Sicherheitslücken in IoT

IoT (Internet of Things) Sicherheitslücken haben in letzter Zeit die Schlagzeilen beherrscht. Wikileaks' Fundus an CIA-Dokumenten enthüllte, dass mit dem Internet verbundene Fernsehgeräte dazu benutzt werden können, heimlich Gespräche aufzuzeichnen. Trump's Berater Kellyanne Conway glaubt, dass Mikrowellenherde Familien ausspionieren können - möglicherweise bezog sie sich auf Mikrowellenkameras, die in der Tat für Überwachung verwendet werden können. Und machen Sie sich nichts vor, dass Sie gegen IoT-Angriffe immun sind. 96% der Sicherheitsexperten reagieren auf eine neue Umfrage und erwarten in diesem Jahr einen dramatischen Anstieg der IoT-Sicherheitsvorfälle.

Selbst wenn Sie persönlich nicht unter den Folgen der unterdurchschnittlichen Sicherheit des IoT leiden, kooperieren Ihre angeschlossenen Gadgets möglicherweise unwissentlich mit Kriminellen. Im Oktober letzten Jahres wurde der Internet Service Provider Dyn von einem Angriff bedroht, der den Zugriff auf viele populäre Websites unterbrach. Die Cyberkriminellen, die den Angriff initiierten, konnten eine große Anzahl von Geräten (meist DVRs und Kameras), die mit dem Internet verbunden sind, als Helfer beschlagnahmen. Der Cybersicherheitsexperte Bruce Schneier fordert daher eine behördliche Regulierung des Internet der Dinge und kommt zu dem Schluss, dass sowohl die IT-Hersteller als auch deren Kunden sich nicht um die Sicherheit der 8,4 Milliarden internetfähigen Geräte kümmern, welche bereits im Einsatz sind.

Ob aufgrund staatlicher Regulierung oder guten altmodischen Eigeninteresses, wir können mit erhöhten Investitionen in IoT-Sicherheitstechnologien rechnen. In seinem kürzlich veröffentlichten TechRadar-Bericht für Sicherheits- und Risikoexperten erläutert Forrester Research die Aussichten für die 13 wichtigsten und wichtigsten IoT-Sicherheitstechnologien und warnt davor, dass es keine einzige Technologie gibt, welche alle IoT-Sicherheitsprobleme einfach beheben kann.

Hier eine Liste der 6 wichtigsten Technologien für IoT-Sicherheit:

