Sicherheit von IoT : Risiken, bewährte Praktiken und Schutztipps

Die Sicherheit von IoT (auch bekannt als "Connected Product Security") bezieht sich auf die Richtlinien, Technologien und Praktiken zum Schutz von mit dem Internet verbundenen Geräten vor Cyber-Bedrohungen und unbefugtem Zugriff. Mehrere einzel- und bundesstaatliche Gesetze in den USA haben versucht, strengere Sicherheits- und Verschlüsselungsstandards für den IoT zu fordern.

Die Sicherheit von IoT ist nicht so einfach wie die Sicherheit herkömmlicher IT-Infrastrukturen. IoT haben oft nur begrenzte hardware und Rechenkapazitäten, was ihre Anfälligkeit für Angriffe erhöht. In industriellen (und ähnlichen) Umgebungen überschneidet sich das IoT oft mit der Betriebstechnologie (OT), da IoT in sicherheitskritischen Bereichen eingesetzt werden. Wenn eines dieser Geräte kompromittiert wird, kann dies eine Katastrophe für kritische Infrastrukturen und die in diesen Umgebungen arbeitenden Menschen bedeuten.

Authentifizierung, Verschlüsselung, sichere Firmware-Updates und kontinuierliche Überwachung sind der Schlüssel zu IoT PKI und Firmware-Sicherheit für Ihr Unternehmen.

Das Internet der Dinge leidet darunter, dass die Sicherheit eine reaktive Maßnahme ist und nicht proaktiv, um Angriffe von vornherein zu verhindern. Die gleichen Technologien, die heute Cloud-basierte Systeme schützen (z. B. PKI), können jedoch auch auf die Sicherheit IoT angewendet werden.

Im Jahr 2025 gibt es etwa 30 Milliarden vernetzte Geräte, und diese Zahl wird bis 2040 voraussichtlich auf Hunderte von Milliarden an steigen. Neuere Schätzungen gehen von 40-42 Milliarden IoT allein im nächsten Jahr aus. Trotz der Diskrepanzen bei den Schätzungen ist die Botschaft klar: Das Volumen, die Geschwindigkeit und die Kritikalität von IoT wächst in immer schnellerem Tempo.

Dieses Wachstum wird nicht nur von der Verbrauchernachfrage angetrieben, sondern auch von intelligenten Städten, industrieller Automatisierung, vernetzter Gesundheitsversorgung und autonomen Systemen.

Viele der vorhandenen Verbraucher- und Unternehmensgeräte sind jedoch noch immer nicht ausreichend gesichert, was sie zu leichten Zielen für Hacker macht. Die Verwaltung des Lebenszyklus von IoT , Firmware und kryptografischen Schlüsseln über Geräteflotten hinweg wird für Produktsicherheitsteams immer komplexer. Ohne skalierbare, zukunftsfähige Sicherheitsarchitekturen laufen Unternehmen Gefahr, die Kontrolle über die Infrastruktur zu verlieren, auf die sie angewiesen sind. 

Cyberkriminelle nutzen IoT wie z. B.:

• Schwache Authentifizierung: Voreingestellte, schwache oder leicht zu erratende Passwörter sowie das Fehlen einer Multi-Faktor-Authentifizierung. So haben beispielsweise viele Internet-Router früher dieselben hart kodierten Admin-Anmeldedaten verwendet und sind auf zufällige Passwörter umgestiegen, die jedoch ein Sicherheitsrisiko darstellen, wenn sie vom Verbraucher nicht geändert werden.
• Ungepatchte Firmware: Hersteller versäumen es, rechtzeitig Updates für entdeckte Sicherheitsrisiken bereitzustellen, um IoT auf dem neuesten Stand der Sicherheitsstandards zu halten.
• Unsichere APIs: Unzureichend gesicherte Kommunikationskanäle zwischen Geräten und Cloud-Diensten, die Hackern leichten Zugang zu privaten Daten oder dem Gerät selbst verschaffen können.
• Fehlende Verschlüsselung: IoT können manchmal Daten im Klartext übertragen, was bedeutet, dass jeder, der Zugang zu den Daten erhält, sie lesen kann. Wenn man bedenkt, wie viele IoT die lebenswichtigen Gesundheitsdaten der Nutzer verfolgen (z. B. Fitnessuhren), wird diese Schwachstelle noch gefährlicher.
• Unzureichende Netzwerksicherheit: Angeschlossene Geräte kommunizieren häufig über ungesicherte Wi-Fi- oder Mobilfunknetze. Diese Netzwerke bieten Angreifern leichten Zugang zu potenziell sensiblen oder privaten Daten.
• Fehlkonfigurationen bei Over-the-Air (OTA)-Updates: Schlecht implementierte OTA-Updates können dazu führen, dass Geräte ferngesteuert Code ausführen oder zerstört werden.

