Während Sie diesen Artikel lesen, werden Sie wahrscheinlich mit mehreren vernetzten Geräten interagieren. Und Sie hätten wahrscheinlich nicht einmal einen zweiten Gedanken daran verschwendet, wenn wir Sie nicht gerade darauf aufmerksam gemacht hätten.
Dieses Verhalten ist nur eines von vielen Anzeichen dafür, dass das seit langem versprochene Internet der Dinge (IoT) nicht nur angekommen ist, sondern sich tief in unseren Alltag eingegraben hat.
Das ist auch gut so: Die Website IoT birgt ein enormes Potenzial. Wir profitieren bereits in vielen Bereichen davon, z. B. durch bessere medizinische Informationen und proaktive Wartung von Geräten, die die Sicherheit verbessern und uns Zeit und Geld sparen.
Doch trotz all dieser Vorteile birgt die Website IoT auch tiefgreifende Sicherheitsrisiken. Und in dem Maße, wie diese dunkle Seite der vernetzten Geräte zum Vorschein kommt, sind die Organisationen, die diese Geräte entwickeln und herausgeben, in vielen Fällen unvorbereitet.
Auf dem Weg in das Zeitalter von IoT muss die End-to-End-Sicherheit ein wichtiger Bestandteil der Diskussion werden. Wir müssen diese Überlegungen in den Mittelpunkt stellen, um sicherzustellen, dass nichts unversucht gelassen wird.
Vor dem Hintergrund der Notwendigkeit der Sicherheit von IoT haben wir kürzlich eine Gruppe von Experten zu einem Rundtischgespräch über den aktuellen Stand der Sicherheit von IoT und die Anforderungen an die Sicherheit der Zukunft zusammengebracht.
Im Folgenden finden Sie einige der wichtigsten Erkenntnisse aus dieser Diskussion.
1) IoT Sicherheit stellt in Bezug auf Umfang und Volumen einzigartige Herausforderungen dar
Eines der größten Hindernisse für den Start ist die schiere Größe und das Volumen, das IoT in so kurzer Zeit erreicht hat. IDC berichtet, dass es bis 2025 55,7 Milliarden vernetzte Geräte geben wird und dass die von IoT generierten Daten zwischen 2019 und 2025 um 300 % steigen werden. Die schiere Größe dieses Universums ist unter Sicherheitsgesichtspunkten mit nichts zu vergleichen, was wir je gesehen haben.
Zum jetzigen Zeitpunkt wissen Sicherheitsexperten, wie sie Architekturen zum Schutz von Hunderten oder Tausenden von Geräten, vielleicht sogar Millionen, aufbauen können. Aber wenn wir anfangen, über zehn Milliarden Geräte zu sprechen, beginnt der derzeitige Standard der akzeptierten Sicherheitsprozesse zu bröckeln. Eine der ersten großen Hürden, die wir überwinden müssen, um eine vollständig sichere vernetzte Welt zu schaffen, besteht darin, den besten Weg zu finden, moderne Sicherheitspraktiken in diesem größeren Maßstab anzuwenden.
Viele der folgenden Punkte geben einen genaueren Einblick in die verschiedenen Elemente der IoT Geräte, die Sicherheit erfordern.
2) Der Schutz derjenigen, die mit den Geräten von IoT kommunizieren und sie kontrollieren können, hat reale Konsequenzen
Eines der wichtigsten Elemente bei der Sicherung von IoT Geräten ist die Festlegung, wer mit diesen Geräten vor Ort kommunizieren und sie steuern kann. Dieser Teil der Sicherheit ist immer wichtig, um sicherzustellen, dass die Geräte nicht in die Hände von böswilligen Parteien fallen. In Fällen wie vernetzten medizinischen Geräten und Fahrzeugen, die sich direkt auf die persönliche Gesundheit und Sicherheit auswirken, ist dies jedoch besonders wichtig.
Die Bereitstellung des erforderlichen Schutzniveaus in diesem Bereich beginnt mit der eindeutigen Identitätsbereitstellung, die festlegt, wer mit einem Gerät kommunizieren darf, welche Aktualisierungen er ihm senden darf und wie er das Gerät während seiner gesamten Lebensdauer kontrollieren kann. An dieser Stelle wird die Authentifizierung mit Hilfe von Funktionen wie der Public Key Infrastructure (PKI) für die Überprüfung von Identitäten und die entsprechende Gewährung (oder Verweigerung) bestimmter Zugriffe unerlässlich.
