Das Internet of Things (IoT) ist derzeit der Technologie-Bereich, auf den alle Augen gerichtet sind. Jeder und jedes mit dem Internet verbundene Gerät hat eine IoT-Geschichte parat. Wie bei allen Trends gibt es viel Geschwätz und Verwirrung. Wenn man sich nur den Markt für Endbenutzer ansieht, findet man viele miteinander konkurrierende Plattformen und nicht auf allen können Geräte miteinander verbunden werden. Im industriellen IoT (IIoT) gibt es nicht nur konkurrierende Plattform-Anbieter, viele Industrieunternehmen wollen eine allgemeingültige IIoT Kompatibilität vorgeben. Schon durcheinander? Warten Sie ab…
Wenn wir jetzt noch Sicherheit ins Gespräch bringen, ist die Verwirrung noch größer: wo soll man anfangen, wie kann man eine gute Sicherheitsstrategie implementieren? Es gibt bisher weder definierte oder allgemein anerkannte Standards, noch Sicherheitsstrukturen für das Konsumenten-IoT oder das IIoT. Viele Gerätehersteller im Bereich des Konsumenten-IoT vernachlässigen verlässliche Sicherheitsvorkehrungen, nur um die Geräte schnell auf den Markt zu bringen. Das kann später zu schwerwiegenden Problemen führen, wenn Schwachstellen ausgenutzt werden und Geräte nicht geschützt werden können. Gruppen wie das Industrial Internet Consortium (IIC) und die Trusted Computing Group (TCG) arbeiten im Bereich IIoT aktiv mit Sicherheitsanbietern zusammen, um Grundstrukturen für IIoT Sicherheit zu entwickeln. Aber die Grundstrukturen sind erst in der Entwicklungsphase und die Kompatibilität muss noch getestet und adressiert werden, bevor sie allgemein umgesetzt und eingeführt werden können.
Bevor wir erklären wie und wo Sie mit Ihrer IoT Sicherheitsstrategie beginnen, erst noch mal kurz ein paar Sätze dazu, warum wir Dinge verbinden wollen. Die Vorteile sind einfach aufzuzählen – besserer Zugriff, Kontrolle, Effizienz und Optimierung. Wenn alles verbunden ist und miteinander kommuniziert, und Dinge zusammenarbeiten, können wir auf diese Dinge von überall zugreifen. Aber nicht nur das, wir können Daten sammeln, teilen und analysieren, um unsere Häuser, unsere Gesundheit, unsere Autos, Arbeitsumgebung und Industrieprozesse verbessern zu können. Steigende Verbundenheit führt zu besser funktionierenden Systemen, Kosteneinsparungen und neuen Umsatzmöglichkeiten.
Wie kann man das IoT sichern?
Gute Frage! Wie schon erwähnt, herrscht große Verwirrung ohne festgelegte Standards oder allgemein anerkannte Grundstrukturen, die helfen das IoT Ökosystem zu sichern. Die verbundenen Dinge, die gesichert werden müssen sind so divers und ungleich und brauchen alle verschiedene Maße an Sicherheit. Denken Sie nur kurz an die verschiedenen Branchen und Anwendungen, die beachtet werden müssen. Dazu kommt, dass die IT Sicherheitsanbieter alle ein Stück des IoT Kuchens wollen, egal ob ihre Lösung wirklich im Moment oder in Zukunft für die IoT Sicherheitsanforderungen passt. Genau wie Sicherheit im Unternehmen braucht auch das IoT einen gestuften Ansatz, der immer wieder angepasst werden kann, wenn neue Herausforderungen entstehen.
Aber eine Sicherheitstechnologie, die auf Standards basiert und bewährt ist, gibt es schon heute: Public Key Infrastructure (PKI). PKI hat schon seit Jahrzehnten Geräte, die mit Netzwerken verbunden sind, gesichert – und ist daher bereit Identitäten von Geräten im IoT zu verwalten.
Warum Identitäten in IoT Umgebungen wichtig sind
Wenn jedes „Ding“ eine einzigartige Identität hat, ist PKI die Grundlage für jede IoT Sicherheitsstrategie. Mit einer einzigartigen starken Identität für das Gerät können Dinge online authentifiziert und eine sichere, verschlüsselte Kommunikation zwischen Geräten, Diensten und Benutzern gewährleistet werden. Da PKI eine bewährte Technologie ist, kann sie sofort in der IoT Umgebung eingeführt werden, und in anderen zukünftigen Komponenten Ihrer IoT Sicherheitslösungen integriert werden.
Starke Identitäten für Geräte erfüllen die wichtigsten IoT Sicherheitsanforderungen:
- Vertrauen – Wenn ein Gerät sich mit dem Netzwerk verbindet, muss es authentifiziert werden und Vertrauen zwischen den Geräten, Diensten und Benutzern hergestellt werden. Sobald dieses Vertrauen vorhanden ist, können Geräte, Benutzer und Dienste sicher miteinander kommunizieren und verschlüsselte Daten und Informationen austauschen.
