Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Überwindung der Vertrauenslücke zwischen IoT Design und Entwicklung

Internet der Dinge (IoT)

Dieser Artikel wurde ursprünglich von IoT Business News veröffentlicht.

Das Internet der Dinge ist allgegenwärtig, von Wettersensoren und industriellen Kontrollsystemen bis hin zu intelligenten Uhren, Kühlschränken und implantierten medizinischen Geräten. Es wird erwartet, dass die Zahl der weltweit genutzten Geräte von IoT in diesem Jahr 15 Milliarden übersteigt (dreimal so viel wie die Zahl der menschlichen Internetnutzer) und sich bis 2030 fast verdoppeln wird.

IoT Geräte bergen so viel Potenzial für positive Veränderungen - aber gerade ihre Fähigkeit, Objekte zu verbinden, Informationen auszutauschen und Aktionen auszuführen, macht sie äußerst anfällig. Die Verbreitung von Geräten birgt ein hohes Risiko, da sich die Angriffsfläche für vernetzte Geräte auf praktisch alle Ebenen der Gesellschaft ausdehnt.

Angesichts der Tatsache, dass IoT Geräte in zahlreichen Anwendungen für kritische Infrastrukturen, im Gesundheitswesen und bei Verbrauchern zum Einsatz kommen, ist es wichtig, die Sicherheit von IoT richtig zu gestalten. Zu den bemerkenswertesten Beispielen für die Schwachstellen von IoT Geräten gehören kompromittierte medizinische Geräte wie Herzgeräte und Insulinpumpen sowie fehlerhafte drahtlose Verbindungen in Autos, die es einem Hacker ermöglichten, die Bremsen zu lösen, den Motor abzuschalten oder die Kontrolle über die Lenkung zu übernehmen. Es gibt auch erschreckende persönliche Berichte, wie z. B. über einen Vorfall, bei dem ein Hacker über ein manipuliertes Babyphone ein Baby beobachten und den Eltern akustisch mit einer Entführung drohen konnte. Leider ergab eine kürzlich durchgeführte Umfrage von Pulse und Keyfactor , dass sich zwar 62 % der Produkt- und Produktionsleiter um die Sicherheit ihrer IoT Geräte sorgen, aber nur 42 % der Meinung sind, dass sie eine klare Strategie zur Sicherung der Geräteidentitäten haben.

Wie so oft bei neuen Technologien hat das explosionsartige Wachstum von IoT die Sicherheit überholt. Da aber IoT Geräte immer alltäglicher werden, steigen die Risiken erheblich, bis hin zur Gefährdung von Menschenleben. IoT Sicherheit muss zur Priorität werden - und es liegt in der Verantwortung jeder Organisation, die notwendigen Schritte zu unternehmen, um sicherzustellen, dass jede IoT Anwendung oder jedes verwendete Gerät sicher ist.

Vorrang für IoT Sicherheit bei jedem Schritt

Gerätehersteller haben oft keinen klaren Sicherheitsstandard, mit dem sie arbeiten können, was zu einer Menge Unklarheit und Inkonsistenz auf dem Markt führt. Diese Unklarheit kann sich auf die nachgelagerten Bereiche auswirken und zu Unstimmigkeiten bei Authentifizierungsverfahren, laufenden Sicherheitsaktualisierungen und der Kommunikation zwischen verbundenen Geräten führen. Zwar sind Veränderungen im Gange, wie z. B. der Smart-Home-Standard von Matter, doch sind die Bemühungen um die Festlegung von Mindestsicherheitsstandards für IoT Geräte noch nicht weit genug verbreitet.

Um die zunehmenden Risiken im Zusammenhang mit IoT Geräten zu bewältigen, müssen Unternehmen den gleichen Ansatz wie bei der Entwicklung von software verfolgen, d. h. die Sicherheit frühzeitig in den Entwicklungsprozess einbeziehen und ihr bei jedem weiteren Schritt Priorität einräumen. Mit dieser Einstellung können Teams vertrauenswürdige Geräteidentitäten erstellen, die Vertraulichkeit von Daten sicherstellen und die Integrität der Daten und der Firmware auf jedem Gerät wahren. Die Einhaltung der folgenden Best Practices trägt dazu bei, die Sicherheit von IoT Geräten zu verbessern.

Erstellen Sie eindeutige Anmeldeinformationen für jedes Gerät.

