Digitales Vertrauen ist eine wesentliche Voraussetzung für die Sicherheit aller vernetzten Dinge, von vernetzten Herzschrittmachern und Druckern bis hin zu Transportmitteln und kritischen Infrastrukturen. Und da die Nutzung dieser IoT Geräte weiterhin explosionsartig zunimmt, war es noch nie so wichtig wie heute, Trends im Bereich des digitalen Vertrauens zu verstehen.
Vor diesem Hintergrund haben Keyfactor und Vanson Bourne gemeinsam einen Bericht verfasst, Digitales Vertrauen in einer vernetzten Welt: Navigating the State of IoT Security, der die Erkenntnisse aus 1.200 Umfrageantworten aus zwei einzigartigen Blickwinkeln zusammenfasst - diejenigen, die vernetzte Geräte/Produkte entwickeln und herstellen (OEMs) und diejenigen, die vernetzte Geräte/Produkte innerhalb ihrer Organisation einsetzen und betreiben.
Sind Sie bereit, sich mit den Daten zu beschäftigen? Ellen Boehm, SVP of IoT Strategy and Operations bei Keyfactor, und Mitch Mershon, Product Manager for Emerging Markets bei Keyfactor, haben sich zusammengesetzt, um die wichtigsten Ergebnisse des Berichts zu besprechen, darunter Trends in IoT device identity and management, die Prävalenz und die Auswirkungen von Sicherheitsverletzungen sowie die Auswirkungen von Industriestandards auf die Produktentwicklung. Lesen Sie weiter für eine Zusammenfassung des Gesprächs, oder klicken Sie hier, um das Webinar anzusehen.
Schaffung von digitalem Vertrauen: Trends im IoT Geräte- und Identitätsmanagement
Zuallererst ist es wichtig, mit den Bausteine des digitalen Vertrauens: Jede Maschine braucht eine Identität, und jede Identität muss verwaltet werden.
Traditionell betrachten wir das Identitätsmanagement aus der Unternehmensperspektive, d. h. aus der Perspektive von Serverschränken, Laptops und anderen Geräten im Unternehmensnetzwerk. Aber wir leben jetzt in einer einer Welt der intelligenten, vernetzten Geräte die überall und für jeden zugänglich sind, und jedes dieser IoT Geräte benötigt eine Identität, da jedes einzelne einen Angriffsvektor darstellt.
Diese modernen Geräte können auch sehr komplex sein, in manchen Fällen sogar eine Maschine von Maschinen. Denken Sie an ein Auto oder ein Flugzeug - jedes hat viele verschiedene Komponenten mit eigenen Betriebsnetzen, die mit dem Unternehmensnetz verbunden werden können. In diesen Fällen haben wir es mit einer Maschine zu tun, die mehrere Identitäten in sich trägt, mit einer eigenen, umfassenderen Identität, die sich mit einem System verbindet.
Wie genau funktioniert das Ganze also? Zunächst haben Sie Hersteller, Designer und Entwickler, die die ein IoT Gerät herstellen, sei es eine Windturbine, ein Zug, eine Drohne oder etwas anderes. Diese Erstausrüster übernehmen Aufgaben wie Sicherheitsdesign, Tests, Zertifizierung und Identitätsbereitstellung. Sobald das Gerät produziert und verkauft ist, wird es in einer Einrichtung wie einer Fabrik, einem Krankenhaus oder einem Versorgungsnetz eingesetzt, wo die Betreiber die Bereitstellung von Diensten, die Überwachung des Gerätezustands und die Außerbetriebnahme am Ende der Lebensdauer übernehmen und verwalten. Glücklicherweise werden die Budgets beider Teams für die Gerätesicherheit IoT von Jahr zu Jahr weiter steigen. Unserem Bericht zufolge erwarten die Verantwortlichen einen Anstieg von 45 % in den nächsten fünf Jahren, was zeigt, dass IoT Sicherheit eine vorrangige Investition für Unternehmen ist, weil sie die Risiken verstehen, die es für das Geschäft haben kann, wenn es falsch gemacht wird. Allerdings könnten 52 % dieses Budgets gefährdet sein, wenn es für nachträgliche Aufräumarbeiten abgezweigt werden muss, wie z. B. im Fall von eines Ausfalls oder einer Kompromittierung. Dies ist insofern bemerkenswert, als die Zahl der Cyberangriffe zunimmt.
