ein digitales Zertifikat bereit. Der Hersteller von integrierten Schaltkreisen hat die Hardware entwickelt – einen Chipbrenner, um das digitale Zertifikat in die Chips einzubetten. So weist man dem Produkt schon in der frühestmöglichen Phase – auf dem Chip – eine Identität zu.

Der Chiphersteller verwendet den digital identifizierten Chip auf drei unterschiedliche Arten. Erstens, um die Identität seiner eigenen Smart-Home-Geräte zu sichern. Zweitens kann er Chips mit eingebettetem Zertifikat generieren und an andere Hersteller verkaufen, die IoT-spezifische Chips anstelle von generischen Mikrochips in Produktdesign und -fertigung integrieren wollen. Drittens wird eine Kombination aus Bereitstellungsservice und Chipbrennerhardware an andere Hersteller verkauft, die ihrerseits die Bereitstellung digitaler Identitäten auf Chips in ihren eigenen Anlagen erweitern wollen.

Von den neuartigen Produktionsmöglichkeiten verspricht sich der Chiphersteller zusätzlich einen Wettbewerbsvorteil.

 

Die Welt der Chiplösungen erweitern – für mehr Sicherheit

Auch andere Player im Markt beschäftigen sich mit diesem Thema. Infineon und Renesas haben sich beispielsweise stetig nach unten vorgearbeitet bis hin zu Unternehmen, die Secure MCUs anbieten, die Aufgaben wie die Schlüsselgenerierung, die sichere Schlüsselspeicherung und Boot-Verifizierung ausführen. Andere Unternehmen wie Intrinsic ID, die Physical unclonable functions (PUF) – »digitale Fingerabdrücke« – anbieten, verfolgen einen weiteren wichtigen Ansatz.

Auch Trusted Platform Modules (TPMs) sind wichtig, um IoT-Sicherheit zu gewährleisten. Üblicherweise sind TPMs der Goldstandard für sichere Elemente. Diese Krypto-Co-Prozessoren sind der hardwarebasierte Vertrauensanker (HROT) für viele kritische Systeme. Sie verfügen über diverse ausgereifte Eigenschaften wie etwa Manipulationssicherheit gegen physische und digitale Angriffe. Außerdem basieren sie auf Standards und sind daher interoperabel. Ein Nachteil ist, dass TPMs in der Anschaffung teuer sein können und die Nutzung ein gewisses Maß an Know-how in eingebetteter Kryptografie erfordert. Nicht zuletzt ist es mit Arbeit verbunden, einen zweiten Chip auf ihrem Motherboard einzubauen.

Dann gibt es noch Mikrocontroller (MCUs), kleine, in sich geschlossene Computer, die auf einem einzigen integrierten Schaltkreis oder Mikrochip enthalten sind. Secure MCUs sind Spezial-MCUs, die als Secure Elements dienen, und über verschiedene kryptografische Funktionen verfügen.

Ein weiterer aufstrebender Bereich innerhalb der Secure Elements, verspricht, die Spielregeln für die Gerätesicherheit. Dabei geht es darum, die Geräteidentität zusammen mit komplexeren Sicherheitsfunktionen zu aktivieren. Das ist einfach und kostengünstiger als andere Methoden.

Marktführer ist hier Micron Authenta, obwohl es sich dabei nicht um einen Sicherheitschip im eigentlichen Sinne, sondern um einen sicheren Flash handelt. Man kann ihn sich als ein Secure Element vorstellen, das bereits in den Flash-Speicher eingebettet ist. Das hat mehrere Vorteile:

  • Flash-Speicher sind in Geräten allgegenwärtig, während ein Sicherheitschip wie ein TPM oder ein Secure MCU speziell für diesen Zweck zusätzlich eingefügt werden muss.
  • Die Einbettung ist äußerst simpel, da Sie keinen neuen Chip installieren, sondern einfach die sicheren Eigenschaften im Micron-Flash-Speicher als »Feature« aktivieren.
  • Kostengünstiger als herkömmliche Secure Elements
  • Authenta ist bereits mit mehreren Sicherheitsschlüsseln ausgestattet, die für Geräteidentität, Authentifizierung und andere komplexere Anwendungsfälle verwendet werden können, etwa für Geräte in kritischen Infrastrukturen wo Secure Boot und Plattform-Integritätsbestätigung benötigt werden.

