Der Countdown für die Keyfactor Tech Days läuft - sichern Sie sich noch heute Ihren Platz!

Ihre Fragen werden beantwortet: Der Stand von PKI & IoT Sicherheit

Internet der Dinge (IoT)

Die Welt von IoT hat sich weiter rasant entwickelt, und während Produktinnovatoren vernetzte Geräte auf den Markt bringen, steigt das Risiko von Gerätehacks und Datendiebstahl weiter an. Eine schnellere Produktentwicklung und die Bereitstellung von Funktionen haben oft Vorrang, was zu erhöhten IoT Sicherheitsrisiken führt.

Lesen Sie die wichtigsten Fragen aus unserer jüngsten Fragerunde mit PKI-Experten, um zu erfahren, warum und wie sich die Public Key Infrastructure(PKI) als effizienter und kostengünstiger Weg zur Sicherung eingebetteter Geräte im großen Maßstab erwiesen hat. Oder sehen Sie sich die komplette Sitzung auf Abruf an:

Wie ist der aktuelle Stand der Sicherheit von PKI und IoT ?

IoT in der heutigen Zeit in einer interessanten Position. Ein neuer Trend beim Cloud Computing geht in Richtung Edge Computing. Und durch die Kombination dieser drei Anforderungen (IoT, Cloud und Edge Computing) wird die Sicherung von Geräten, Anwendungen und Mikrodiensten, die in Containern ausgeführt werden, immer wichtiger.

Die Zahl der neuen Geräte, Anwendungen und Komponenten, die sicher miteinander kommunizieren wollen, ist explosionsartig angestiegen, und die Komplexität wird noch zunehmen. Bei vielen dieser Systeme - vor allem in der Industrie - handelt es sich um veraltete Geräte, die sich nur schwer aktualisieren oder patchen lassen.

Letzten Endes bedeutet IoT im Wesentlichen, dass ein Netzwerk-Stack auf etwas aufgesetzt wird, das vorher keinen hatte, was natürlich zu größeren Sicherheitsherausforderungen führt. Zusammen mit der Notwendigkeit, mit den aktuellen und zukünftigen Sicherheitspraktiken und der wachsenden Anzahl von IoT Geräten Schritt zu halten, ergibt sich ein Stand der IoT Sicherheit, der auf dem Weg ist, komplexer und wichtiger denn je zu werden.

 

Wie können die Hersteller von IoT die gegenwärtigen und zukünftigen gesetzlichen Vorschriften IoT einhalten?

Bei der Einhaltung von Vorschriften gibt es viel Schwarz und Weiß. Wenn Sie sich zum Beispiel einem Audit unterziehen müssen, werden Sie es entweder bestehen oder durchfallen.

Und obwohl es diese klare Linie im Sand gibt, die eine allgemeine Anleitung für das, was zu tun ist, darstellt, ist es auch wichtig zu verstehen, dass Sicherheit und Compliance nicht dasselbe sind.

Die Einhaltung der Vorschriften sollte als Mindestanforderung an die Sicherheit betrachtet werden. Wenn man jedoch bereits bei der Entwicklung der Geräte mit einer angemessenen Sicherheitsbewertung beginnt, kann man sicherstellen, dass von Anfang an angemessene Sicherheitsmaßnahmen in die Systeme von IoT eingeflochten werden.

 

Warum hat sich PKI als die wichtigste Technologie zur Sicherung von IoT Geräten herauskristallisiert? Wie unterscheidet sich die Verwendung von PKI in herkömmlichen Unternehmensumgebungen von der Bereitstellung von IoT ?

Wenn Sie etwas authentifizieren wollen, müssen Sie irgendwie eine Identität an einen Schlüssel binden, und das ist PKI in Kurzform.

In den letzten Jahren ist der Bedarf an einer "privat verwurzelten PKI", wie sie heute genannt wird, explodiert. Die meisten Unternehmen wollen genau festlegen, wer die Berechtigungsnachweise und die Kontrolle über die Geräteidentitäten erhält. Sie suchen im Wesentlichen nach PKIs, die auf diese Weise funktionieren, unabhängig davon, ob das eigene Team oder eine dritte Partei das Ganze verwaltet.

Dies führt zu einer noch stärkeren Fragmentierung der Vertrauensbasis auf der Grundlage von Gerätelinien. Wenn Sie ein Hersteller von IoT sind, möchten Sie nicht, dass sich Ihre Geräte auf denselben Vertrauensgrundlagen authentifizieren wie Ihre Benutzer und deren Laptops und umgekehrt. Sie wollen zum Beispiel nicht, dass sich ein Laptop als Herzschrittmacher authentifizieren kann.

Trotz der Fragmentierung gilt für PKI und IoTnach wie vor eine wichtige Regel: Die Dinge müssen aktualisierbar sein, auch wenn dies aufgrund der sich ständig ändernden Richtlinien schwieriger ist.

Man kann nicht einfach einen Schlüssel auf etwas werfen und denken, dass er für immer statisch bleibt. Algorithmen und Schlüssel altern, und die Hersteller müssen einen Weg finden, die Dinge aktualisierbar und sicher zu machen.

 

Wie kann man von einer einfacheren Lösung zu einer komplexeren und robusteren Lösung übergehen?

Erstens und vor allem: Versuchen Sie nicht, es selbst zu bauen.

Es gab eine Zeit, in der Unternehmen, die IoT Geräte bauen oder in ihr Netzwerk implementieren, einfach eine firmeninterne Zertifizierungsstelle wie Microsoft einsetzen. Sie versuchten, eine Reihe von Identitäten auf den Geräten zu implementieren, Systeme manuell aufzubauen und diese Identitäten, Schlüssel und Zertifikate zu verwalten.

Unglücklicherweise, und meistens ohne es zu merken, bauen Sie bei dem Versuch, diese Geräte sicherer zu machen, wahrscheinlich noch mehr Unsicherheiten ein.

Der nächste Schritt wäre, alles von Anfang an zu durchdenken. Stellen Sie die folgenden Fragen:

  • Wie werden die Identitäten an das Gerät ausgegeben?
  • Wie werden Sie diese Geräte registrieren?
  • Wie werden die ersten Identitäten nach dem Verlassen der Produktionsstätte an Bord genommen?
  • Wie verwalten Sie die PKI, die sich von der einfachen Integration mit einer Zertifizierungsstelle unterscheiden wird?

Stellen Sie sicher, dass Sie einen guten Plan haben, wo Sie die Lücken sehen, und wissen Sie, dass es Lösungen gibt, die helfen, dies zu automatisieren. Wie zum Beispiel Keyfactor.

Viele Unternehmen, vor allem große Hersteller, sagen: "Hey, wir stellen dieses Produkt seit Jahren her und es ist nicht sehr sicher. Und jetzt wollen wir eine stärkere Authentifizierung in das Produkt einbauen". Aber sie wissen einfach nicht, wie sie alle Teile zusammenfügen sollen, weil es nicht so einfach ist, nur eine Identität und eine Zertifizierungsstelle zu haben.

Alle dazwischen liegenden Prozesse und Automatisierungen haben mit der PKI-Verwaltung zu tun und können sehr komplex sein, wenn man sie selbst entwickelt.