IoT Geräte haben sich seit dem ersten vernetzten der erste netzverbundene Verkaufsautomat im Jahr 1982 erfunden wurde. Im Jahr 2024 ist das Potenzial der Innovation von IoT geradezu revolutionär.
Doch mit den Chancen kommen auch die Risiken. Jedes einzelne angeschlossene Gerät stellt einen potenziellen Zugangspunkt für einen böswilligen Akteur dar. In großem Maßstab - zum Beispiel bei elektronischen Regaletiketten einer Lebensmittelkette oder bei Smartboards in einem Schulbezirk - erreicht die Angriffsfläche ein unhaltbares Ausmaß. Das ist einer der Gründe, warum IoT Angriffe zwischen 2022 und 2023 um 400 % zugenommen haben.
Wenn sie in Geschäftsprozesse eingebunden sind, wie z. B. ein angeschlossener Roboterarm in einer Fabrikhalle, stellt jedes Gerät eine potenzielle Fehlerquelle dar, die zu Ausfallzeiten und Produktivitätseinbußen führen kann.
Viele Organisationen, einschließlich Gerätehersteller und Organisationen, die diese Geräte nutzen, sind sich nicht sicher, wo sie mit der IoT Sicherheitsstrategie beginnen sollen. Aus diesem Grund hat Keyfactor seinen allerersten globalen IoT Sicherheitsbericht erstellt, Digitales Vertrauen in einer vernetzten Welt: Navigating the State of IoT Security.
Der Bericht zeigt, wie Unternehmen und Gerätehersteller über die Sicherheit von IoT nachdenken und entsprechende Strategien entwickeln.
Mit Blick auf das Jahr 2024 zeigt der Bericht drei Vorsätze auf, die sie zur Verbesserung der Sicherheit von IoT ergreifen können, unabhängig davon, wo sie sich in ihrer Sicherheitsentwicklung befinden.
Entschließung 1: Ausfälle von Zertifikaten sollen der Vergangenheit angehören.
Digitale Zertifikate spielen eine große Rolle bei der Funktionsweise der Geräte von IoT . In jedes Gerät ist ein Zertifikat eingebaut. Wenn das Gerät zum ersten Mal eingeschaltet wird, teilt das Zertifikat dem Gerät mit, dass es dem Server oder der API des Herstellers vertrauen kann. Hinweis: Dies ist eine drastische Vereinfachung, denn es gibt viele wichtige Funktionen, die über den Zertifikats-Handshake.
Wenn das Zertifikat jedoch abläuft, weiß das Gerät nicht mehr, worauf es vertrauen kann. Als Reaktion darauf vertraut es nichts mehr und hört im Grunde auf zu funktionieren.
Der Bericht State of IoT Security zeigt, dass 98 % der Unternehmen in den letzten 12 Monaten von einem zertifikatsbezogenen Ausfall betroffen waren. Für den durchschnittlichen Gerätehersteller verursachten diese Ausfälle Verluste von mehr als 2,25 Millionen US-Dollar.
Diese Arten von Ausfällen sind Symptome für ein tiefgreifendes Missmanagement der Lebenszyklen von Zertifikaten.
Da die Anzahl der Geräte und deren Nutzung zunimmt, ist die Verwaltung von Zertifikaten von entscheidender Bedeutung. Die Lösung ist Zentralisierung der Zertifikatsverwaltung in einem einzigen, universellen Hub zu zentralisieren und dann die Erkennung, Überwachung, den Widerruf und die Neuausstellung von Zertifikaten zu automatisieren.
Lösung 2: Definieren Sie, wie IoT Sicherheit aussieht und was Ihr Unternehmen benötigt.
IoT Schwachstellen können für Unternehmen eine Art blinder Fleck sein.
Aus dem Bericht IoT geht hervor, dass nur 43 % der Unternehmen glauben, dass sie "so gut wie möglich" vor IoT Angriffen geschützt sind, während 56 % der Befragten der Meinung sind, dass ihre Unternehmen nicht ausreichend sensibilisiert sind und nicht über das notwendige Fachwissen verfügen, um sich auf IoT Angriffe vorzubereiten.
Unternehmen, die sich nicht sicher sind, ob sie ihre IoT Geräte schützen können, sollten sich einen Überblick über den Stand der IoT Sicherheit im Unternehmen verschaffen.
Produktentwickler und -hersteller sollten Richtlinien erstellen, die die Sicherheit bereits zu Beginn des Projekts berücksichtigen, anstatt sie erst am Ende hinzuzufügen.
IoT Geräte verfügen über endliche Ressourcen - Stromverbrauch, Verarbeitungsleistung, Budgetbeschränkungen usw. Wenn die Sicherheitsanforderungen von Anfang an berücksichtigt werden, kann das Produktdesign in Bezug auf hardware, die Chipauswahl und andere Faktoren beeinflusst werden, was mehr Raum für Sicherheitskontrollen innerhalb der Grenzen des Geräts schafft.
Unternehmen, die IoT Geräte einsetzen, sollten sich um Transparenz bemühen, indem sie ermitteln, wie viele Geräte sich mit dem Netzwerk verbinden. Von wo aus werden sie verbunden? Wer betreibt sie? Welche Teams verwenden IoT Geräte, und welche Geräte verwenden sie?
Auf dieser Grundlage können Unternehmen Lücken erkennen und einen Plan zur Verringerung ihrer spezifischen Risiken erstellen. Die Kenntnis dieser Besonderheiten kann bei der Suche nach Anbietern und Partnern helfen, die den größten Nutzen für das Unternehmen bringen.