  • IoT-Netzwerksicherheit: Schutz und Sicherung des Netzwerks, das die IoT-Geräte mit Back-End-Systemen im Internet verbindet. Die IT-Sicherheit von Netzwerken ist etwas anspruchsvoller als die herkömmliche Netzwerksicherheit, da es eine größere Bandbreite an Kommunikationsprotokollen, Standards und Gerätefunktionen gibt, die alle wichtige Probleme und eine höhere Komplexität mit sich bringen. Zu den Schlüsselfunktionen gehören traditionelle Sicherheitsfunktionen für Endgeräte wie Antiviren- und Malware-Schutz sowie weitere Funktionen wie Firewalls und Intrusion Prevention- und Detektionssysteme. Beispielverkäufer: Bayshore Networks, Cisco, Darktrace und Senrio.
  • IoT-Authentifizierung: Benutzer können ein IoT-Gerät authentifizieren, einschließlich der Verwaltung mehrerer Benutzer eines einzelnen Geräts (z. B. eines angeschlossenen Fahrzeugs), von einfachen statischen Passwörtern/Pins bis hin zu robusteren Authentifizierungsmechanismen wie Zwei-Faktor-Authentifizierung, digitalen Zertifikaten und Biometrie. Im Gegensatz zu den meisten Unternehmensnetzwerken, in denen die Authentifizierungsprozesse den Menschen bei der Eingabe eines Berechtigungsnachweises mit einbeziehen, sind viele IoT-Authentifizierungsszenarien (z. B. eingebettete Sensoren) maschinengesteuert und ohne menschliches Zutun.
  • IoT-Verschlüsselung: Verschlüsselung von ruhenden und unterwegs befindlichen Daten zwischen IoT-Edge-Geräten und Back-End-Systemen unter Verwendung von Standard-Kryptographie-Algorithmen, um die Datenintegrität aufrechtzuerhalten und Hackerangriffe auf Daten zu verhindern. Die große Auswahl an IoT-Geräten und Hardwareprofilen schränkt die Möglichkeiten von Standard-Verschlüsselungsprozessen und -Protokollen ein. Darüber hinaus muss die gesamte IoT-Verschlüsselung von gleichwertigen vollständigen Verschlüsselungs-Prozessen für das Lifecycle-Management des Schlüssels begleitet werden, da eine schlechte Schlüsselverwaltung die allgemeine Sicherheit mindert.
  • IoT PKI: Komplette X. 509-Zertifikats- und kryptografische Schlüssel- und Lebenszyklusfunktionen, einschließlich Generierung, Verteilung, Verwaltung und Widerruf von öffentlichen/privaten Schlüsseln. Die Hardware-Spezifikationen einiger IoT-Geräte können die Möglichkeiten der PKI-Nutzung einschränken oder verhindern. Digitale Zertifikate können zum Zeitpunkt der Herstellung sicher auf IoT-Geräte geladen und von Drittanbieter-PKI-Softwarepaketen aktiviert bzw. aktiviert werden; die Zertifikate können auch nachträglich installiert werden.
  • IoT Security Analytics: Sammeln, Zusammenfassen, Überwachen und Normalisieren von Daten von IoT-Geräten und Bereitstellen von aussagekräftigen Berichten und Warnmeldungen über spezifische Aktivitäten oder wenn Aktivitäten außerhalb der etablierten Richtlinien liegen. Diese Lösungen fügen hochentwickeltes maschinelles Lernen, künstliche Intelligenz und große Datentechniken hinzu, um mehr prädiktive Modellierung und Anomalieerkennung (und die Anzahl der Fehlalarme zu reduzieren) zu ermöglichen, aber diese Fähigkeiten sind noch im Entstehen begriffen. IoT Security Analytics wird zunehmend erforderlich sein, um IoT-speci?c-Angriffe und Eindringlinge zu erkennen, die von herkömmlichen Netzwerksicherheitslösungen wie?rewalls nicht erkannt werden.
  • IoT-API-Sicherheit: Bietet die Möglichkeit, Datenbewegungen zwischen IoT-Geräten, Back-End-Systemen und Anwendungen anhand dokumentierter REST-basierter APIs zu authentifizieren und zu autorisieren. Die API-Sicherheit ist für den Schutz der Integrität des Datentransports zwischen Edge-Geräten und Back-End-Systemen von entscheidender Bedeutung, um sicherzustellen, dass nur autorisierte Geräte, Entwickler und Anwendungen mit APIs kommunizieren und potenzielle Bedrohungen und Angriffe auf bestimmte APIs erkannt werden.

Viele IoT-Geräte auch im industriellen Umfeld haben keine grundlegenden Sicherheitsanforderungen, es gibt eine Vielzahl von IoT-Standards und -Protokollen, die weisse Flecken in der Sicherheit schaffen. Umfang und Umfang der IoT-Implementierungen erschweren die Transparenz bei Sicherheitsvorfällen, Unklarheiten in Bezug auf die Verantwortung für Datenschutz und Sicherheit bleiben bestehen.

Die IoT-Sicherheit wird dadurch kompliziert, dass viele Assets einfache Prozessoren und Betriebssysteme verwenden, die möglicherweise gar keine ausgefeilten Sicherheitskonzepte unterstützen.

Es ist (einfach ausgedrückt) ziemlich kompliziert, wenn viele Assets sich zu einem riesigen Netzwerk verbinden, welches überallhin Zugriff erlangen kann.

Und dabei stehen wir erst am Anfang: Da das Internet der Dinge nun mehr und mehr Realität wird, müssen wir uns um den Schutz weiterer Assets kümmern. Aber selbst wenn Sie nun anfangen, Sicherheit ernst zu nehmen, sind die Technologieunternehmen, welche diese neuen Assets herstellen, viel zu unbekümmert zu den Risiken. Und ein Problem ist, dass Unternehmen ihre Geräte nicht oder nur unzureichend aktualisieren. Das bedeutet, dass ein IoT-Gerät, das beim ersten Kauf noch sicher war, unsicher werden kann, sobald Hacker neue Schwachstellen entdecken.