Die Risiken verstehen: Häufigkeit und Auswirkungen von Sicherheitsverletzungen bei Geräten IoT
Sicherheitsverletzungen nehmen zu, und niemand ist davon ausgenommen: Nahezu jedes Unternehmen war bereits von einem Cyberangriff betroffen, und die, die es noch nicht waren, werden es wahrscheinlich in naher Zukunft sein. Tatsächlich gaben 89 % der Umfrageteilnehmer an, dass die Produkte ihres Unternehmens IoT in den letzten 12 Monaten einem Cyberangriff ausgesetzt waren, und 69 % gaben an, dass sie in den letzten drei Jahren eine Zunahme der Angriffe auf IoT Geräte festgestellt haben.
Der Grund für diesen Anstieg: IoT wird überall genutzt: Die Umfrageteilnehmer berichten, dass die Nutzung von IoT in den letzten drei Jahren um 20 % zugenommen hat. Mehr Geräte bedeuten mehr Identitäten (sowohl umfassendere Identitäten für jedes Gerät als auch alle Identitäten für die darin enthaltenen kleineren Maschinen), wodurch sich die Zahl der Angriffsvektoren vervielfacht.
So war beispielsweise die Fertigung früher ein enges, engmaschiges System, doch jetzt sind alle neuen Maschinen mit verschiedenen Sensoren innerhalb jeder Einheit verbunden. Jeder dieser Sensoren und die Maschinen als Ganzes sind ein Angriffsvektor. Oder nehmen Sie den Fall des Lieferkettenmanagements, bei dem ein Unternehmen mit einem anderen und einem weiteren und einem weiteren Unternehmen kommuniziert und so eine Kette bildet. In beiden Fällen müssen die Betreiber sicherstellen, dass sie jeder einzelnen Identität und Kommunikation entlang des Weges vertrauen können, um gegen Angriffe zu schützenselbst von scheinbar harmlosen Geräten wie einer HLK-Anlage.
Und die Kosten für diese Angriffe sind nicht zu verachten:
- 236.000 Dollar sind die durchschnittlichen Kosten, die Unternehmen im vergangenen Jahr aufgrund eines Sicherheitsverstoßes gezahlt haben gezahlt haben, weil ihre IoT Geräte ein Datenleck hatten oder jemand über ein Gerät in das Netzwerk eindringen konnte. Wenn man bedenkt, dass sich diese Zahl auf ein Jahr bezieht, kann man sich leicht vorstellen, wie sich das im Laufe der Zeit summiert.
- 2,3 Millionen Dollar sind die durchschnittlichen Kosten für den Ausfall eines Zertifikats in einer ProduktionslinieDas heißt, wenn ein angeschlossenes Gerät versucht, einen Server aufzurufen, aber das Zertifikat ungültig ist, kann die Fertigungsstraße nicht mehr produzieren, bis das Problem behoben ist.
Es geht auch nicht nur um Geld. Laut den Befragten gehören zu den größten Sorgen nach einem Cyberangriff die Schädigung des externen Rufs, der Verlust von Kundendaten, der Vertrauensverlust der Mitarbeiter in das Unternehmen, Geldstrafen und Umsatzeinbußen.
