Besuchen Sie Keyfactor auf der RSA Conference™ 2024 | 6. bis 9. Mai | Erfahren Sie mehr

IoT Gerätesicherheit + Einstiegshilfen

Das Internet der Dinge (IoT) ist offiziell da. Nachdem jahrelang davon die Rede war, dass die bevorstehende Explosion von IoT einen ähnlichen Wandel wie die Einführung des Internets mit sich bringen würde, ist es nun endlich so weit. Und während der Aufstieg von IoT unzählige Möglichkeiten für Innovationen mit sich gebracht hat, stellt die Sicherheit von IoT Geräten eine ernsthafte Herausforderung dar.

IoT Sicherheit der Geräte
Inhaltsübersicht

Chancen im Überfluss: Die positiven Auswirkungen der IoT

Zunächst einmal sollten wir uns darüber im Klaren sein, was genau die IoT ist. Das IoT ist ein Netzwerk von physischen Objekten, die mit anderen internetfähigen Systemen und Geräten interagieren können, um Informationen auszutauschen und Aktionen durchzuführen.

In den letzten Jahren haben sich die Geräte von IoT so weit verbreitet, dass viele von ihnen heute alltäglich erscheinen. Denken Sie zum Beispiel an Ihre Smartwatch oder Ihr Amazon Alexa-Gerät. Denken Sie an ein Auto, das vorausschauende Wartung und Sensoren zur Unfallvermeidung bietet, oder an ein medizinisches Gerät, das in größerem Umfang Informationen direkt an Ihre Ärzte sendet.

Von der Automobilindustrie über medizinische Geräte bis hin zu Fertigung, Einzelhandel und Finanzwesen - die Möglichkeiten für vernetzte Geräte, intelligentere, nahtlose Erfahrungen für Unternehmen und Verbraucher zu schaffen, sind schier grenzenlos. Viele der vorausschauenden Elemente der IoT Geräte versprechen auch, Ressourcen, einschließlich Zeit und Geld, zu sparen und insgesamt sicherere Erfahrungen zu schaffen.

Trotz der relativen Reife dieser Anwendungsfälle stehen wir heute noch am Anfang aller Möglichkeiten, die IoT bietet. Da das Ökosystem von IoT weiter reift, ist die Sicherheit für seinen anhaltenden Erfolg entscheidend geworden.

Beginnen Sie noch heute mit der Erstellung sicherer IoT Geräte
Versuchen Sie Keyfactor Command für IoT

Warum IoT Sicherheit so wichtig ist

IoT Geräte bergen so viel Potenzial für positive Veränderungen - ihre Fähigkeit, Objekte zu verbinden, Informationen auszutauschen und Aktionen auszuführen, macht sie auch äußerst anfällig. Das liegt daran, dass jeder Verbindungspunkt das Risiko birgt, gehackt zu werden.

Beispiele für Sicherheitsschwachstellen von IoT Geräten

Leider gibt es keinen Mangel an Beispielen, die zeigen, wie anfällig die Geräte von IoT sind. Einige der bemerkenswertesten Beispiele der letzten Jahre sind:

 

Diese Beispiele sind nur einige von vielen, die die Bedeutung der Gerätesicherheit von IoT verdeutlichen. Sie zeigen auch, wie einfach es für Hacker war, diese Aktivitäten durchzuführen. Im Fall eines Chrysler-Hacks aus dem Jahr 2015 stellten Forscher beispielsweise fest, dass sie aufgrund einer Schwachstelle im drahtlosen Verbindungssystem problemlos auf jedes Chrysler-Fahrzeug in den Vereinigten Staaten über das Sprint-Mobilfunknetz zugreifen konnten.

Kritisch ist, dass mit der zunehmenden Verbreitung von IoT Geräten, insbesondere in Branchen wie der Automobilindustrie, der Medizintechnik und der Erstausrüsterfertigung, die Risiken im Zusammenhang mit Hacks enorm zunehmen, bis hin zur Gefährdung von Menschenleben.

