Ein sicheres Internet der Dinge Realität werden lassen: 5 Schritte für den Anfang

Das Internet der Dinge (IoT) birgt enorme Chancen.

Erstens verspricht es eine noch größere Wirkung als die Einführung des Internets, indem es universelle Konnektivität und ständige Innovation auf der Grundlage von Echtzeitdaten bietet. Wir sehen dies bereits in Aktion.

Zweitens verspricht es eine noch größere Sicherheit als herkömmliche IT-Umgebungen, in denen der Mensch und manuelle Prozesse in der Regel das schwächste Glied sind. An dieser Front müssen wir noch Fortschritte machen.

Wir wissen jetzt, dass Verstöße in maschinengesteuerten Netzwerken exponentiell störender sind und dem Missbrauch von Geräten, der Kompromittierung von Daten und einer Vielzahl anderer destruktiver Aktionen Tür und Tor öffnen.

Aber das Versprechen einer größeren Sicherheit ist immer noch realisierbar. Dazu müssen wir aus den Erfahrungen der Vergangenheit lernen und im gesamten Ökosystem von IoT eine solide Grundlage schaffen, bei der die Sicherheit von Anfang an im Vordergrund steht. Hier ist ein Blick auf das, was auf dem Spiel steht.

Es stand noch nie so viel auf dem Spiel wie bei der Sicherheit von IoT . Die Einführung von IoT birgt ein unglaubliches Potenzial für Sektoren wie die Automobilindustrie, das Gesundheitswesen, den Energiesektor und das Transportwesen, aber die Kosten eines Verstoßes in diesen Bereichen sind unwiderruflich hoch.

Nehmen wir den Fall des Gesundheitswesens: Eine typische Organisation des Gesundheitswesens hat 20.000 angeschlossene medizinische Geräte. Alle Systeme, die persönliche Daten und medizinische Aufzeichnungen speichern, sind ein beliebtes Ziel für Identitätsdiebe. Noch alarmierender ist, dass es fatale Folgen haben kann, wenn die falsche Partei die Kontrolle über medizinische Geräte erlangt. Im Jahr 2017 hat die FDA 465.000 Herzschrittmacher zurückgerufen zurück, nachdem sie Sicherheitslücken entdeckt hatte, die es Hackern ermöglichen könnten, die Gerätebatterien zu entladen oder bösartige Anweisungen zu senden, um den Herzschlag eines Patienten zu verändern.

Inzwischen sind vernetzte Fahrzeuge ein weiterer, zunehmend beliebter IoT Anwendungsfall, der ebenso erhebliche Risiken birgt. Seit 2015 haben wir zahlreiche Angriffe beobachtet, bei denen sich Dritte aus der Ferne Zugang zu einem Fahrzeug verschafft und Maßnahmen ergriffen haben wie Ausschalten des Getriebes während der Fahrt oder die Geschwindigkeit des Fahrzeugs angepasst haben. Solche Angriffe könnten nicht nur die Fahrzeuginsassen, sondern auch die Menschen in ihrer Umgebung ernsthaft schädigen.

Allzu oft verwenden IoT Geräte statische Passwörter oder gemeinsam genutzte Schlüssel, die ein ernsthaftes Risiko darstellen, da eine Kompromittierung eines Geräts alle Geräte betreffen kann. Stattdessen benötigt jedes Gerät sein eigenes, eindeutiges digitales Zertifikat.

Die Verwendung eindeutiger Anmeldeinformationen auf jedem Gerät minimiert nicht nur die Auswirkungen, wenn ein Gerät kompromittiert wird, sondern ermöglicht auch eine sicherere laufende Kommunikation. Es ermöglicht Unternehmen, jedes Gerät einzeln zu validieren, sichere Nachrichten und Updates an ein einzelnes Gerät zu senden und alle Daten zu authentifizieren, die von einem bestimmten Gerät eingehen.

Trusted Platform Module (TPM)-Technologie oder Secure Storage hardware bieten einen hardware-fähigen Ansatz zur Speicherung und Sicherung von kryptografischen Schlüsseln und Zertifikaten.

Diese Art von hardware bietet einen fälschungssicheren Ansatz für die Schlüsselspeicherung. Denn die einzige Möglichkeit, auf die auf diesen Geräten gespeicherten Schlüssel zuzugreifen, besteht darin, sich physischen Zugang zum Gerät selbst zu verschaffen.