3) Es gibt kein "unschuldiges" Gerät IoT
Da immer mehr Geräte vernetzt werden, ist es leicht, viele von ihnen als "unschuldig" abzutun. Ja, ein medizinisches Gerät, das mit einem Patienten verbunden ist, stellt ein größeres und direkteres Sicherheitsrisiko dar, wenn es gehackt wird, als z. B. eine angeschlossene Klimaanlage - aber das bedeutet nicht, dass die Klimaanlage "unschuldig" ist.
Jedes noch so harmlos erscheinende angeschlossene Gerät kann zu einer Waffe werden, wenn es in die falschen Hände gerät. Es ist sogar schon vorgekommen, dass sich böswillige Parteien Zugang zu sensiblen Daten verschafft haben, indem sie sich zunächst als diese "unschuldigen" Geräte (wie HLK-Geräte) ausgegeben haben, um Firewalls zu überwinden. In dieser Situation ist es unerlässlich, der Absicherung jedes einzelnen IoT Geräts (z. B. durch Authentifizierung und regelmäßige Sicherheitsupdates) große Aufmerksamkeit zu schenken, unabhängig von seinem Verwendungszweck.
4) Es gibt keine "alltäglichen" IoT Daten
Genauso wichtig ist es, die Daten zu schützen, die IoT Geräte sammeln - ganz gleich, um welche Daten es sich handelt und wie trivial sie erscheinen mögen - denn es gibt keine "banalen" IoT Daten. Nehmen wir den Fall eines vernetzten Traktors, der Daten über Erntemuster und Ernte für das Feld, auf dem er fährt, meldet. Auf den ersten Blick erscheinen diese Daten sicherlich banal und weitgehend nutzlos für alle außer ein paar Leuten. Wenn jedoch jemand Zugang zu dieser Art von Daten von Hunderten oder Tausenden von Traktoren hätte, könnte er plötzlich Ernteerträge vorhersagen und hätte selbst einen starken Futures-Markt.
Dies ist nur eines von vielen Beispielen, die zeigen, wie der Datenfluss von IoT extrem störend werden kann und streng kontrolliert werden muss. Eine der besten Möglichkeiten, diese Daten vertrauenswürdig zu machen und sicherzustellen, dass nur die richtigen Parteien darauf zugreifen können, ist die zertifikatsbasierte Authentifizierung. Und diese Authentifizierung muss stark sein, unabhängig davon, wie "banal" die von einem Gerät stammenden Daten erscheinen.
5) Jedes IoT Gerät benötigt einen Plan für Updates während seiner gesamten Lebensdauer
Die Geräte von IoT , die heute auf den Markt kommen, können durchaus noch 10 bis 15 Jahre im Einsatz sein, vor allem im Industrie- und Fahrzeugbereich. Zweifellos werden in dieser Zeit Fehler auftauchen, Schwachstellen aufgedeckt werden und die Technologie insgesamt erheblich weiterentwickelt werden. Solange diese Geräte im Umlauf sind, müssen die Hersteller sie entsprechend aktualisieren, wenn es irgendeine Hoffnung gibt, dass sie während ihrer Lebensdauer sicher bleiben sollen.
Wichtig ist, dass die Hersteller einen Plan für diese Updates entwickeln, bevor die ersten Geräte auf den Markt kommen. Dieser Plan sollte eine Möglichkeit beinhalten, Firmware-Updates sicher zu verbreiten, Krypto-Bibliotheken zu aktualisieren, auf denen die Authentifizierung basiert, die Authentifizierung bei Bedarf zu widerrufen und Zertifikate neu zu registrieren, wenn sie mit der Zeit ablaufen. Darüber hinaus muss der Plan auch berücksichtigen, wie die Hersteller diese Aktualisierungen bei Bedarf bereitstellen können, selbst wenn die Geräte offline gehen oder den Standort wechseln (z. B. in der EU, wo das Reisen durch verschiedene Länder häufig zu Roaming-Gebühren führt).
6) Vorschriften und Wettbewerb werden die Sicherheit von IoT noch wichtiger machen.
Bislang war die Website IoT in Bezug auf die Sicherheit eine Art "Wilder Westen", aber das ändert sich schnell. Erstens beginnen Regierungen und Branchenverbände, Richtlinien und Vorschriften zu erlassen, die ein Mindestmaß an Sicherheitsanforderungen in Bezug auf den Zugang zu Geräten, die Bereitstellung von Updates und die Verwendung von Daten vorschreiben. Zweitens werden die Endnutzer dieser Geräte aufmerksamer und achten nicht nur auf die reinen Vorteile und die Innovation der IoT , sondern auch darauf, dass die richtige Sicherheit vorhanden ist.