- Datenschutz – Je mehr Dinge verbunden sind, desto mehr Daten werden generiert, gesammelt und geteilt. Die Daten können persönliche, vertrauliche und finanzielle Daten beinhalten und müssen deshalb vertraulich und sicher bleiben – oft schon aus rechtlichen Gründen. Eine starke Identität für das Gerät kann Kommunikation verschlüsseln und sichern und Daten vertraulich übertragen.
- Sicherheit – Die Sicherheit von Benutzern ist sehr wichtig. Es kann sich z.B. um eine Industrie-Umgebung handeln, in der durch einen böswilligen Angriff auf nur einen Sensor ein Mitarbeiter zu Schaden kommen könnte. Oder wenn ein Hacker während der Produktion die Maschine so verändert, dass das fertige Produkt betroffen ist? Wenn der Fehler erst nach Auslieferung entdeckt wird, können Konsumenten und Benutzer einem Risiko ausgesetzt sein.
- Integrität – Dies gilt sowohl für die Geräte selbst, als auch für die übertragenen Daten im IoT Ökosystem. Zunächst beweist das Gerät, dass es wirklich das Gerät ist, für das es sich ausgibt. Mit einer einzigartigen, starken Identität kann sichergestellt werden, dass der Code der Gerätesoftware und Firmware legitim ist – dadurch werden gefälschte Produkte reduziert und der Ruf des Unternehmens geschützt. Die Integrität von Daten wird oft übersehen. Aber was hilft es, wenn alle Geräte und Systeme verbunden werden, aber die übertragenen Informationen unzuverlässig sind?
Warum PKI?
Public Key Infrastructure (PKI) gibt es seit Jahrzehnten. Es basiert auf Standards und hat sich in verschiedensten Fallbeispielen bewährt, indem es sichere, verschlüsselte Kommunikation und gegenseitige Authentifizierung zwischen Geräten, Diensten und Benutzern bietet. Wie schon oben erwähnt, kann jedes „Ding“ seine eigene Identität haben. PKI Zertifikate sind perfekt geeignet, um Dingen die benötigte Identität zu geben. Zusätzlich gab es in letzter Zeit mehr und mehr Nachfrage nach Skalierbarkeit und Ausstellen von Zertifikaten in noch nie dagewesenen Mengen und Geschwindigkeiten. GlobalSigns gehosteter PKI Dienst kann über 2000 Zertifikate pro Sekunde ausstellen.
Weitere Gründe warum PKI sich in den idealen Standard für das IoT entwickelt hat:
- Vertrauen in offenen und geschlossenen Modellen – Support für intern verwaltete CAs und öffentlich vertraute Zertifikate.
- Einzigartige Kryptografie und Zertifikatsmerkmale – Eine Anzahl an Zertifikatsoptionen ist verfügbar, je nach Fähigkeiten und Einschränkungen der Geräte in Ihrer Umgebung. Zum Beispiel, alternative Algorithmen (ECC), nicht reguläre Gültigkeitsdauern und EKUs.
- Support für Fallbeispiele mit starker Authentifizierung – Wählen Sie aus verschiedenen Authentifizierungsmethoden je nach den Authentifizierungsfähigkeiten in Ihrem Ökosystem. Zum Beispiel, verschiedene Vertrauenslevel und Zugangsdaten.
- Große Volumen und Geschwindigkeiten – Zertifikatsdienste für große Volumen können mehrere tausend Zertifikate pro Sekunde ausstellen und diese über APIs automatisch installieren.
Außerdem bieten cloudbasierte PKI Dienste von Zertifizierungsstellen (CAs) wie GlobalSign eine kostengünstige Möglichkeit flexible Geschäfts- und Preismodelle zu nutzen. Dadurch wird Kapitalaufwand minimiert, die Kosten den Umsätzen angeglichen und schneller Einsatz ermöglicht.
Um schnellstmöglich den Markt zu erobern müssen IoT-Geräte-Hersteller Sicherheit von Anfang an in der Entwurfsphase ihrer Produkte berücksichtigen. Sicherheit kann nicht weiter eine nachträgliche Ergänzung sein, wie es zu oft in der Vergangenheit mit alten verbundenen Geräten und Produkten passiert ist. Sicherheit erst nachträglich in einem Gerät in Benutzung einzufügen kann nicht nur schwierig sein, sondern auch teuer und mit Aufwand für den Benutzer verbunden sein.
Hauptvorteile, wenn Identitäten von Anfang an bedacht werden:
- Wettbewerbsvorteil gewinnen – Berücksichtigen Sie Identitäten für Ihre IoT Geräte und Dienste, um Sicherheit als Wettbewerbsvorteil zu nutzen.
- Eine überlegene Benutzererfahrung bieten – Wenn Sicherheit und Identitäten einfach sind hat der Kunde eine positive Benutzererfahrung.
- Ruf Ihrer Marke und Integrität – Geben Sie Ihren Kunden die Sicherheit, dass Ihre Produkte und Software-Codes seriös sind. Geben Sie gefälschten Produkten und Malware keine Chance Ihrer Marke zu schaden.
- Datenschutz und Sicherheit gewährleisten – Stellen Sie sicher, dass Daten vertraulich bleiben und die Sicherheit Ihrer Kunden und Benutzer nicht durch einen böswilligen Angriff gefährdet werden.