Diese Schwachstellen sind nach wie vor die Hauptziele von Sicherheitsbedrohungen für vernetzte Geräte. Festcodierte Anmeldeinformationen, fehlende Überprüfung der Geräteidentität und schwache kryptografische Protokolle tragen ebenfalls zu einer Vielzahl von IoT bei.

Da IoT in einer vernetzten Welt so weit verbreitet sind, können sich Sicherheitsverletzungen auswirken:

• Verbraucher: Gehackte Smart-Home-Geräte (Kameras, Thermostate) können sensible Informationen über die Nutzer liefern, häusliche Aktivitäten stören und als Teil eines Botnetzes für weitere Angriffe über das Internet genutzt werden.
• Unternehmen: Gehackte geschäftskritische Geräte können erhebliche Schäden verursachen, darunter Zeitverlust und finanzielle Verluste. Auch private Kundendaten könnten gefährdet sein. Vor allem in industriellen/OT-Umgebungen ist die Unterbrechung des Betriebs ein kritisches Risiko.
• Gesundheitswesen: Unsichere medizinische IoT gefährden unmittelbar Menschenleben, denn Hacker könnten Insulinpumpen so manipulieren, dass sie falsche Dosen abgeben, Herzschrittmacher abschalten oder Beatmungsgeräte von überall auf der Welt kapern. Zusätzlich zu den physischen und klinischen Risiken könnten auch personenbezogene Informationen und sensible Gesundheitsdaten gestohlen und erpresst werden.
• Betrieb: OT-Sicherheitsvorfälle, die auf unsichere vernetzte Produkte zurückzuführen sind, können zu Anlagenschäden, Produktionsausfällen und Gefahren für die menschliche Sicherheit führen.

Die IoT ist hinter dem Gerätewachstum zurückgeblieben. Um Ihre Produkte und Nutzer zu schützen, sollten Sie frühzeitig und in jeder Phase Sicherheit einbauen.

Beginnen Sie mit den fünf wichtigsten bewährten Verfahren:

Die Public Key Infrastructure (PKI) und andere sichere Formen der Geräte- und Benutzerauthentifizierung tragen dazu bei, dass nur autorisierte Benutzer auf Ihre Geräte zugreifen können, was Verstöße unwahrscheinlicher macht.

• Verwenden Sie PKI und digitale Zertifikate, um Geräte sicher zu authentifizieren. Insbesondere SSH-Zertifikate helfen dabei, die Sicherheit zu zentralisieren und ein Lebenszyklusmanagement zu implementieren, das sicherstellt, dass die Schlüssel regelmäßig erneuert werden. Wir empfehlen die Verwendung automatisierter Tools für die Verwaltung Ihrer PKI.
• Implementierung einer Zero-Trust-Architektur zur kontinuierlichen Überprüfung von Geräten, bevor diese auf Netzressourcen zugreifen können. Wenn ein Gerät nicht validiert ist, sollte es keinen Zugriff auf das Netz haben. Andere Geräte sollten nur so viel Zugang haben, wie sie für ihre kritischen Aufgaben benötigen.
• Verwenden Sie eine IoT , die auf die Geräteeinschränkungen, die Bereitstellungsanforderungen und das langfristige Lebenszyklusmanagement zugeschnitten ist. Überprüfen Sie diese Strategie regelmäßig, um sicherzustellen, dass Ihre Geräte so sicher wie möglich sind.
• Implementieren Sie strenge Passwortrichtlinien und MFA für den Zugriff auf IoT . Stellen Sie sicher, dass keine Anmeldedaten im Klartext oder unverschlüsselt gespeichert werden. Wir empfehlen, sicherere Formen der MFA zu verwenden, z. B. hardware Authentifizierung oder biometrische Verfahren.