Geräte müssen vor der Installation neuer Firmware- oder software -Updates auf ihre Echtheit überprüft werden, da Hacker andernfalls leicht bösartige Updates auf diese Geräte übertragen können.

Die Code-Signierung, bei der diese Aktualisierungen mit einer digitalen Signatur versehen werden, ist die beste Möglichkeit, diese Überprüfung durchzuführen, da diese Signaturen die Quelle authentifizieren und bestätigen können, dass das Skript während der Übertragung nicht verändert wurde. 

Die Verwaltung eines Root of Trust (RoT) gibt jeder Organisation die volle Kontrolle über die Überprüfung der Identität jedes Geräts (oder jeder Person), die einen Schlüssel erhält. Dies minimiert das Risiko im Vergleich zu einem gemeinsam genutzten RoT, bei dem eine andere Partei (selbst wenn es sich um einen bekannten Partner handelt) ein bestimmtes Maß an Kontrolle hat, das die Sicherheit für alle beeinträchtigen kann.

In einer Zeit, in der viele Gerätehersteller hardware mit vorinstallierten Schlüsseln und Zertifikaten ausliefern, sollten Unternehmen bestimmte Schritte unternehmen, um die Sicherheit zu gewährleisten. Erstens muss die Authentizität des neuen hardware mit dem vorhandenen Schlüssel validiert werden, und zweitens muss ein Bootstrapping zu Anmeldeinformationen erfolgen, die von einem privaten RoT ausgestellt wurden, um eine vollständige Kontrolle zu gewährleisten.

Schließlich ist es wichtig, daran zu denken, dass Zertifikate, Schlüssel und RoTs ein kontinuierliches Lebenszyklusmanagement erfordern, da statische Systeme von Natur aus unsicher sind.

Egal, ob kryptografische Algorithmen im Laufe der Zeit schwächer werden oder andere Bedrohungen die Zertifikate gefährden, die Teams müssen in der Lage sein, Anmeldeinformationen jederzeit zu erneuern, zu ersetzen und zu widerrufen, solange die Geräte in Gebrauch sind. Und dies muss auch auf Remote-Geräten im Außendienst möglich sein.

Die Public Key Infrastructure (PKI) ist ein vertrauenswürdiger Rahmen für die Verwaltung digitaler Zertifikate und die Verschlüsselung mit öffentlichen Schlüsseln, der den Schutz und die Skalierbarkeit bietet, die für die Sicherheit von IoT erforderlich sind. PKI bietet umfangreichere Funktionen und eine höhere Sicherheitsgarantie als jede andere Authentifizierungsmethode und wird seit Jahrzehnten in großen IT-Organisationen eingesetzt und genießt dort großes Vertrauen. Wichtig ist, dass die Nutzung dieses Potenzials eine ordnungsgemäße Verwaltung mit Blick auf die laufende Wartung und Skalierbarkeit erfordert.

Keyfactor Control ist eine solche Art der Nutzung von PKI, die es einfach macht, Sicherheit in jeden Schritt des Lebenszyklus von IoT Geräten einzubinden. Dies geschieht durch die Bereitstellung eindeutiger Identitäten, sichere Aktualisierungs- und Verwaltungsfunktionen, die Integration von Ökosystemen und Arbeitsabläufen auf der Grundlage einer sicheren RoT, die Möglichkeit der Codesignierung und die Fähigkeit, mit gängigen ERP- und MRP-Systemen zu arbeiten, um Bootstrap-Identitäten einzurichten, die nur dem Hersteller bekannt sind.

Mit einer klaren Strategie und einer Technologie wie Keyfactor Control, die bei der Umsetzung hilft, ist das Versprechen einer hochsicheren IoT in greifbare Nähe gerückt. Es geht einfach darum, die richtigen Protokolle, Prozesse und ein kontinuierliches Management zu etablieren.

Möchten Sie mehr über die häufigen Schwachstellen in der Sicherheit von IoT erfahren und was zu tun ist, um diese zu verbessern? Laden Sie unser Whitepaper über die fünf Leitprinzipien für die Sicherheit von IoT herunter, um weitere Informationen zu erhalten.