Die Umfrageteilnehmer sind sich einig, dass die Sicherheit von IoT verbessert werden muss (88 %), um sich vor diesen Risiken zu schützen. Allerdings sind 47 % der Befragten der Meinung, dass sie bereits alles in ihrer Macht Stehende tun, um ihr Unternehmen zu schützen. Bei genauerer Betrachtung sind 56 % der Befragten der Meinung, dass ihr Unternehmen nicht über das nötige Bewusstsein und Fachwissen verfügt, um sich auf Cybersecurity-Angriffe über IoT Geräte vorzubereiten. Diese Zahl steigt auf 59 %, wenn man nur die Unternehmen betrachtet, die bereits einen Cyberangriff erlebt haben, verglichen mit 27 % bei den Unternehmen, die noch keinen Angriff erlebt haben.
Auch wenn die Zahl der Angriffe zunimmt und die Sicherheit eine Herausforderung darstellt, ist ein Schutz zum Glück möglich. Voraussetzung dafür ist ein vollständiger Einblick in IoT Geräte und ihre Identitäten, einschließlich der Fähigkeit, diese Identitäten bei Bedarf schnell zu finden und die Verwaltung des Lebenszyklus zu automatisieren, damit die Geräte nicht ausfallen und alles betriebsbereit bleibt, auch wenn Zertifikate ablaufen oder gefährdet sind. Außerdem ist es erforderlich, mit einem Unternehmen zusammenzuarbeiten, das über das entsprechende Fachwissen in folgenden Bereichen verfügt IoT Sicherheit um mögliche Lücken im internen Team zu schließen.
Sicherheit von Anfang an einbinden: Die wichtigsten Trends für OEMs zur Übernahme der Verantwortung für die Sicherheit IoT
Wenn man sich die OEMs genauer ansieht, fallen drei Trends auf, wenn es um IoT Sicherheit geht:
1. Die Sicherheit muss im Mittelpunkt des Produktdesigns stehen: OEMs wissen, dass eine angemessene Sicherheitsarchitektur von Beginn des Produktdesigns an genauso wichtig ist wie die Elektronik, die Funktionalität und die Website software selbst. Denn wenn die Sicherheit nicht korrekt ausgeführt wird, ist es unmöglich, z. B. sichere Firmware-Updates aus der Ferne zu versenden, neue Funktionen zu aktivieren oder Upselling-Maßnahmen für Kunden durchzuführen. Infolgedessen berücksichtigen immer mehr Hersteller Sicherheit von Anfang an.
2. Partner von Drittanbietern bieten das Know-how, um Sicherheit effektiv zu implementieren: Wir beobachten auch eine verstärkte Zusammenarbeit innerhalb des Ökosystems, da die Hersteller erkennen, dass sie nicht alles von Grund auf neu entwickeln müssen. OEMs versuchen nun, bewährte Verfahren aus der gesamten Branche zu implementieren und mit kompetenten Partnern zusammenzuarbeiten, um die bestmögliche Sicherheit zu erreichen. Dieser Ansatz ist auch deshalb wichtig, weil die Hersteller darüber nachdenken, wie sich die Technologie verändern wird und wie sie ihre Entwürfe so flexibel gestalten können, dass sie 10 bis 15 Jahre lang im Feld eingesetzt werden können. Zu den wichtigsten Gründen für die Zusammenarbeit mit Drittanbietern gehören den Befragten zufolge die größere Flexibilität und die geringeren Kosten im Hinblick auf die Ressourcen, die Möglichkeit, einen vollständigen Überblick über Hunderte Millionen von Geräteidentitäten zu erhalten, und die Verringerung des internen Arbeitsaufwands für eine hochgradige Nischenkompetenz.
3. Die Sicherheit endet nicht, wenn das Gerät vom Band läuft: Bei der Sicherheit geht es nicht nur darum, wie das Gerät aussieht, wenn es zum ersten Mal produziert wird. Vielmehr sind die OEMs für die Sicherheit während der gesamten Lebensdauer des Geräts verantwortlich. Denken Sie an ein software Update für ein iPhone: Wenn ein Benutzer auf "Installieren" klickt, prüft das Telefon zunächst, ob die Firmware ein Zertifikat besitzt. Es führt eine Signaturprüfung durch, bevor es etwas installiert, um zu wissen, woher das Update kommt und ob man ihm vertrauen kann. Diese laufende Überprüfung ist für die Sicherheit unerlässlich.