Neue Gesetzgebung zur Regelung der IoT Gerätesicherheit

In den letzten Jahren haben wir viel zu viele Hacker gesehen, die die Sicherheitslücken der Geräte von IoT ausgenutzt haben. Abgesehen von den vielen Verbindungspunkten, die von Natur aus ein Risiko darstellen, ist einer der Gründe für diese Vielzahl von Angriffen, dass viele Unternehmen diese neue Technologie schnell auf den Markt gebracht haben und sich mehr auf die wettbewerbsfähige Innovation als auf den Sicherheitsaspekt konzentriert haben.

Da IoT jedoch immer häufiger zum Einsatz kommt, wird Sicherheit ein absolutes Muss sein, um sich durchzusetzen. Allerdings gibt es neue Rechtsvorschriften, die die Einführung neuer Sicherheitsstandards beschleunigen sollen.

Zu den bisher verabschiedeten Gesetzen gehören:

  • Kaliforniens IoT Gesetz zur Regelung der Sicherheit (SB-327): Dieses Gesetz, das am 1. Januar 2020 in Kraft tritt, schreibt vor, dass alle Hersteller von vernetzten Geräten eindeutige Anmeldedaten für jedes Gerät verwenden müssen. Dieses Gesetz gilt sowohl für Verbraucher- als auch für Unternehmensgeräte.
  • Oregons IoT Gesetz zur Regelung der Sicherheit (HB-2395): Dieses Gesetz, das am 1. Januar 2020 in Kraft tritt, ist dem kalifornischen Gesetz ähnlich. Es erfordert eindeutige Anmeldedaten für jedes angeschlossene Gerät, gilt aber in erster Linie für Verbrauchergeräte.

 

Mehrere andere Gesetzesentwürfe wurden vorgeschlagen und fanden mehr oder weniger Anklang, unter anderem:

  • Bundesgesetz zum Cyber-Schutz (S-2020): Dieser Gesetzentwurf, der 2017 im Senat eingebracht wurde, sieht vor, dass das Handelsministerium einen beratenden Cyber Shield-Ausschuss einsetzt, der Empfehlungen zu Format und Inhalt von Cyber Shield-Kennzeichnungen für mit dem Internet verbundene Verbrauchergeräte ausspricht und Standards für die Einhaltung von Datensicherheits-Benchmarks einführt, um Daten besser zu schützen.
  • Gesetz zum Schutz der Privatsphäre in unseren Häusern (S-2432): Dieser Gesetzentwurf, der 2019 im Senat eingebracht werden soll, würde die Federal Trade Commission dazu verpflichten, Vorschriften darüber einzuführen, wie Hersteller Kameras und Mikrofone in internetfähigen Geräten für Verbraucher kommunizieren.
  • Gesetz über die Nutzung des automatischen Abhörens (HR-4048): Dieser Gesetzentwurf, der 2019 im Repräsentantenhaus eingebracht wurde, würde die Nutzung (einschließlich Aufzeichnung oder Übertragung) von Tönen oder Videos, die von einem intelligenten Lautsprecher oder einer Videotürklingel aufgenommen wurden, einschränken und jede Art von Dienstleistung ohne die ausdrückliche Zustimmung des Verbrauchers verbieten.
  • Gesetz zur Verbesserung der Cybersicherheit im Internet der Dinge von 2019 (S-734): Dieser Gesetzentwurf, der 2019 im Senat eingebracht werden soll, würde der Bundesregierung weitreichende Befugnisse einräumen, um die Cybersicherheitsstandards für Geräte des Internets der Dinge zu erhöhen.

 

Über die formale Gesetzgebung hinaus haben die FDA, das Industrial Internet Consortium (IIC) und die IoT Security Foundation (ISF) Leitlinien für Sicherheitsrahmen zum Schutz von IoT Geräten eingeführt, die von medizinischen Geräten bis hin zu Produkten für den Verbraucher reichen.

Sowohl die Anleitungen als auch die Gesetzgebung zur Sicherheit von Geräten IoT werden immer umfangreicher, so dass die Hersteller unbedingt sicherstellen müssen, dass sie das höchstmögliche Sicherheitsniveau implementieren, um Verbraucher und Unternehmen, die die Geräte verwenden, zu schützen und die aktuellen und zukünftigen Sicherheitsvorschriften zu erfüllen.

