Der Zugang zu Echtzeitdaten ist für Business Intelligence von großem Wert. Stellen Sie sich vor, ein Roboterarm an einem Fließband könnte Ihnen mitteilen, wie viel Energie er verbraucht, wie lange er für seine Arbeit braucht oder wann er gewartet werden muss.
Vom Herzschrittmacher bis zum selbstfahrenden Auto werden Geräte, die bisher isoliert waren, mit dem Internet verbunden. Dies bietet den Nutzern einen großen Nutzen und kann im Falle medizinischer Geräte sogar Leben retten. Aber mit dem Mehrwert der Interkonnektivität geht ein viel größeres Risiko einher.
Theoretisch kann die Infrastruktur des Internets der Dinge (IoT) sogar noch more sicherer sein als die von Servern und Workstations, da manuelle Prozesse oft der anfälligste Teil einer Cloud-basierten Infrastruktur sind.
Da es sich jedoch um eine neue Technologie handelt, die sich explosionsartig entwickelt, kann die Sicherheit von IoT Geräten ein bewegliches Ziel sein, da neue Technologien, Vorschriften, Anwendungsfälle und Bedrohungen auftauchen. Und es steht viel auf dem Spiel, denn die potenziellen Folgen einer Datenpanne, bei der medizinische Geräte, Militärausrüstung, Privatfahrzeuge oder große öffentliche Versorgungseinrichtungen gefährdet sind, könnten lebensbedrohlich sein.
Das Internet der Dinge ist eine neue Welt für traditionelle IT- und Cybersicherheitsexperten. Es gibt viele Möglichkeiten, wie ihr derzeitiges Fachwissen auf diese neue IoT Revolution angewendet werden kann, aber sie werden sich auch einigen neuen Herausforderungen stellen müssen.
Herausforderung 1: Die Anforderungen der Skala erfüllen
Fertigungsmaschinen müssen oft Hunderttausende von Einheiten pro Woche produzieren, jede mit eigenem Zertifikat und eigener Identität. Die Zertifikate müssen so schnell ausgestellt werden, wie die Einheiten vom Fließband kommen.
Allein die Pflege des Inventars aller ausgestellten Zertifikate, ganz zu schweigen von deren Überwachung und Aktualisierung, ist ein großes Unterfangen, vor allem bei Zertifikaten mit kurzen Lebenszyklen.
Zweiundvierzig Prozent der Unternehmen verwenden immer noch Tabellenkalkulationen, um digitale Zertifikate manuell zu erfassen, und 57 % verfügen nicht über ein genaues Verzeichnis ihrer SSH-Schlüssel. Folglich werden bis zu 40 % der Rechneridentitäten nicht nachverfolgt.
Herausforderung 2: Null Vertrauen
Elektronische Steuergeräte (ECUs) für Kraftfahrzeuge, die die Sicherheits-, Antriebs- und Infotainmentsysteme im Fahrzeug steuern, werden in einer weit verzweigten Lieferkette mit mehreren Eintrittspunkten hergestellt, die von einem Bedrohungsakteur ausgenutzt werden könnten.
Und die Produkte dieser Lieferkette werden in unbekannten Umgebungen eingesetzt, die möglicherweise jahrzehntealte Sicherheitskontrollen verwenden. Die Hersteller können die Sicherheit ihrer Produkte nicht vom Endnutzer abhängig machen, da eine mit dem Produkt verbundene Datenschutzverletzung den Ruf des Herstellers schädigen kann, selbst wenn die Verletzung letztlich auf den Nutzer zurückzuführen ist.
IoT Technologie muss einen Zero-Trust-Ansatz Sicherheit sowohl für menschliche als auch maschinelle Identitäten. Bei diesem Ansatz, bei dem die Verweigerung des Zugriffs die Standardeinstellung ist und der Zugriff nur auf der Grundlage strenger Kriterien gewährt wird, wird die Sicherheit nicht einfach als Funktion hinzugefügt, sondern als Gestaltungselement in den gesamten Produktlebenszyklus integriert.
Darüber hinaus muss das Gerät in eine Vielzahl benachbarter Systeme integriert werden, von denen einige möglicherweise nicht die gleichen strengen Sicherheitsstandards einhalten. Vorschriften und Industriestandards sind im Bereich IoT noch im Entstehen begriffen, so dass die Hersteller mit der Herausforderung konfrontiert sind, dass diese Systeme nicht einheitlich sind. Ihre Produkte zu schützen und sie gleichzeitig interoperabel zu machen, kann eine große Herausforderung sein.
Herausforderung 3: Plattformbeschränkungen
Sicherheit ist kaum ein Verkaufsargument für ein IoT Gerät. Auf dem Markt kommt es darauf an, wie gut das Produkt funktioniert, wie energieeffizient es ist, wie viel es kostet usw. IoT Produktverkäufer können den Kunden nicht mehr Geld für ein Produkt abverlangen, indem sie die Sicherheit als Wertversprechen nutzen. Daher müssen die Hersteller darauf achten, dass die Sicherheitsmaßnahmen die Benutzerfreundlichkeit und Effizienz nicht beeinträchtigen.
Sicherheitsaspekte müssen in den gesamten Produktentwicklungs- und -herstellungsprozess eingebettet werden, damit sie nicht zu einem lästigen Beiwerk werden. Wenn die Sicherheit von Anfang an Teil des Arbeitsablaufs ist, d. h. "Security by Design", entstehen weniger Reibungsverluste im Produktfreigabezyklus und die Gewinnspannen werden weniger beeinträchtigt.
