Die Sicherung von Maschinenidentitäten ist ein wachsendes Anliegen für Unternehmen und Cybersicherheitsverantwortliche, die sich auf das relativ neue Terrain des Internet der Dinge. Sicherheitsbewusste IT-Führungskräfte haben viel Zeit und Ressourcen in die Sicherung von Benutzeridentitäten investiert, indem sie den Zugang zu sensiblen Ressourcen einschränken und die Berechtigungen auf der Grundlage der Rollen der Benutzer im Unternehmen kontrollieren. Doch vielen ansonsten vorausschauenden Unternehmen fehlt eine Strategie für die Sicherung von Maschinenidentitäten.
Die Zahl der Maschinen und die Arten von Maschinenidentitäten sind im letzten Jahrzehnt explodiert. Zu diesen Identitäten gehören nicht nur Geräte, die von Mitarbeitern genutzt werden, sondern auch Algorithmen, APIs, Server, Cloud-Systeme, Container und andere digitale oder synthetische Akteure. Es gibt auch IoT Geräte wie Umweltsensoren, vernetzte Industrieanlagen, medizinische Geräte und intelligente Geräte. Die Zahl der maschinellen Identitäten übersteigt die Zahl der Benutzeridentitäten in einem durchschnittlichen Unternehmen um das Zehnfache, und dennoch werden sie von der IT-Abteilung nicht in gleichem Maße geprüft wie menschliche Identitäten.
Viele Unternehmen sichern Rechneridentitäten durch öffentliche Schlüssel und Zertifikate. Diese Zertifikate fungieren wie ein Reisepass, mit dem Menschen, Geräte und Anwendungen sicher miteinander interagieren können. Wenn ein Zertifikat abläuft oder gekapert wird, kann das katastrophale Folgen haben. Daher sind regelmäßige Aktualisierungen dieser Zertifikate von größter Bedeutung.
Leider, 74 % der Unternehmen nicht einmal wissen, wie viele Schlüssel und Zertifikate sie haben, geschweige denn, wo sie sind oder wann sie ablaufen. Dies bietet ein riesiges potenzielles Einfallstor für Malware und Ransomware. Ohne Transparenz darüber, welche Zertifikate überhaupt im Einsatz sind, bleibt ein über die Maschinenidentität verübter Datenschutzverstoß wahrscheinlich unentdeckt, bis er bereits einen großen Schaden angerichtet hat.
Die Public Key Infrastructure (PKI) ist eine Reihe von Prozessen und Tools zur Verwaltung von Zertifikaten, die eine Lösung für diesen Mangel an Transparenz bieten. Sie verschafft IT-Verantwortlichen einen umfassenden Überblick darüber, welche Zertifikate ablaufen oder gefährdet sind, und rationalisiert den Prozess der Ausstellung eines neuen Zertifikats. PKI-Plattformen und Servicemodelle können viele der für die Verwaltung von Maschinenidentitäten erforderlichen Prozesse automatisieren, so dass sich die Sicherheitsteams auf übergeordnete Ziele konzentrieren können.
PKI ist der Schlüssel zur Skalierung der Produktion IoT
Öffentliche Schlüssel und Zertifikate sind viel effizienter als der Aufbau von Vertrauen durch Benutzernamen, Kennwörter und Token. Diese Authentifizierungsmethoden sind für IoT Unternehmen, die Hunderttausende, wenn nicht gar Millionen von Geräten herstellen, nicht skalierbar.
Jedes Gerät, das vom Fließband kommt, benötigt eine eigene Identität und ein eigenes Zertifikat, oft sogar mehrere: eine Identität des Herstellers, eine des Gerätebesitzers und weitere für den Zugriff auf verschiedene Dienste wie externe Cloud-Anbieter. Jede Identität ist ein potenzieller Angriffsvektor, wenn sie nicht wirksam geschützt ist.
Es ist unmöglich, all diese Identitäten manuell zu erfassen, wenn Sie tausend Einheiten pro Stunde produzieren. Und wie können Sie nach der Bereitstellung eines IoT -Geräts in der Umgebung des Endnutzers alle Zertifikate inventarisieren, verwalten und überwachen? Im Jahr 2011 konnte ein Zertifikat 10 Jahre lang gültig sein. Im Jahr 2012 wurde diese Lebensdauer um die Hälfte verkürzt. Ab 2020 beträgt der Lebenszyklus von Zertifikaten nur noch ein Jahr, und einige Unternehmen gehen zu Lebenszyklen von einer Woche oder sogar einer Stunde über.
Es gibt keine Möglichkeit, diese Lebenszyklen ohne Automatisierung zu managen, aber viele Unternehmen versuchen es trotzdem, mit über 40 % der Unternehmen versuchen immer noch, Schlüssel und Zertifikate manuell über Tabellenkalkulationen zu verwalten. Dies führt zu einem massiven Engpass im Lebenszyklus der Entwicklung von software .
Eine PKI-Lösung kann bei der Verwaltung von Zertifikaten über den gesamten Entwicklungs-, Produktions- und Nutzungszyklus hinweg helfen und so den Weg für die Einführung von Methoden wie Agile und DevOps ebnen, die die Skalierung erleichtern und schnellere Innovationen ermöglichen. PKI reflektiert und ermöglicht diese iterativen, agilen Ansätze.