Die wichtigsten IoT Sicherheitsherausforderungen

Trotz der wachsenden Bedeutung, die der Stärkung der Sicherheit von IoT Geräten zukommt, insbesondere angesichts neuer Gesetze, gibt es viele Herausforderungen. Zu den wichtigsten IoT Sicherheitsherausforderungen gehören:

01 Fehlen von Normen

Auf höchster Ebene fehlt es an Standards für die Sicherheit von Geräten IoT . Diese Situation ändert sich zwar zweifellos, aber in den meisten Fällen haben die Gerätehersteller und ihre Sicherheitsteams heute noch keinen klaren Standard, an dem sie sich orientieren können. Infolgedessen herrscht auf dem Markt eine große Unklarheit. Diese Unklarheit wiederum hat den Nährboden für weitere Herausforderungen in Bereichen wie Authentifizierungsverfahren, laufende Sicherheitsaktualisierungen und Kommunikation zwischen verbundenen Geräten geschaffen.

02 Nachgerüstete Altgeräte

Viele Hersteller haben ältere Geräte mit intelligenten Sensoren nachgerüstet, um sie internetfähig zu machen und die Vorteile von IoT ohne hohe Kosten zu erreichen. Dieser Ansatz kann sich als zeit- und kosteneffizient erweisen, birgt aber erhebliche Sicherheitsrisiken.

Vor allem ältere Geräte, die nicht mit dem Internet verbunden sind, bieten in der Regel wenig bis gar keine Sicherheit. Selbst wenn die hinzugefügten Sensoren eine Art von Sicherheit bieten, schafft das Gerät selbst zusätzliche Möglichkeiten für böswillige Parteien, den Sensor und möglicherweise das gesamte Netzwerk zu infiltrieren.

03 Keine Regelmäßigkeit bei Patches oder Updates

Viele Geräte bieten keine fortschrittlichen Sicherheitsfunktionen oder sogar die Möglichkeit, diese im Laufe der Zeit durch Updates zu erreichen. Die Unfähigkeit der Hersteller, Patches für entdeckte Risiken oder Sicherheitsupdates herauszugeben, um die Geräte an die neuesten Standards anzupassen, schafft zahlreiche Probleme. Dies führt dazu, dass viele Geräte von IoT in der Praxis Sicherheitsprobleme aufweisen. Diese Herausforderung wird in den kommenden Jahren exponentiell zunehmen, da das Ökosystem IoT immer älter wird und neue Sicherheitsstandards entwickelt werden.

04 Unsignierte Firmware

Selbst in den Fällen, in denen die Hersteller Updates bereitstellen, gibt es Probleme. Wenn Entwickler beispielsweise neuen Code erstellen und in die Produktion einbringen, müssen sie dessen Authentizität überprüfen können, indem sie den Code mit einem vertrauenswürdigen öffentlichen/privaten kryptografischen Schlüsselpaar signieren. Die Art und Weise, wie viele Hersteller IoT Geräte auf den Markt bringen, unterscheidet sich jedoch von der Vorgehensweise bei anderen Lösungen. Viele haben nicht traditionell überprüft, ob der neue Code korrekt mit einem vertrauenswürdigen Schlüssel signiert wird. Diese fehlende Sicherheitsprüfung öffnet Risiken Tür und Tor, da jeder, der sich Zugang zum System verschafft, neuen Code auf IoT Geräte übertragen kann, was zu einer Reihe von Sicherheits-, Finanz- und Reputationsrisiken führen kann.

IoT Gerätesicherheit - Unsignierte Firmware

05 Hart kodierte Passwörter

Es ist mittlerweile üblich, dass Hersteller Passwörter oder Verschlüsselungsschlüssel in IoT Geräten fest einprogrammieren, um die Bereitstellung zu vereinfachen. Diese Praxis ist riskant, aber sie wird noch riskanter, wenn die Entwickler diese Informationen im Klartext einbetten, damit sie leicht zugänglich sind - was häufig geschieht. Denn wenn jemand diese Informationen findet, kann er leicht auf das Gerät zugreifen und es auf beliebige Weise kontrollieren.