Der beste Schutz, den Unternehmen haben, besteht darin, alle Vereinbarungen beim Empfang eines Geräts/Assets oder einer Software wie einer IIoT-Platform wirklich zu lesen. Finden Sie auch heraus, was die Unternehmensrichtlinien des Geräts im Hinblick auf die Datensicherheit und die gemeinsame Nutzung dieser Daten sind. Dies kann dann durchaus bedeuten, dass Sie sich weigern, bestimmte Produkte zu verwenden.

Das Internet der Dinge bietet viele Chancen, aber die Sicherheitsrisiken können und dürfen nicht ignoriert werden, von wem auch immer diese Sicherheitsrisiken ausgehen. Das beste Mittel ist vor allem, die potenziellen Risiken bei der Installation und dem Betrieb der angeschlossenen Geräte zu berücksichtigen.

Lösungsansätze

  • IoT-Sicherheit erfordert einen End-to-End-Ansatz
  • Verschlüsselung ist dabei ein absolutes Muss
  • IoT-Sicherheitsszenarien müssen unendliche Skalierbarkeit unterstützen
  • Permanente Security-Audits zu bestehender IoT-Software und IoT-Assets
  • Security Analytics muss eine tragende Rolle in IoT-Sicherheitslösungen spielen
  • IoT-Standards sind wichtige Katalysatoren, brauchen aber noch Zeit, um sich weiter zu entwickeln

Erst wenn folgende Tools vollständig implementiert und einfach verfügbar und administrierbar sind, wird IoT als auch IIoT in der Mitte der Gesellschaft als auch der Unternehmenslandschaft ankommen. Notwendig dazu ist:

  • IoT Blockchain
  • IoT Network segmentation
  • IoT Device user privacy control
  • IoT Thread detection
  • IoT Device hardening
  • IoT Identity store
  • IoT IAM
  • IoT API security
  • IoT Security analytics
  • IoT PKI
  • IoT Enryption
  • IoT Authentification
  • IoT Network security

Und nur damit das richtig ankommt - damit ist dann nicht wieder eine Landschaft an Insellösungen gemeint, sondern die vollständige Implementierung in die Sicherheitsplattformen, welche zur zentralen Steuerung der Security verwendet werden.

Das ist aber nicht als Ausrede zu verstehen, nicht bereits heute in IoT als auch IIoT zu investieren. Ganz im Gegenteil - im Interesse einer eigenständigen und prosperierenden Wirtschaft speziell in Deutschland müssen alle Anstrenungen in die Richtung gehen, unsere Unternehmen fit für die Zukunft zu machen. Nur weil das Modell der "1%-Optimierung pro Jahr" in der Vergangenheit mehr oder weniger gut funktioniert hat, bedeutet das nicht, hier stehenzubleiben. Viele große Unternehmen in Asien sind zum Thema IIoT bereits wesentlich weiter und erzielen speziell mit Predictive Maintenance Kosteneinsparungen, welche die Unternehmensgewinne befeuern. Um das mal mit Zahlen zu unterfüttern: Im Jahr 2014 gab es in Deutschland 282 Roboter pro 10.000 Fabrikarbeiter, 164 in den USA und 437 in Japan. Heute ist diese Schere zwischen den westlichen Industrienationen und den asiatischen Industrienationen noch viel weiter aufgegangen.

Hier also eine wirklich fix und fertige Lösung abzuwarten oder eigene große Lösungen zu entwerfen, bedeutet kurz und einfach eine Stärkung der Konkurenz. Kleine und einfache Schritte zu IIoT lösen Probleme und sparen Kosten. Aber bitte die Basics der Security dabei im Auge behalten!

Partner | Referenzen
  • 1_LOGO_NEXIONA.png
  • VOESTALPINE.png
  • BAYER.png
  • 1_LOGO_Avalara.jpg
  • VENTURETEC.png
  • sbb.gif
  • ASKLEPIOS.png
  • dlr.png
  • 1_LOGO_VEEAM.png
  • Exponet Infrakon 4c.png
  • vodafone.gif
  • TDT-AG.JPG
  • 1_LOGO_FARSITE.png
  • idRoboTica.png
  • deutschepost.gif
  • AIRBUS.png
  • dekabank.gif
  • gieseckedevrient.gif
  • NXP.png
  • DEUTSCHE_BANK.png