Digitale Zertifikate werden verwendet, um die Identität des Absenders einer elektronischen Nachricht zu überprüfen, indem eine hochsichere, einzigartige Authentifizierungsmethode für jedes Gerät geschaffen wird. Die Ausstattung jedes Geräts mit einem eindeutigen digitalen Zertifikat ist wesentlich effektiver als die Verwendung von Standardkennwörtern oder sogar die Verwendung gemeinsamer Schlüssel für die symmetrische Verschlüsselung. Denn bei der symmetrischen Verschlüsselung wird nicht zwischen den Geräten unterschieden, so dass es unmöglich ist, Informationen mit einem bestimmten angeschlossenen Gerät auszutauschen oder zu wissen, von welchem Gerät die Daten stammen. Die Verwendung asymmetrischer Verschlüsselung mit eindeutigen digitalen Zertifikaten ermöglicht es den Herstellern, Informationen mit einem bestimmten Gerät auszutauschen und zu wissen, von welchem Gerät die Daten stammen.

Treffen Sie zusätzliche Vorsichtsmaßnahmen für die Speicherung privater Schlüssel.

Die Erstellung eindeutiger Anmeldeinformationen für jedes IoT Gerät erfordert den Einsatz asymmetrischer Kryptographie, die ein öffentliches und ein privates Schlüsselpaar erzeugt. Während die öffentlichen Schlüssel gemeinsam genutzt werden können, müssen die privaten Schlüssel sicher gespeichert werden. Das geht am besten mit hardware-basierter Sicherheit wie Trusted Mobile Platform (TPM) oder Secure Storage. Ein TPM-Chip beispielsweise schützt Schlüssel und digitale Zertifikate über einen hardware-fähigen sicheren Kryptoprozessor, der einen starken Schutz gegen Kompromittierung bietet.

Überprüfen Sie die Aktualisierungen der Firmware und software .

Die Möglichkeit für Hacker, bösartige software auf verbundenen Geräten zu installieren, stellt eine erhebliche Bedrohung dar. Die Verwendung eines Paares aus öffentlichem und privatem Schlüssel und die Forderung, dass die Entwicklerteams ihren Code signieren, verringern diese Gefahr. Jedes Gerät bräuchte einen öffentlichen Schlüssel, der mit dem privaten Schlüssel des Entwicklerteams übereinstimmt. Damit wäre sichergestellt, dass das Update von diesem Team stammt und nicht während der Übertragung verändert wurde.

Laufendes Lebenszyklusmanagement.

Jedes statische System ist von Natur aus unsicher, und die verwendeten digitalen Zertifikate und Schlüsselpaare werden mit der Zeit schwächer. Ohne eine ordnungsgemäße Verwaltung besteht eine große Chance, dass Zertifikate entweder ablaufen oder als Infiltrationswerkzeug für Cyberkriminelle dienen, ohne dass das Team davon weiß. Dies liegt daran, dass ein Zertifikat weiterhin gültig bleibt, selbst wenn es vor Ablauf seiner 398 Tage nicht mehr verwendet wird. Mit der zunehmenden Anzahl von IoT Geräten sind die Verfolgung des Inventars im gesamten Bereich und die Erkennung von Geräteänderungen die größten Sicherheitsherausforderungen für Unternehmen. Um eine ordnungsgemäße Verwaltung des Lebenszyklus durchzuführen, sollten die Teams alle Geräte und die zugehörigen digitalen Schlüssel und Zertifikate innerhalb ihrer Organisation erfassen. Dies hilft bei der Erstellung eines genauen Bestandsverzeichnisses der verwendeten Geräte und ermöglicht eine einfachere Überwachung aller Zertifikate und Schlüssel, insbesondere dann, wenn Aktualisierungen erforderlich sind oder wenn Teams ein Zertifikat für ein Gerät widerrufen müssen, das nicht mehr in Gebrauch ist.

Mit dem Wachstum und der Reifung des Ökosystems IoT sind schwerwiegende Sicherheitsprobleme aufgetaucht, die die Gerätehersteller Millionen von Dollar und einen nicht zu beziffernden Vertrauensverlust kosten könnten. Im schlimmsten Fall könnte eine Sicherheitslücke sogar Menschenleben gefährden. Die schiere Anzahl von IoT Geräten in der Welt und die Tatsache, dass sie nun in einer Vielzahl von Bereichen missionskritische Funktionen erfüllen, bedeutet, dass es an der Zeit ist, sich ernsthaft mit der Sicherheit von IoT zu befassen. Indem sie die Sicherheit von IoT durch Verschlüsselung, eindeutige Anmeldeinformationen und kontinuierliches Lebenszyklusmanagement in den Vordergrund stellen, können Unternehmen sicher sein, dass die innovativen neuen Geräte, die sie auf den Markt bringen, sowie die Geräte, die für ihre eigenen Abläufe verwendet werden, keine störenden Risiken mit sich bringen.