06 Schwache Authentifizierung

Viele IoT Geräte werden mit statischen oder Standardpasswörtern programmiert, die von den Nutzern nicht so einfach geändert werden können. Diese schwache Authentifizierung schafft ernsthafte Risiken, da sie es Hackern leicht macht, auf die Geräte zuzugreifen und Malware zu installieren. Dies geschieht in der Regel bei preiswerteren IoT Geräten, wie z. B. Sicherheitskameras. Es ist jedoch wichtig zu wissen, dass selbst diese Geräte sensible Informationen erhalten, die, wenn sie gehackt werden, Menschen in Gefahr bringen und ihre Privatsphäre verletzen können - was für die Hersteller ein großes finanzielles und rufschädigendes Risiko darstellt.

07 Gemeinsame und ungeschützte Schlüssel

Viele IoT Geräte verwenden eine symmetrische Verschlüsselung, bei der ein einziger Schlüssel zum Ver- und Entschlüsseln von Daten verwendet wird. Die Tatsache, dass die Daten verschlüsselt werden, bietet eine sichere Ebene der Sicherheit, insbesondere im Vergleich zur Verwendung von fest codierten oder Standardpasswörtern, aber die gemeinsame Nutzung und Speicherung des Verschlüsselungsschlüssels stellt ein Risiko dar. Denn wenn eine böswillige Partei den Schlüssel abfängt, kann sie ihn zum Ver- und Entschlüsseln von Daten verwenden. Das bedeutet, dass sie auf das gesamte System zugreifen und Daten gemeinsam nutzen können, und sie können sogar als "Mann in der Mitte" agieren, indem sie Daten manipulieren, ohne dass der Hersteller oder die Endbenutzer davon wissen. Aufgrund dieses Risikos müssen die Hersteller zusätzliche Vorkehrungen treffen, um den Verschlüsselungsschlüssel zu sichern, was im großen Maßstab kostspielig und schwierig zu verwalten sein kann.

Bei der asymmetrischen Verschlüsselung wird ein eindeutiges öffentliches und privates Schlüsselpaar erzeugt. Jeder dient einem anderen Zweck (der öffentliche Schlüssel entschlüsselt Daten und kann offen weitergegeben werden, während der private Schlüssel Daten verschlüsselt und geschützt werden muss), was zur Lösung der Probleme mit der symmetrischen Verschlüsselung beiträgt. Aber auch bei der asymmetrischen Verschlüsselung muss der private Schlüssel entsprechend gesichert werden - andernfalls gelten die gleichen Risiken. Leider versäumen es viele Entwicklungsteams, bei der Speicherung dieser privaten Schlüssel die entsprechenden Vorsichtsmaßnahmen zu treffen.

08 Schwache Verschlüsselung

Die Verschlüsselung bietet eine nahezu undurchdringliche Sicherheit, aber nur, wenn sie korrekt durchgeführt wird. Die Stärke der Verschlüsselung hängt insbesondere von dem Algorithmus ab, der zur Generierung der öffentlichen/privaten Schlüssel verwendet wird. Im Idealfall sollte der öffentliche Schlüssel relativ einfach aus dem privaten Schlüssel berechnet werden können, während der umgekehrte Fall unmöglich sein sollte.

Es gibt heute viele Standards, wie RSA 2048 und Diffie-Hellman, die die Stärke von Verschlüsselungsschlüsseln regeln. Leider verwenden viele IoT Geräte schwache Algorithmen, die sich nicht an diese Standards halten, um Verschlüsselungsschlüssel zu erzeugen. Wenn dies der Fall ist, wird es für böswillige Parteien einfacher, den privaten Schlüssel zu ermitteln, wodurch sie Zugang zur Kompromittierung des Geräts erhalten.

09 DDoS-Angriffe

All die Sicherheitsprobleme im Zusammenhang mit den Geräten von IoT machen sie besonders anfällig für verteilte Denial-of-Service-Angriffe (DDoS). Diese Angriffe erfolgen, wenn Hacker mehrere Geräte verwenden, um ein System mit Datenanfragen zu überfluten und das System so zu überwältigen, dass es vollständig zum Erliegen kommt.