Auch wenn in Bezug auf die Sicherheitserwartungen und -vorschriften noch ein langer Weg zu gehen ist, beginnt sich das Blatt in die richtige Richtung zu wenden. So hat beispielsweise die FDA damit begonnen, Richtlinien für bewährte Verfahren der Cybersicherheit für medizinische Geräte herauszugeben (diese konzentrierten sich hauptsächlich auf die Authentifizierung durch eindeutige Schlüssel und Zertifikate und die Fähigkeit der Geräte, Aktualisierungen zu erhalten), und die Fahrzeughersteller arbeiten nun gemeinsam an ähnlichen Richtlinien. Es ist zu erwarten, dass in Zukunft noch mehr Vorschriften auf den Markt kommen werden, die eine intensive Beschäftigung mit der Gerätesicherheit IoT noch wichtiger machen werden, als sie es ohnehin schon ist.
7) IoT Bewährte Sicherheitspraktiken werden möglicherweise nie standardisiert werden.
Trotz der Zunahme der Vorschriften, die wir in den kommenden Jahren erwarten können, ist es wichtig zu erkennen, dass die bewährten Verfahren für die Sicherheit von IoT möglicherweise nie vollständig standardisiert werden. Das liegt daran, dass jedes IoT Gerät anders ist: Sie werden unterschiedlich hergestellt und haben unterschiedliche Anwendungsfälle. Diese Unterschiede stellen eine besondere Herausforderung für die Entwicklung eines Standardsatzes bewährter Verfahren dar, den alle befolgen können.
Aus der Sicherheitsperspektive gibt es bei allen Anwendungsfällen Gemeinsamkeiten, darunter die Bedeutung eindeutiger Anmeldedaten für die Authentifizierung auf jedem Gerät und sichere Verfahren für die Bereitstellung von Updates. Jeder, der sich mit der Sicherheit von IoT befasst, muss jedoch genauer untersuchen, was genau diese Themen für jedes einzelne Gerät bedeuten, anstatt einfach nur allgemeine Ratschläge zu erteilen.
8) Um die Sicherheit von IoT zu gewährleisten, ist ein schrittweiser Ansatz erforderlich.
Und schließlich ist es angesichts all dieser Nuancen, der noch unausgereiften Vorschriften und des allgemeinen Mangels an Standardisierung nicht einfach, die Sicherheit von IoT zu gewährleisten. Dies gilt ganz besonders. Die Sicherheit von IoT unterscheidet sich deutlich von der traditionellen Unternehmenssicherheit und ist ein neuer Bereich, in dem selbst die Hersteller dieser Geräte über fundierte Fachkenntnisse verfügen.
Am besten gehen Sie Schritt für Schritt vor, indem Sie sich zunächst genau ansehen, welche Art von Sicherheitsarchitektur für Ihre Geräte, Ihr Unternehmen und die speziellen Anforderungen Ihrer Kunden am besten geeignet ist. Von dort aus können Sie mit der Bewertung der verschiedenen Technologien beginnen, die für Schlüsselelemente wie Authentifizierung, Verschlüsselung, Code Signing usw. zur Verfügung stehen. Eine bewährte Praxis, die Sie dabei im Auge behalten sollten, ist die Verwendung bereits vorhandener Lösungen, die bei den grundlegenden Lebenszyklusphasen von IoT Geräten helfen können, wo immer dies möglich ist, da Sie so auf eine Fülle von Wissen und Erfahrung zurückgreifen können, anstatt etwas selbst zu entwickeln.
Lassen Sie sich von den Experten beraten: Was Sie sonst noch über IoT Gerätesicherheit wissen müssen
Es lohnt sich, die IoT richtig zu gestalten. Allerdings gibt es auf dem Weg dorthin auch viele Fallstricke, und diese Fallstricke können dem Ruf und den Einnahmen einer Organisation extrem schaden.
Daher ist die IoT nicht auf die leichte Schulter zu nehmen und muss anders behandelt werden als alle anderen Sicherheitsprojekte, die Sie in der Vergangenheit in Angriff genommen haben.
Was müssen Sie sonst noch wissen, wenn Sie über IoT Gerätesicherheit für Ihr Unternehmen nachdenken? Sehen Sie sich unsere Diskussionsrunde mit Experten von Keyfactor, Tata Communications und Telus an , um mehr zu erfahren.