PKI bietet die Flexibilität zur Anpassung
Das Internet der Dinge ist eine sich schnell entwickelnde Branche. Die Vorschriften sind mitunter lückenhaft, täglich tauchen neue Anwendungsfälle auf, und neue Technologien wie OTA und DevOps-Toolchains beeinflussen die Branchenlandschaft. Es gibt nicht viele vereinbarte Best Practices und Frameworks, aber PKI ist flexibel genug, um in einer Vielzahl von Kontexten implementiert zu werden.
Einige Unternehmen versuchen, ihre eigene PKI-Plattform aufzubauen, aber die potenziellen Kostenvorteile überwiegen selten die Risiken und den Ressourcenverbrauch. Eine PKI-Initiative, die von einem unerfahrenen Team durchgeführt wird, kann am Ende mehr kosten als die Auslagerung des Projekts, und die Ergebnisse lösen das Problem möglicherweise nicht vollständig. PKI ist ein sehr spezifisches Gebiet mit vielen potenziellen Gefahren, und IoT Organisationen brauchen ein ganzes Team hochqualifizierter Spezialisten, die sich ausschließlich mit PKI befassen. Es kann nicht einfach auf dasselbe IT-Team abgewälzt werden, das für die Aufrechterhaltung des Kerngeschäftsbetriebs zuständig ist.
Auch wenn bei der Auslagerung einer so wichtigen Sicherheitsfunktion Vorsicht geboten ist, sollten erfahrene PKI-as-a-Service-Anbieter können PKI oft zu einem Bruchteil der Kosten automatisieren, sichern, bereitstellen und skalieren, die für die Entwicklung und den Betrieb eines internen PKI-Systems anfallen würden.
Verwaltung der Geräteidentität während der Herstellung
IoT Geräte können sensible Unternehmensdaten wie Fertigungs- oder persönliche Gesundheitsdaten enthalten, die geschützt werden müssen. Aber auch wenn ungesicherte Geräte selbst keine sensiblen Daten enthalten, können sie ein Zugangspunkt für Bedrohungsakteure sein, um in das Unternehmen zu gelangen.
Die Hersteller können nicht wissen, wo ein Gerät landen wird, und Endnutzerzertifikate können nicht in der Herstellungsphase ausgestellt werden. PKI kann den Übergang des Eigentums zwischen Hersteller und Endnutzer erleichtern.
In vielen Fällen muss der Kunde die PKI übernehmen und die werkseitigen Zertifikate durch seine eigenen ersetzen. Eine effektive PKI-Plattform hilft dem Endbenutzer, die Installation und Konfiguration von IoT Geräten zu verwalten, die Eigentumsverhältnisse festzulegen und die neue Umgebung automatisch zu bewerten. Wenn das Gerät zum ersten Mal eingeschaltet wird, ermöglicht PKI die Kommunikation mit Unternehmensservern und die Verbindung mit internen Ressourcen. Vor allem aber teilt die PKI dem Gerät mit, wer sein neuer Eigentümer ist.
Diese klare Übergabe des Eigentums verbessert die Erfahrung des Endbenutzers, da ein großer Teil der anfänglichen Einrichtung und Konfiguration automatisiert wird. Darüber hinaus kann das Gerät IoT in jede Umgebung integriert werden, während das Risiko, das durch die gemeinsame Nutzung von Daten mit benachbarten Systemen entsteht, gemindert wird. IoT Endbenutzer möchten nicht mit dem Prozess der Sicherung des Systems belastet werden, sie möchten nur, dass es mit einem Minimum an Aufwand in Betrieb genommen wird und nach der Einrichtung gut funktioniert.
Die Einsatzmöglichkeiten von IoT Geräten sind sehr unterschiedlich und reichen von medizinischen Geräten über Verbraucherprodukte bis hin zu militärischer Ausrüstung. Die meisten PKI-Technologien können jedoch die überwiegende Mehrheit der Szenarien für die Ausstellung von Geräten abdecken, oft über branchenspezifische oder konfigurierbare Arbeitsabläufe.
Nicht alle Publicity ist gute Publicity
IoTals Industrie wird sich weiter entwickeln und in rasantem Tempo wachsen. Wir haben bereits selbstfahrende Autos und Herzschrittmacher, die von überall auf der Welt überwacht werden können. Diese rasante Expansion birgt jedoch nicht nur Chancen, sondern auch Risiken, und Unternehmen, die die Sicherheit von IoT vernachlässigen, werden Schlagzeilen machen, ihren Ruf schädigen und massive finanzielle Verluste erleiden.
Die Fähigkeit, die Sicherheit zu skalieren und die zunehmende Zahl von Maschinenidentitäten zu verwalten und gleichzeitig Kosten, Aufwand und Risiko zu minimieren, ist der Schlüssel zum Erfolg der Hersteller von IoT . PKI ermöglicht es den Unternehmen, sich auf die Entwicklung effektiver Produkte zu konzentrieren, anstatt Zertifikate zu verwalten.
Mehr erfahren
Wenn Sie sich eingehender mit den Grundsätzen für die Sicherheit des Internets der Dinge befassen möchten, lesen Sie unser Whitepaper Fünf Leitprinzipien für IoT Sicherheit.