IoT Geräte sind aufgrund der vielen hier aufgeführten Sicherheitsprobleme anfällig für DDoS-Angriffe. Infolgedessen können sich Hacker schnell Zugang zu diesen angeschlossenen Geräten verschaffen, um ein Botnetz (auch bekannt als "Zombie-Armee") zu bilden, so dass alle Geräte gleichzeitig ein einziges System mit Anfragen überfluten können. DDoS-Angriffe sind unter IoT besonders häufig, weil diese Geräte aufgrund der allgemein laxen Sicherheitsstandards relativ leicht zu hacken sind und weil DDoS-Toolkits in der Regel leicht zu erwerben und zu starten sind.

Best Practices für IoT Gerätesicherheit

Im Hinblick auf die Sicherheit der Geräte von IoT gibt es heute zahlreiche Herausforderungen, die jedoch bewältigt werden können.

Die Teams müssen der Sicherheit der Geräte IoT in jeder Phase des Prozesses Priorität einräumen. Diese Prioritätensetzung bedeutet, dass mehr in die Sicherheit investiert und diese so früh wie möglich in die Entwicklungsprozesse integriert werden muss.

Auf dem Weg dorthin muss sich die Gerätesicherheit von IoT darauf konzentrieren, eine vertrauenswürdige Geräteidentität zu schaffen, die Vertraulichkeit von Daten zu gewährleisten und die Integrität von Daten und Firmware auf jedem Gerät zu erhalten. Um diese Ziele zu erreichen, sind wichtige Sicherheitselemente für die Authentifizierung, Verschlüsselung und Codesignierung erforderlich. Fertigungsteams können mehrere Best Practices anwenden, um diese Anforderungen zu erfüllen, darunter:

01 Eindeutige Anmeldeinformationen für jedes Gerät erstellen

Das Versenden geschützter Daten ist eine wesentliche Funktion eines jeden IoT Geräts. Damit diese Funktion wirksam ist, müssen sowohl die Nutzer als auch die Hersteller darauf vertrauen, dass die empfangenen Daten authentisch und für sie bestimmt sind. Der beste Weg, dieses Ziel zu erreichen, ist die Ausstellung eindeutiger Berechtigungsnachweise in Form von digitalen Zertifikaten für jedes IoT Gerät.

Die Vergabe eines eindeutigen digitalen Zertifikats für jedes Gerät trägt zur Verbesserung der Authentifizierung bei und bietet einen enormen Schutz gegenüber der heute üblichen Praxis, Standardkennwörter oder sogar gemeinsame Schlüssel für die symmetrische Verschlüsselung zu verwenden. Denn Passwörter bergen ein hohes Risiko der Kompromittierung, und symmetrische Verschlüsselungsschlüssel, die zwar mehr Schutz bieten als Standardpasswörter, bieten keinerlei Differenzierung zwischen den Geräten. Diese fehlende Unterscheidung macht es unmöglich, eindeutige Informationen mit einem bestimmten angeschlossenen Gerät zu teilen oder das Gerät zu bestimmen, von dem einzelne Daten stammen.

Im Gegensatz dazu kann mit digitalen Zertifikaten eine hochsichere, eindeutige Authentifizierungsmethode für jedes Gerät geschaffen werden, die wesentlich mehr Sicherheit bietet. Dieser Ansatz ermöglicht es den Herstellern beispielsweise, Updates und Daten auf sichere Weise mit bestimmten Geräten auszutauschen, und trägt dazu bei, die Authentizität der von den Geräten selbst eingehenden Informationen besser zu überprüfen.

02 Treffen Sie zusätzliche Vorsichtsmaßnahmen für die Speicherung privater Schlüssel

Die Erstellung eindeutiger digitaler Zertifikate für jedes Gerät IoT erfordert asymmetrische Kryptografie, bei der ein öffentliches und ein privates Schlüsselpaar erzeugt werden. Daher müssen die Hersteller zusätzliche Vorsichtsmaßnahmen für die Speicherung dieser privaten Schlüssel treffen.

Die beste Möglichkeit dafür ist die Trusted Platform Module (TPM)-Technologie oder Secure Storage hardware, die hardware-basierte Sicherheit bietet. Ein TPM-Chip bietet zum Beispiel einen hardware-fähigen sicheren Krypto-Prozessor zum Schutz von kryptografischen Schlüsseln und digitalen Zertifikaten. Diese Art von Investition lohnt sich, um ein Höchstmaß an IoT Sicherheit zu erreichen. Sie bietet einen starken Schutz gegen die Kompromittierung der für die Geräteauthentifizierung und Datenverschlüsselung verwendeten privaten Schlüssel.