Hacker sollten niemals in der Lage sein, die über Ihr Netz gesendeten Daten zu lesen, selbst wenn sie sich Zugang verschaffen konnten. Eine starke Datenverschlüsselung ist der beste Weg, um sensible Informationen und geschützte Daten zu schützen, und Ihre Verschlüsselungsschlüssel sollten regelmäßig aktualisiert werden.

• Verwenden Sie SSL für die gesamte Kommunikation zwischen IoT und der Cloud. Dies trägt zur Sicherheit der Daten bei und verifiziert sowohl den Server als auch den Client.
• Verwenden Sie hardware Sicherheitsfunktionen, wie z. B. vertrauenswürdige Plattformmodule, zur sicheren Datenspeicherung. Stellen Sie sicher, dass alle Backups ebenfalls verschlüsselt sind und an einem sicheren Ort aufbewahrt werden.
• Validierung der Verschlüsselungsstärke über Gerätegenerationen hinweg, um kryptografische Downgrade-Angriffe zu vermeiden.

Zumindest sollte jedes IoT einen öffentlichen Schlüssel benötigen, der mit dem privaten Schlüssel des Herstellers übereinstimmt, um jeden neuen Code oder jede Aktualisierung sicher zu verifizieren.

• Verwenden Sie sichere Boot-Mechanismen, um zu verhindern, dass nicht autorisierte Firmware auf das Gerät geladen wird.
• Bereitstellung regelmäßiger, signierter und sicher übermittelter Firmware-Updates, um Schwachstellen zu beheben.
• Verwenden Sie Over-the-Air-Updates (OTA) und Integritätsprüfungen, um unbefugte Änderungen an der Firmware zu verhindern.
• Firmware-Sicherheitsfunktionen wie Rollback-Schutz, Versionsverfolgung und kryptografische Validierung von Update-Paketen einbeziehen.

IoT bilden untereinander und mit anderen Cloud-Systemen Netzwerke, was bedeutet, dass ein verletztes Gerät alle anderen gefährden kann, wenn der Netzwerksicherheit keine Priorität eingeräumt wird.

• Trennen Sie IoT von kritischen IT-Systemen, um die Angriffsfläche zu minimieren.
• Verwenden Sie VPNs und Firewalls, um unbefugten Zugriff auf IoT zu verhindern.
• Sichere APIs mit Authentifizierungstoken und Ratenbegrenzung, um Missbrauch zu verhindern.
• Isolieren Sie angeschlossene Produktschnittstellen wann immer möglich vom externen Datenverkehr und verwenden Sie TLS für API-Aufrufe, wenn möglich.

Auftretende Sicherheitsverletzungen sollten so schnell wie möglich gestoppt und analysiert werden, um die Quelle des Vorfalls zu finden. Der Angriffsvektor sollte dann geschlossen werden, um einen weiteren Missbrauch der Sicherheitslücke zu verhindern.

• Setzen Sie IoT ein, die Anomalien im Geräteverhalten erkennen und darauf reagieren können. Wenn beispielsweise eine intelligente Kamera plötzlich anfängt, große Datenmengen an einen neuen Endpunkt zu senden, hat sich ein Angreifer möglicherweise Zugang verschafft.
• Einrichtung von Protokollierungs- und Audit-Workflows zur Verfolgung von Geräteaktivitäten und zur Erkennung verdächtiger Muster.
• Einrichtung von Echtzeit-Telemetrie-Pipelines in OT-Sicherheitsumgebungen zur Erkennung von abnormalem Verhalten oder Versuchen von Querbewegungen.

Die Sicherheit von IoT ist nicht optional - Sie müssen sie bei jedem Schritt im Lebenszyklus des Geräts berücksichtigen und priorisieren. Nutzen Sie diese Schritte als Grundlage für Ihr umfassenderes Sicherheitsprogramm.

Um zu verstehen, wo es bei der Sicherheit Ihrer IoT hapern könnte, sollten Sie sich ein umfassendes Bild von Ihrer bestehenden Sicherheitslage, Ihren Geräten, Schlüsseln und Zertifikaten usw. machen.