Schließlich bietet Micron zusätzliche Authenta-Dienste wie die Möglichkeit, diese Schlüssel in einem sicheren Firmware-Over-the-Air-Update (FOTA) zu verwenden, und hat auch einen Cloud-basierten KMS (Key Management Service) zur Schlüsselverwaltung anzubieten.

Diese Ansätze sind alle noch in Arbeit, und wir werden sie vermutlich erst im weiteren Verlauf dieses Jahres in konkreten Geräten verwirklicht sehen. Trotzdem eine sehr tröstliche Aussicht auf mehr IoT-Sicherheit.

Lancen LaChance, Head of IoT Identity Solutions bei GlobalSign

 

1443 Artikel zu „IoT Sicherheit“

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

IoT-Geräte stellen Sicherheitsrisiken durch Cyberangriffe dar

IoT entwickelt sich immer mehr zum Haupttreiber für PKI, gleichzeitig sind Unternehmen nicht ausreichend auf Bedrohungen vorbereitet. Das IoT (Internet of Things) ist aktuell einer der Technologietrends mit dem stärksten Wachstum. Unternehmen setzen sich jedoch gefährlichen Cyberrisiken aus, indem sie in diesem Zusammenhang der PKI-Sicherheit nicht genügend Priorität beimessen. Das zeigen die neuesten Untersuchungsergebnisse von…

Es mangelt am Bewusstsein für IoT-Sicherheit

Die Ergebnisse einer Umfrage zeigen, dass Unternehmen weltweit deutliche Schwächen im Bereich Sicherheit im Internet der Dinge (Internet of Things, IoT) haben. Nur 14 Prozent der befragten IT- und Sicherheitsentscheider geben an, dass in ihren Unternehmen ein vollständiges Bewusstsein für IoT-Bedrohungen vorhanden ist. 37 Prozent der Befragten räumen ein, nicht immer ihre Security-Bedürfnisse definieren zu…

IoT-Sicherheit: Willkommen im Botnet

  Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht. Ob Router, Drucker, Smart-TV, Spielzeug oder Waschmaschinen – vernetzte Geräte werden für Cyberkriminelle zum Werkzeug für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung, wie im Fall des Spielzeugherstellers Spiral Toys. Dessen…

IoT verändert Sicherheitsdenken: Warum PKI immer wichtiger wird

Die digitale Transformation hat inzwischen eine Vielzahl von Branchen erreicht. Nicht zuletzt angetrieben durch die rasante Weiterentwicklung des Internet of Things (IoT) und die darin liegenden unternehmerischen Möglichkeiten. Wie etwa den, sich Wettbewerbsvorteile gegenüber der Konkurrenz zu verschaffen. Richtig aufgesetzt haben IoT-Projekte das Potenzial, betriebliche Abläufe zu rationalisieren, neue Umsatzquellen zu erschließen und Dienstleistungen besser…

Sicherheitsverantwortliche haben nur wenig Mitspracherecht bei IoT-Entscheidungen

Eine weltweite Umfrage von Trend Micro zeigt, dass CISOs und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist. Befragte Unternehmen berichten von durchschnittlich drei Angriffen auf vernetzte Industrieanlagen im vergangenen Jahr.  …

Drastische Zunahme von privaten Endgeräten und IoT-Devices in Unternehmensnetzwerken sorgt für enorme Sicherheitsrisiken

Durchschnittlich 1.856 private Endgeräte und IoT-Devices verbinden sich in Deutschland pro Tag und Unternehmen mit dem Netzwerk der Organisation – ungemanagt von der IT. Zugleich glauben fast 90 Prozent der IT-Verantwortlichen, eine effektive Sicherheits-Policy zu haben. Infoblox, Spezialist für Netzwerksteuerung und Anbieter von Actionable Network Intelligence, veröffentlicht Ergebnisse einer neuen Studie, die besorgniserregende Sicherheitslücken durch…

Paradigmenwechsel durch das IoT – Private IT-Sicherheit wird geschäftlich, geschäftliche IT-Sicherheit wird privat

  Ein erster Ausblick auf die Neuheiten der kommenden CES (Consumer Electronics Show) zeigt, dass die Annehmlichkeiten des Internets der Dinge auf das tägliche Leben immer häufiger sichtbar werden – von Schrittzählern bis hin zu intelligenten Haarbürsten. Während viele Konsumenten die Annehmlichkeiten dieser Geräte schätzen, sind sich nicht alle den Sicherheitsrisiken bewusst, die IoT-Geräte schaffen…