Sobald Unternehmen die Dynamik ihrer eigenen IoT Landschaft verstehen, können sie Lücken erkennen und einen Plan zu deren Beseitigung erstellen.
Im 2023 Gartner® 2023 Hype Cycle™ für digitale Identitätenfinden Unternehmen identitätsorientierte Best Practices, um intelligentere Technologieentscheidungen zu treffen.
Unternehmen, die durch die Zentralisierung von Geräteidentitäten für Transparenz sorgen, sind besser informiert, wenn sie ihren Ansatz für IoT Sicherheit entwickeln und Richtlinien implementieren, die diese Sicherheit gewährleisten.
Entschließung 3: Den neuen Vorschriften voraus sein IoT .
Regierungen und Aufsichtsbehörden sind sich einig, dass die Sicherheit von IoT eine gemeinsame Verantwortung ist. Endbenutzer müssen eine grundlegende Sicherheitshygiene einhalten, Unternehmen müssen Tools einsetzen und Systeme entwickeln, die die Sicherheit unterstützen, und Geräteentwickler und -hersteller müssen stärker darauf achten, Geräte zu entwickeln, die von vornherein sicherer sind.
Dieser Konsens setzt sich langsam aber sicher in der Politik durch.
- Die EU-Gesetze zur Cybersicherheit und Cyber-Resilienz haben einen Rechtsrahmen geschaffen, der neben vielen anderen Zielen auch Zertifizierungsstandards für digitale und vernetzte Geräte festlegt.
- Im Juni 2023 wies das Weiße Haus die Behörden an Technologien zu priorisieren, die von vornherein sicher sind. Dies steht im Einklang mit den Pfeilern der Biden-Administration, die im Frühjahr eine breitere Sicherheitsstrategie für die im Frühjahr 2023 veröffentlicht wurde.
- Es gibt zwar kein strenges Gesetz, das Gerätesicherheit vorschreibt, aber die Regierung Biden hat ein ein Programm zur Kennzeichnung der Cybersicherheit um intelligente Produkte zu kennzeichnen, die Angriffen widerstehen.
- Der Matter-Standard zielt darauf ab, Smart-Home-Geräte auf der Grundlage eines universellen Protokolls zu standardisieren, um die Komplexität zu verringern und es den Herstellern zu ermöglichen, Produkte schneller auf den Markt zu bringen. Der Matter-Standard legt strenge Sicherheitsanforderungen für Geräte fest.
Achtundneunzig Prozent der Befragten in der Studie IoT gaben an, dass Vorschriften einen Einfluss auf ihre Entwicklung von IoT und vernetzten Produkten haben. Es ist nur logisch anzunehmen, dass die Gesetzgebung und Normen den Unternehmen, die vernetzte Geräte verwenden und herstellen, eine größere Verantwortung auferlegen.
Angesichts der Unvorhersehbarkeit ist die Krypto-Agilität eine gute Voraussetzung für den Erfolg von Unternehmen.
In der Vergangenheit war die Anpassung an neue kryptografische Standards und Algorithmen alles andere als einfach. Mit der zunehmenden Verbreitung digitaler Technologien, maschineller Identitäten und vernetzter Geräte haben sich jedoch Lösungen und Methoden entwickelt, mit denen sich Unternehmen reibungslos an neue Anforderungen anpassen können.
Im Zusammenhang mit IoT und der Maschinenidentität, ist dies als Krypto-Agilität bekannt. Krypto-Agilität ermöglicht es Unternehmen, schnell auf Authentifizierungs- und Zertifikatsprobleme zu reagieren, Rechneridentitäten in großem Umfang zu verwalten und kryptografische Algorithmen schnell zu ändern.
Da Unternehmen ein offenes Ohr für neue gesetzliche Regelungen haben, sollten sie auch die Krypto-Agilität innerhalb der Organisation fördern. Zusätzlich zur Zentralisierung, Automatisierung und Strategie, die in unseren beiden früheren Entschließungen dargestellt wurden, können Unternehmen einen Fahrplan für die nächste Phase ihrer Entwicklung aufstellen und die Sicherheit enger mit der Innovation verknüpfen.
Die physische und die digitale Welt verbinden - sicher
Für viele Unternehmen ist die Sicherheit von IoT eine Herausforderung mit "unbekannten Unbekannten".
Sobald ein Gerät das Fließband verlässt und an einen Endbenutzer verkauft wird, lässt sich nicht vorhersagen, in welcher Art von Umgebung sich das Gerät befinden wird. Die Gerätehersteller gaben an, dass ihre größten Herausforderungen bei der Sicherung der von ihnen produzierten Geräte darin bestehen:
- Die Unfähigkeit, die Auswirkungen der Bedrohung durch Geräte von Drittanbietern zu quantifizieren IoT
- Mangelnde Sichtbarkeit und Verwaltung der Geräte
Obwohl die Budgets für IoT Geräte steigen, besteht die Gefahr, dass 52 % dieser Budgets zur Deckung der Kosten für IoT Sicherheitsverletzungen und Angriffe abgezweigt werden.
Sowohl jetzt als auch in Zukunft können sich Unternehmen keine unzureichende IoT Sicherheit mehr leisten. Sie muss vorrangig behandelt werden. Die Gewährleistung der Produktsicherheit während des gesamten Lebenszyklus ist von entscheidender Bedeutung, um das Risiko neuer Bedrohungen durch neue Angriffsvektoren zu verhindern.