• Führen Sie eine Bestandsaufnahme der IoT durch, um angeschlossene Geräte zu identifizieren. Jedes Gerät, das mit Ihrem Netzwerk verbunden ist, sollte lokalisiert und kartiert werden.
• Geräte auf der Grundlage von Risikostufen klassifizieren. Sie sollten Fragen beantworten können wie: Wenn ein Angreifer Zugang zu diesem Gerät erhält, auf wie viele Daten oder wie viele andere Geräte könnte er dann zugreifen? Wie viel Schaden könnte er anrichten?
• Zuordnung von Geräte-Firmware-Versionen und Update-Fähigkeiten, um Risiken im Zusammenhang mit der OTA-Update-Bereitschaft zu identifizieren. Ermittlung von Möglichkeiten zur Bereitstellung sicherer OTA-Updates für Geräte, die zur Behebung anderer Schwachstellen benötigt werden.
• Bewerten Sie die kryptografische Flexibilität auf Geräteebene und ob die Infrastruktur der angeschlossenen Produkte moderne IoT unterstützen kann. Die Geräte sollten SSH-Zertifikate und andere Verbesserungen gegenüber herkömmlichen PKI-Tools unterstützen können.

Sobald Sie wissen, wie es um Ihre Sicherheit bestellt ist, können Sie herausfinden, wo Ihre Sicherheit liegen sollte, um Ihre Geräte, Benutzer und Kunden angemessen zu schützen.

• Angleichung der Sicherheitspraktiken an die Industriestandards. Ermitteln Sie einschlägige Leitlinien und Behörden für bewährte Verfahren und entwickeln Sie einen Plan zur Umsetzung der erforderlichen Änderungen. Im Bankensektor gelten zum Beispiel andere Standards als in der Fertigungsindustrie.
• Verstehen Sie die gesetzlichen Anforderungen (GDPR, HIPAA), die für die Sicherheit Ihrer IoT gelten. Jede Ebene Ihrer Gerätesicherheitsstrategie muss mit diesen Anforderungen übereinstimmen.
• Ziehen Sie in Erwägung, sich an Leitfäden für die Sicherheit vernetzter Produkte zu orientieren, z. B. an IEC 62443 für die Automatisierung industrieller Steuerungssysteme, am Matter-Rahmen für Smart Home oder an ISO 15118 für das Laden von Elektrofahrzeugen.

Beginnen Sie nach sorgfältiger Planung mit der Implementierung Ihrer IoT .

• Entwerfen Sie ein Zero-Trust-Sicherheitsmodell für Ihre IoT und nutzen Sie PKI, um die Identität von Geräten sicher durchzusetzen und zu überprüfen. Es sollten nur vertrauenswürdige und authentifizierte Verbindungen zugelassen werden.
• Nutzen Sie Cloud-Sicherheitslösungen zur Überwachung und zum Schutz angeschlossener Geräte. Identifizieren Sie Bedrohungen in Echtzeit und reagieren Sie darauf, um ein weiteres Eindringen in Ihr Netzwerk zu verhindern.
• Verwenden Sie ein sicheres Provisioning und Deprovisioning von IoT , um unbefugten Zugriff zu verhindern. Ein ähnlicher Prozess sollte für Ihre PKI, z. B. für Zertifikate, verwendet werden, um zu verhindern, dass unbefugte Benutzer auf sichere Ressourcen zugreifen.
• Integrieren Sie eine sichere Firmware-Verteilung und OTA-Update-Infrastruktur in Ihre CI/CD-Pipelines, um Manipulationen zu verhindern und die Bereitstellung zu rationalisieren. Eine kleine Sicherheitslücke, die ganz am Anfang der Firmware-Entwicklung eingeführt wird, könnte Angreifern später eine große Hintertür bieten.

Eine sichere Schlüsselinfrastruktur ist für den Schutz von mit der Cloud verbundenen und über das Internet verteilten IoT unerlässlich. Ein maßgeschneiderter IoT hilft, den Schutz eingebetteter Geräte in Flotten durchzusetzen.