Beim Einsatz von IoT-Anwendungen gilt in Unternehmen die größte Sorge der IT-Sicherheit

Das Internet of Things ist eine der bedeutendsten Entwicklungen unserer Zeit. Die Vernetzung von Menschen und Dingen wird für Verbraucher immer selbstverständlicher. Und Unternehmen nutzen deren Möglichkeiten, um Produkte besser entwickeln, vermarkten, verteilen und verkaufen zu können. Die Erweiterung von Verbindungen hat die Anfälligkeit für Hackerangriffe exponentiell beschleunigt. BlackBerry Limited hat die Ergebnisse einer weltweiten…

Der ROI ist die größte Herausforderung der IoT-Branche – noch vor der Sicherheit

Während in den Medien vor allem über Sicherheitsbedenken berichtet wird, stellen der betriebswirtschaftliche Nutzen und die Kapitalrendite heutzutage die eigentlichen Herausforderungen für IoT-Verantwortliche dar.   In den zurückliegenden zwölf Monaten wurden mehr als 23.000 Artikel [1] zum Thema IoT-Sicherheit verfasst. Für IoT-Verantwortliche stellt im Jahr 2017 jedoch das Sicherstellen einer Kapitalrendite (ROI) die größte Herausforderung…

IoT: Softwarequalität ist der Schlüssel zur Sicherheit im Internet der Dinge

Die »Totalvernetzung« durch das Internet der Dinge – Internet of Things (IoT) – wird sich künftig auf alle Branchen ausbreiten und die Qualitätssicherung der IoT-Software ist der Schlüssel für die Sicherheit bei dieser Entwicklung. Zu dieser Einschätzung gelangt die internationale Technologieberatung Invensity (www.invensity.com) in ihrem aktuellen Bericht »Visionary Paper: Cyber Security im Zeitalter des Internet…

Sicherheitsrisiken bei IoT-Geräten – Unternehmen und Nutzer sollten Serviceanbieter in die Pflicht nehmen

Always on, das bedeutet in vielen Fällen auch »immer verletzlich« – zumindest wenn es um die Datensicherheit geht. Die Sicherheitsexperten von Palo Alto Networks warnen deshalb vor Sicherheitsrisiken bei IoT-Geräten. Viele Verbraucher unterschätzen dennoch die Gefahr, gehen sie doch davon aus, dass ihre Daten aus Fitnesstrackern und Co. unbedenklich seien. »In einer Welt, in der…

IoT: Internet-gestützte Endgeräte werden trotz Sicherheitsbedenken immer beliebter

IoT-Lösungen werden am häufigsten in Smart Buildings, bei der Videoüberwachung und im Bereich Sicherheit eingesetzt. Die Analysten von Gartner gehen davon aus, dass die Zahl der online angebundenen Endgeräte bis zum Jahr 2020 bei mindestens 20 Milliarden liegen wird. Dieses schnelle Wachstum des »Internet of Things« (IoT) hängt mit der raschen Weiterentwicklung intelligenter Technologien sowie…

Sicherheit 2017: IoT-getriebene DDoS-Angriffe und SCADA-Vorfälle werden 2017 für Schlagzeilen sorgen

Experten von Bitdefender prognostizieren einen deutlichen Anstieg der IoT-Angriffe sowohl gegen Privatanwender als auch Unternehmen. So werden die Verschlüsselung durch Ransomware, IoT-Botnetze sowie Adware ansteigen und Darknet-Märkte für illegale Waren und Dienstleistungen eine Wiederbelebung erfahren. Ransomware wird noch häufiger als bisher auftreten 2016 war das Jahr der Ransomware. Diese Bedrohung wird auch im kommenden Jahr…

IoT-Sicherheit: Vier Lehren aus dem massiven DDoS-Angriff auf DynDNS

Ein Kommentar von Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa.   Knapp zwei Wochen ist der massive Distributed-Denial-of-Service-Angriff auf den DNS-Service »DynDNS« nun her, der aus dem Internet der Dinge geführt wurde. Seither ist viel über die Versäumnisse in Sachen IoT-Sicherheit gesprochen und diskutiert worden. Aus meiner Sicht ist es Zeit, ein…