Treffen Sie zusätzliche Vorsichtsmaßnahmen für die Speicherung privater Schlüssel

03 Überprüfen Sie Firmware- und Software -Updates immer mit Code Signing

Ein erhebliches IoT Sicherheitsrisiko besteht darin, dass Hacker bösartige software Updates auf angeschlossene Geräte aufspielen können. Die Hersteller können sich gegen dieses Risiko schützen, indem sie verlangen, dass die Geräte die Echtheit jeder neuen Firmware oder software vor der Installation überprüfen. Dazu müssen die Entwicklungsteams der Hersteller ihren Code mit einer digitalen Signatur versehen, was mit einem öffentlich-privaten Schlüsselpaar erreicht werden kann.

In diesem Fall bräuchte jedes angeschlossene Gerät einen öffentlichen Schlüssel, der mit einem privaten Schlüssel übereinstimmt, der sich im Besitz des Entwicklerteams des Herstellers befindet. Wenn die Entwickler den privaten Schlüssel verwenden, um ihren Code zu "signieren", kann jedes Gerät, das über den öffentlichen Schlüssel verfügt, (a) überprüfen, ob das Update tatsächlich vom Hersteller (oder von jemandem, der den privaten Schlüssel besitzt) gesendet wurde, und (b) bestätigen, dass das Update während der Übertragung nicht verändert wurde. Folglich schützt das Erfordernis der Codesignierung die angeschlossenen Geräte davor, beschädigte software zu installieren, die von einer böswilligen dritten Partei gesendet wurden.

04 Einrichten einer organisationsspezifischen Vertrauensbasis (Root of Trust, RoT)

Ein Root of Trust (RoT) enthält Verschlüsselungsschlüssel und hilft bei der anfänglichen Identitätsüberprüfung, wenn neue Schlüssel oder digitale Zertifikate ausgestellt werden. Die Einrichtung einer organisationsspezifischen RoT gibt Herstellern die vollständige Kontrolle über die Identitätsüberprüfung für jedes Gerät oder jede Person, für die sie einen Verschlüsselungsschlüssel ausgeben. Da die RoT organisationsspezifisch ist, können die Hersteller ihre eigenen Standards für die Identitätsüberprüfung festlegen, um eine starke Vertrauenskette zu schaffen, anstatt eine gemeinsame Root zu verwenden und dem Vertrauensmodell und den Abläufen dieser dritten Partei zu vertrauen.

05 Zuordnen, Überwachen und Pflegen von Zertifikaten, Schlüsseln und RoT

Am wichtigsten ist vielleicht, dass die oben genannten Best Practices für die Gerätesicherheit IoT nicht einfach eingestellt und vergessen werden können. Stattdessen erfordern alle diese Maßnahmen ein kontinuierliches Lebenszyklusmanagement. Das liegt daran, dass jede Art von statischem System von Natur aus unsicher ist. Die verwendeten digitalen Zertifikate, Schlüsselpaare und RoT werden ohne ein angemessenes Lebenszyklusmanagement mit der Zeit schwächer.

Dieses Lebenszyklusmanagement sollte Folgendes umfassen:

  • Kartierung aller verwendeten Geräte, um eine genaue Bestandsaufnahme der erzeugten Produkte zu erhalten
  • Überwachung aller Zertifikate, Schlüssel und des RoT, um potenzielle Bedrohungen zu erkennen und entsprechend schnell Anpassungen vorzunehmen
  • Aufrechterhaltung dieser Sicherheit durch Aktualisierung von Zertifikaten, Schlüsseln und RoT nach Bedarf und Widerruf von Zertifikaten und Schlüsseln, wenn die betreffenden Geräte nicht mehr verwendet werden

Wie PKI zur Stärkung der Sicherheit beitragen kann IoT

Die Sicherheitsanforderungen für IoT und die bewährten Verfahren zur Erfüllung dieser Anforderungen weisen auf eine klare Lösung hin: Die Infrastruktur für öffentliche Schlüssel (PKI).