• Arbeiten Sie mit PKIaaS-Anbietern zusammen, um eine PKI-Infrastruktur aufzubauen, die Ihr IoT schützt.
• Verwenden Sie IoT Sicherheitsplattformen, um die Feinheiten der IoT zu verwalten.
• Nutzung der PKIaaS-Erfahrung, um im Vorgriff auf künftige Technologien (z. B. Quanten) Krypto-Agilität in die Infrastruktur zu integrieren.
• Entscheiden Sie sich für eine robuste PKI-Lösung, die die Ausstellung von Zertifikaten in großem Umfang, die Durchsetzung von kryptografischen Richtlinien und die Identitätsbindung über verknüpfte Produkte hinweg unterstützt.

IoT hört nicht in der Entwurfsphase auf, sondern erfordert eine langfristige, automatisierte Verwaltung jeder Geräteidentität, jedes Zertifikats und jedes kryptografischen Schlüssels. Bei Geräteflotten mit Hunderttausenden oder sogar Millionen von angeschlossenen Produkten reicht eine manuelle Verwaltung des Lebenszyklus von Zertifikaten nicht aus.

Automatisierungsplattformen für den Lebenszyklus von Zertifikaten wie Keyfactor Command for IoT wurden entwickelt, um volle Transparenz und Kontrolle über Maschinenidentitäten zu gewährleisten - von der Bereitstellung über die Inbetriebnahme bis hin zum Ende der Lebensdauer des Geräts. Für vernetzte Produkte bedeutet dies, dass jedes Zertifikat, das zum Aufbau von Gerätevertrauen, zur Verschlüsselung von Daten oder zum Signieren von Firmware verwendet wird, automatisch ausgestellt, erneuert, widerrufen und ersetzt werden kann, ohne dass es zu Serviceunterbrechungen oder Ausfallzeiten kommt.

Die Automatisierung ermöglicht auch die proaktive Durchsetzung der Sicherheit über Geräte und Flotten hinweg. Wenn eine Zertifizierungsstelle kompromittiert oder ein Algorithmus veraltet ist, ermöglicht die Automatisierung die schnelle Reaktion und den massenhaften Austausch von Zertifikaten, die für minimale betriebliche Auswirkungen erforderlich sind. Dieses Maß an kryptografischer Flexibilität ist besonders in IoT wichtig, in denen der physische Zugang eingeschränkt oder nicht vorhanden ist (z. B. bei intelligenten Geräten, die in Herzschrittmachern eingebaut sind). Die Automatisierung kann auch eingesetzt werden, wenn Gerätedienste nicht mehr benötigt werden und der OEM oder Betreiber den Zugriff nach einem bestimmten Zeitpunkt unterbinden möchte.

Mit der zunehmenden Verbreitung von Maschinenidentitäten bietet das automatisierte Zertifikats-Lebenszyklusmanagement eine skalierbare Möglichkeit, konsistente, richtliniengesteuerte IoT und Maschinenidentitätspraktiken auf allen Geräten durchzusetzen.

Das Internet der Dinge wird sich exponentiell ausbreiten. Dieses Wachstum wird Hackern mehr Angriffsmöglichkeiten bieten - es sei denn, die Sicherheit von IoT hat Priorität.

Neue Technologien, wie das Quantencomputing, stehen vor der Tür. Neue und kreative kryptografische Lösungen für das IoT im Quantenzeitalter werden entscheidend sein. Post-Quantum-Kryptografie (PQC) erfordert eine große Menge an Rechenleistung, die viele älterehardware nicht ohne Neuentwicklung unterstützen kann. Es ist auch wahrscheinlich, dass die PQC-Signierung von Firmware eine der ersten Anwendungen der Post-Quantum-Verschlüsselung in IoT ist, da das Signieren von software ein weniger häufiger und weniger umfangreicher Vorgang ist.

Schützen Sie Ihr Unternehmen vor den Bedrohungen von heute und morgen. Beginnen Sie damit, Ihre aktuelle Sicherheitslage für vernetzte Produkte und die Risiken zu bewerten, die unsichere IoT für die kritische Infrastruktur Ihres Unternehmens darstellen. Arbeiten Sie mit vertrauenswürdigen PKIaaS-Anbietern zusammen, um Ihre IoT jetzt und in Zukunft zu sichern. Wenn Sie heute in Firmware-Sicherheit, OTA-Resilienz und IoT investieren, legen Sie den Grundstein für vertrauenswürdige vernetzte Produkte in großem Umfang