Sie sind hier: HomeTelekommunikation

IoT-Sicherheit: Fit für das Internet der Dinge

Fortsetzung des Artikels von Teil 1.

Wirkliche Sicherheit erreichen

Hauptziele von Cyberattacken Bildquelle: © Adesso

Abbildung 2: Die vier Hauptziele von Cyberattacken

Wirkliche Sicherheit im Internet of Things erfordert die durchdachte Anwendung verschiedener Maßnahmen sowie die Stabilisierung der vier Säulen der Informationssicherheit in IoT-Umgebungen.  

  • IoT-Netzwerk-Security: Der Schutz und die Sicherung des Netzwerkes, das IoT-Geräte mit Back-End-Systemen im Internet verbindet, muss sichergestellt sein. Zu den wichtigsten Funktionen gehört  dabei herkömmliche Endpoint-Security. Weiterhin sind Lösungen wie Antivirus und Antimalware, Firewalls sowie Intrusion-Prevention- und -Detection wichtig.
  • IoT-Authentifikation: IoT-Geräte müssen angemessen authentifiziert werden, einschließlich komplexer Szenarien der Authentifikation wie die Verwaltung mehrerer Benutzer eines einzelnen Gerätes und unterschiedlicher Hersteller. Es muss möglich sein, verschiedene Authentifikationsmechanismen von einfachen statischen Kennwörtern bis zur komplexeren Zwei-Faktor-Authentifizierung, biometrischen Lösungen oder digitalen Zertifikaten zu unterstützen. Viele IoT-Authentifizierungsszenarien sollten ohne menschliches Eingreifen verlässlich funktionieren.
  • IoT-Vertraulichkeit: Für diesen Bereich empfiehlt es sich, standardisierte Verschlüsselungsprozesse und -protokolle zu verwenden. Darüber hinaus muss die gesamte IoT-Verschlüsselung von kompatiblen und für den Sicherheitsbedarf ausreichenden Verschlüsselungsalgorithmen und Schlüssellängen begleitet sein. Nicht für alle IoT Geräte können jedoch lange Schlüssel verwendet werden da die Ressourcen sehr begrenzt sind. Für diese Fälle sind neue Methoden der leichten Kryptographie entwickelt, die Anwendung einer sicheren Verschlüsselung auch für Geräte mit begrenzten Ressourcen ermöglichen. In diesem Zuge wurde im Jahr 2013 vom US National Institute of Standards und Technology (NIST) die internationale Norm ISO / IEC 29192 „Lightweight Cryptography“ bekannt gegeben.
  • IoT-Keymanagement: IoT benötigt ein einfaches Keymanagement-System, das für alle Frameworks und Hersteller das Vertrauen zwischen verschiedenen Dingen ermöglicht und die Schlüssel an alle Geräte und beteiligte Komponenten verteilen kann. Digitale Zertifikate können bei der Herstellung der Geräte sicher auf IoT-Geräte geladen oder auch nach der Fertigung installiert werden. Die Drittanbieter können diese Zertifikate aktivieren oder deaktivieren.
  • Identitätsmanagement und föderative Architekturen: Für die IoT-Trust- und Identitätsmanagement eignen sich föderative IDM-Architekturen mit interner Autonomie und zentralem Identitätsmanagement, um die Heterogenität verschiedener Geräte, Software und Protokolle zu überwinden. Da das Thema Blockchain in letzter Zeit zunehmend an Bedeutung gewonnen hat, wurden auch einige Blockchain-basierte Identity-Management-Lösungen für IoT entwickelt.
  • IoT-Security-Protokollschichten: Sichere Protokolle ermöglichen die Authentifizierung und Autorisierung für den Datentransfer zwischen IoT-Geräten, Back-End-Systemen und Anwendungen. Die API-Sicherheit ist für den Schutz der Integrität der Datenübertragung zwischen End-Geräten und Back-End-Systemen unerlässlich, um sicherzustellen, dass nur autorisierte Geräte, Entwickler und Apps mit den APIs kommunizieren und potenzielle Bedrohungen und Angriffe auf bestimmte APIs erkannt werden können.
  • IoT Compliance: Menschen, Prozesse und Technologien aus denen das integrierte IoT-Systeme besteht, müssen nationale und europäische Vorschriften und Best Practices im Bereich Datenschutz und Security erfüllen. Dazu gehört die EU-DSGVO. Deshalb ist beim Design der Sicherheitsarchitektur auf geltende Regeln zu achten.

Bewusstsein muss wachsen
Analytische Lösungen sammeln, normalisieren und analysieren Daten, die von IoT-Geräten und Applikationen erzeugt werden. Sie ermöglichen anschließend das Bereitstellen von auswertbaren Berichten und Warnmeldungen zu bestimmten Aktivitäten oder wenn Aktivitäten außerhalb der festgelegten Richtlinien liegen. Insgesamt spielt das Sicherheitsbewusstsein der Anwender ebenfalls eine wichtige Rolle für den Erfolg von IoT-Sicherheitslösungen. Wenn ein Gerät nicht gesichert ist, können Hacker einfach und schnell Angriffe auf das gesamte Netzwerk durchführen.

IoT-spezifische Sicherheitstechnologien sind nötig
Zudem wird die fortlaufende Entwicklung von IoT-spezifischen Sicherheitsbedrohungen zweifellos die Innovation in diesem Bereich vorantreiben. Daher können in naher Zukunft weitere neue IoT-spezifische Sicherheitstechnologien erwartet werden. IoT-Sicherheit erfordert einen durchgängigen Ansatz und Verschlüsselung ist ein absolutes Muss. IoT-Sicherheitsszenarien legen großen Wert auf Skalierbarkeit und Umgang mit der großen Anzahl von Geräten. Sicherheitsanalysen werden bei IoT-Sicherheitslösungen vermehrt eine wichtige Rolle spielen. Aktuell bilden IoT-Standards schon wichtige Katalysatoren, es ist aber eine Weiterentwicklung notwendig, damit sie einen umfangreichen Schutz bieten können.

Mehrdad Jalali-Sohi ist Managementberater, Architekt, Team- und Projektleiter bei Adesso