PKI ist ein Vertrauensrahmen, der aus hardware, software, Richtlinien und Verfahren besteht, die für die Verwaltung vertrauenswürdiger digitaler Zertifikate und die Verschlüsselung mit öffentlichen Schlüsseln erforderlich sind. Es hilft bei der Verifizierung digitaler Identitäten und der Sicherung von Daten, was die kritischen IoT Sicherheitsanforderungen in Bezug auf Authentifizierung, Verschlüsselung und Code-Signierung erfüllt. Wichtig ist auch, dass es skalierbar ist, um Millionen von Geräteidentitäten mit nur einem minimalen Platzbedarf auf jedem Gerät unterzubringen.

Warum PKI für IoT Sicherheit einführen?

PKI bietet mehrere entscheidende Vorteile, wenn es darum geht, die Sicherheit von IoT zu erhöhen, unter anderem:

  • Eindeutige Identitäten: PKI ermöglicht es den Herstellern von IoT Geräten, eine kryptografisch überprüfbare Identität durch ein digitales Zertifikat in jedes Gerät einzubetten, um einen sicheren Zugang und eine sichere Bereitstellung software über einen längeren Zeitraum zu gewährleisten. Wichtig ist, dass die Hersteller diese Zertifikate auf den einzelnen Geräten bei Bedarf auch aktualisieren oder widerrufen können.
  • Flexibilität: PKI ist ein äußerst flexibler Ansatz, der es Herstellern ermöglicht, eine Vielzahl von Optionen (einschließlich REST API, SCEP und EST) für vertrauenswürdige Wurzeln, Widerrufe und die Registrierung und Bereitstellung von Zertifikaten zu nutzen.
  • Skalierbarkeit: Hersteller können digitale Zertifikate von einer einzigen, vertrauenswürdigen Zertifizierungsstelle ausstellen, wodurch IoT Geräte sich gegenseitig sicher authentifizieren können, ohne dass ein zentraler Server benötigt wird.
  • Robuste Sicherheit: Wenn die PKI gut verwaltet wird, bieten digitale Zertifikate eine wesentlich höhere Sicherheit als andere Authentifizierungsmethoden, einschließlich Standardpasswörtern und symmetrischer Kryptografie.
  • Minimaler Fußabdruck: Die für die PKI verwendeten asymmetrischen Schlüssel haben einen minimalen Platzbedarf, was bedeutet, dass es für angeschlossene Geräte mit geringer Rechenleistung keine Belastung ist, die erforderlichen Informationen unterzubringen.
  • Bewährter Ansatz: PKI wird seit langem als sichere Methode für die digitale Authentifizierung und Datenkommunikation eingesetzt und ist als praktische und skalierbare Lösung zum Schutz vor Geräteentführungen und Datendiebstahl anerkannt.

PKI für IoT Sicherheit vs. PKI für Unternehmenssicherheit

PKI ist ein bewährtes Sicherheitskonzept, das sich in der Unternehmens-IT bewährt hat. PKI für die Sicherheit von IoT unterscheidet sich jedoch etwas von PKI für die Sicherheit von Unternehmen. Zu den bemerkenswerten Unterschieden gehören:

  • Skalierbarkeit und Verfügbarkeit: Die PKI für IoT erfordert eine höhere Skalierbarkeit und Verfügbarkeit der Zertifizierungsstellen. Diese vertrauenswürdigen Stellen stellen digitale Zertifikate für Geräte aus, die für die Unternehmens-PKI benötigt werden. Das liegt daran, dass die Hersteller im Falle von IoT eine größere Menge an Zertifikaten schneller bereitstellen müssen.
  • Erzeugung und Speicherung privater Schlüssel: Bei der PKI in Unternehmen verwenden Unternehmen in der Regel digitale Zertifikate zur Sicherung von Webservern, die sich in geschützten Rechenzentren befinden und für die meisten Menschen unzugänglich sind. Die Absicherung von IoT Geräten ist völlig anders, da diese Geräte physisch für die Öffentlichkeit zugänglich sind. Daher sollten die Hersteller private Schlüssel für IoT Geräte idealerweise auf einer sicheren hardware Komponente generieren und speichern, so dass sie niemals außerhalb des Geräts liegen.
  • Zertifikatspolitik: Hersteller, die PKI für die Sicherheit von IoT nutzen, müssen im Vergleich zu UnternehmenspKI strenger auf die Einhaltung der Zertifikatsrichtlinien achten, die das Vertrauens- und Sicherheitsniveau regeln. Diese strikte Einhaltung hilft bei Sicherheitsprüfungen und schafft Vertrauen entlang der IoT Lieferkette.
  • Verwaltung des Lebenszyklus: Der Lebenszyklus eines digitalen Zertifikats, das sich auf einem Gerät von IoT befindet, unterscheidet sich deutlich von dem eines digitalen Zertifikats, das zur Sicherung eines Webservers in einer Unternehmens-PKI verwendet wird. Im Falle der Sicherheit von IoT müssen die Hersteller verstehen, wie Identitäten im Laufe der Zeit für ein bestimmtes Gerät bereitgestellt und aktualisiert werden, und einen klaren Reaktionsplan für kompromittierte Zertifikate oder vertrauenswürdige Wurzeln einrichten.