Herausforderung 4: Gleichgewicht zwischen Sicherheit und Funktionalität
Sicherheit ist in der Regel nicht die wichtigste Aufgabe im Entwurfsprozess von Produktionsanlagen. Die Kunden interessieren sich vor allem dafür, wie gut das Produkt funktioniert, ob es alle benötigten Funktionen hat und wie viel es kostet. Die Möglichkeit, Geschäftsabläufe über das Internet zu überwachen, ist ein großer Werttreiber, aber alles, womit ein Gerät verbunden ist, stellt ein neues Risiko dar. Das Gleichgewicht zwischen Sicherheit und Interkonnektivität muss ein Produktdesigner im Auge behalten, um den Schaden zu verhindern, den eine mögliche Datenpanne für den Ruf eines Unternehmens bedeuten könnte.
Dieser Spagat kann schwierig sein, vor allem, wenn die Designphase auf ein agiles oder DevOps-Modell ausgerichtet ist. Designer leben von Veränderung und Innovation, während Sicherheitsverantwortliche Stabilität in Stasis und Vorhersehbarkeit suchen. Designer wollen vielleicht keinen weiteren Koch in der Küche, und Sicherheitsverantwortliche sind vielleicht nicht flexibel genug, um Kompromisse einzugehen.
Herausforderung 5: Einhaltung von Normen
IoT wird in den nächsten Jahren eine Menge Entwicklung erleben. Neue Anwendungsfälle, Technologien und Bedrohungen werden zu neuen Vorschriften führen. Aber wenn die Sicherheit für die Entwickler von IoT nicht oberste Priorität hat, wird die Einhaltung der Vorschriften immer ein Problem bleiben.
Derzeit ist das regulatorische Umfeld für die Sicherheit von IoT uneinheitlich. NIST informiert über die Vorschriften in den USA, aber andere Länder haben ihre eigenen Genehmigungsbehörden und Normen. Die Vorschriften für Elektrofahrzeuge umfassen PKI, aber diese Vorschriften unterscheiden sich von Region zu Region. Normen wie IEC 62443 werden oft im Vergleich zu anderen Sicherheitsstandards diskutiert. Das kalifornische Gesetz SB: 327 war das erste IoT-spezifische Gesetz in den Vereinigten Staaten.
Ein Unternehmen, das ein Produkt weltweit auf den Markt bringt, muss dieses Produkt mit einer Sicherheit herstellen, die mehreren gesetzlichen Vorschriften entspricht (z. B., GDPR in Europa, PIPL in China, LGPD in Brasilien). Diese Datenschutzbestimmungen werden auf IoT Geräte ausgeweitet, und einige Organisationen können von spezialisierten Beratern profitieren, die mit allen Standards vertraut sind.
Risiken bei der Behandlung von IoT Sicherheit als nachträglicher Gedanke
Für die meisten Hersteller von IoT steht die Sicherheit nicht an erster Stelle, aber die Käufer gehen davon aus, dass die Produkte sicher sind, und eine Sicherheitsverletzung auf Geräteebene kann das Vertrauen der Kunden in eine Marke schwächen und zu einem hohen Imageschaden führen. Ein Aquarium-Thermometer in einem Kasino ermöglichte es einem Hacker, 10 GB nicht offengelegter Daten ins Ausland zu exportieren. Ungeschützte Sicherheitskameras verschafften Hackern Zugang zu Videoübertragungen in Tesla-Fabriken sowie in Gefängnissen, Polizeistationen und Krankenhäusern.
In größerem Maßstab hat der Stuxnet-Virus die Geschwindigkeiten der iranischen Nuklearzentrifugen so unmerklich verändert, dass Menschen die Veränderung nicht feststellen konnten, und das iranische Atomprogramm in die Knie gezwungen.
Aber nicht nur Regierungen und Unternehmen können davon betroffen sein: von Fahrzeugen, die gehackt werden während der Fahrt auf der Autobahn Sicherheitskameras zu Hause, die kompromittiert werden bis hin zu Schwachstellen in IoT HerzschrittmachernCyberangriffe auf einige Geräte von IoT können direkt lebensbedrohlich sein und bei den Verbrauchern Angst auslösen.
Aus diesem Grund können ungesicherte Geräte zu saftigen Geldbußen und Strafen durch staatliche Aufsichtsbehörden führen. Im Jahr 2015 gab das HHS Office of Civil Rights (OCR) seinen ersten Vergleich im Zusammenhang mit einer Datenschutzverletzung durch medizinische Geräte in einem Krankenhaus bekannt. 600 Datensätze wurden offengelegt, und das Lahey Hospital & Medical Center zahlte 850.000 US-Dollar. Man könnte argumentieren, dass das OCR eine Botschaft aussendet, um Geräte und Systeme in den Geltungsbereich des HIPAA einzubeziehen.
Der Markt expandiert
Die Branche IoT wird in verschiedenen Bereichen explodieren. Nach Angaben von IoT Analytikwuchs der globale Markt IoT im Jahr 2021 um mehr als 22 %, und es wird erwartet, dass er bis 2027 mit der gleichen durchschnittlichen jährlichen Wachstumsrate weiter wächst.
In dieser relativ neuen Branche gibt es eine Menge Wachstumsschmerzen, und die Unternehmen sind sich nicht sicher, wer für was zuständig ist, wenn es um Sicherheit geht. Die beste Sicherheitslage wird erreicht, wenn Design-, Betriebs- und Sicherheitsverantwortliche erkennen, dass sie alle ein Interesse an der Sicherheit der IoT Geräte haben. Die besten IoT Produkte werden von Herstellern hergestellt, die Sicherheits- und Compliance-Überlegungen von Anfang an in das Gerätedesign einbeziehen.
Wenn Sie sich eingehender mit den Grundsätzen für die Sicherheit des Internets der Dinge befassen möchten, lesen Sie unser Whitepaper Fünf Leitprinzipien für IoT Sicherheit.