All dies ist besonders wichtig, denn so sehr man sich auch auf ein sicheres Erlebnis vorbereiten kann, es kommt immer wieder zu Sicherheitsverletzungen. Und wenn es auf einem Gerät von IoT zu einer Sicherheitsverletzung kommt, sind mehr als 70 % der Befragten der Meinung, dass zumindest ein Teil der Verantwortung beim Hersteller liegt.
Vor diesem Hintergrund sehen die OEMs ihre Hauptverantwortung (neben vielen anderen) im Lebenszyklusmanagement von Cybersicherheitskomponenten in Produkten. Weitere wichtige Aufgaben sind die gemeinsame Nutzung einer Sicherheits- oder software Materialliste, die Überprüfung von Betriebssystemen und die Bereitstellung von software Updates.
Übernahme von Industriestandards: Die Auswirkungen von Vorschriften auf die Produktentwicklung IoT
Trotz aller Fortschritte, die Hersteller und Betreiber in Bezug auf die Sicherheit von IoT machen, gibt es immer noch Unklarheiten über die besten Praktiken. Und das liegt vor allem daran, dass die Vorschriften von Land zu Land sehr unterschiedlich sind. Auf dem Laufenden bleiben mit diese Standards ist ein weiterer Grund, warum OEMs von der Zusammenarbeit mit Experten von Drittanbietern profitieren.
Im Grossen und Ganzen werden Normen immer häufiger und haben einen viel stärkeren Einfluss auf die Produktentwicklung. So ist beispielsweise der Konnektivitätsstandard open-source von Matter für Smart Home und IoT Geräte ist einer der anerkanntesten Standards, die in den letzten Jahren entstanden sind. Auch die Automobilindustrie hat mit verschiedenen regional basierten Standards eine Vorreiterrolle übernommen.
Unabhängig von der Branche müssen viele Hersteller Änderungen vornehmen, um diese Normen zu erfüllen. Wenn sie dies nicht tun, können sie ihr Produkt entweder aufgrund staatlicher Vorschriften nicht verkaufen, oder sie verpassen einen Teil des Marktes dank Konsortien wie Materie. Die Tatsache, dass sich diese Vorschriften nun auf den Verkauf und die Marktfähigkeit auswirken können - ganz zu schweigen davon, dass die Endverbraucher zunehmend erwarten, dass die Produkte bestimmte Normen erfüllen - hat die Hersteller gezwungen, ihre Geschäftspraktiken anzupassen, und dieser Trend wird sich nur fortsetzen.
IoT Die Sicherheit entwickelt sich weiter: OEMs und Anbieter müssen Schritt halten
Der Stand der Sicherheit von IoT hat sich in den letzten Jahren enorm verändert, und wir erreichen jetzt ein neues Risikoniveau.
Mit der zunehmenden Verbreitung von IoT auf der ganzen Welt werden diese Geräte zunehmend zu Angriffsvektoren. Gleichzeitig geben sowohl die Hersteller als auch die Nutzer zu, dass sie nicht über das nötige Know-how verfügen, um diese Geräte zu schützen. Diese Situation hat bereits zu schwerwiegenden Folgen von Sicherheitsverletzungen geführt, die weit über die unmittelbaren finanziellen Auswirkungen hinausgehen, z. B. Rufschädigung und Prüfungsrisiken.
Als Reaktion darauf müssen OEMs und Anbieter der Sicherheit von IoT Priorität einräumen, indem sie sie von Anfang an einbeziehen und mit Experten zusammenarbeiten, die dabei helfen können, Wissenslücken zu schließen, ein angemessenes Bewusstsein aufrechtzuerhalten und neue und sich ändernde Standards zu befolgen. Wenn dies geschieht, sind die Unternehmen auf dem besten Weg, sich gegen diese zunehmenden Risiken zu schützen.