Verwaltung der PKI für IoT Sicherheit

Um die Vorteile von PKI für die Sicherheit von IoT voll ausschöpfen zu können, ist ein vollständiges Lebenszyklusmanagement erforderlich, das alle Aspekte von der Festlegung und Pflege von Programmstandards für vertrauenswürdige Wurzeln und Code Signing bis zur Ausstellung und zum Widerruf von Zertifikaten umfasst.

Angesichts des erforderlichen Umfangs der PKI für IoT ist eine der besten Optionen zur Aufrechterhaltung eines hohen Verfügbarkeits- und Sicherheitsniveaus ohne Einbußen bei der Effizienz die Nutzung eines SaaS-Modells, das PKI-as-a-Service bietet. Die Nutzung von PKI über ein verwaltetes Servicemodell entlastet die Hersteller von der Aufgabe, das System in Bezug auf Funktionalität, Leistung und Sicherheitsniveau ordnungsgemäß zu warten. Folglich können sie sich darauf konzentrieren, innovative IoT Geräte schnell auf den Markt zu bringen, und zwar mit dem notwendigen Sicherheitsniveau, um das Vertrauen der Kunden zu gewinnen.

IoT Sicherheit ist ein Muss, und die Zeit, damit anzufangen, ist jetzt

IoT ist nicht länger ein futuristisches Konzept - es ist offiziell angekommen, und die Zahl der vernetzten Geräte wächst exponentiell. Da diese intelligenten Geräte immer alltäglicher und ausgereifter werden, muss die Sicherheit von IoT aufholen.

Bislang war die Sicherheit der Geräte auf IoT etwas locker. Diese Situation ist darauf zurückzuführen, dass viele Hersteller darauf drängen, innovative Geräte schneller und relativ unbekannt auf den Markt zu bringen. Mit der zunehmenden Reife des IoT Ökosystems sind jedoch schwerwiegende Sicherheitsprobleme aufgetreten, die sowohl für Unternehmen als auch für Verbraucher verheerende Folgen haben können. Im besten Fall können Sicherheitslücken in IoT die Gerätehersteller Millionen von Dollar kosten und zu einem Vertrauensverlust führen. Im schlimmsten Fall können sie Leben gefährden. Als Reaktion darauf gibt es neue Vorschriften, die die Sicherheit von IoT besser absichern sollen.

Angesichts dieser Situation ist es jetzt an der Zeit, sich ernsthaft mit der Sicherheit von IoT zu befassen. Auch wenn die Verbesserung der Sicherheit von IoT mit großen Herausforderungen verbunden ist, sind diese für die Hersteller keineswegs unmöglich. Der beste Weg, diese Herausforderungen zu meistern, ist die Einführung eines PKI-Programms, das die Sicherheit von IoT durch Authentifizierung, Verschlüsselung und Code-Signierung verbessert. Wenn dieser Ansatz richtig umgesetzt wird, kann er Herstellern helfen, innovative neue Geräte auf den Markt zu bringen und gleichzeitig ein hohes Sicherheitsniveau aufrechtzuerhalten, was sich in Zukunft als Wettbewerbsvorteil erweisen wird.

Ready to get started or have questions about IoT security? We're here to help! Find out how the Keyfactor platform can modernize your PKI, prevent certificate outages, and much more.

Demo anfordern