Das IoT-Gateway von nebenan

Produkte für das Internet der Dinge sind klein, vernetzt und leider fast immer kaum oder gar nicht abgesichert. Manchmal liegt es am fehlenden Willen der Hersteller, manchmal aber auch schlicht in der Natur des Dings - klein und leicht bedeutet eben auch, dass es wenig Ressourcen für aufwändige Sicherheitsfunktionen wie Verschlüsselung oder Packet-Inspection gibt. Das führt zu Schwachstellen, zahlreichen Angriffsvektoren und im Endeffekt zu einem für fast jeden zugänglichen Bot-Zombie. Nach den letzten groß angelegten Angriffen, die vor allem IoT-Geräte als digitale Armee nutzen, werden die ersten Rufe laut, die mehr Gesetzgebung und staatlichen Vorgaben wünschen. Bei einer Anhörung vor dem Ausschuss für Energie und Handel des US-Repräsentantenhaus sagte etwa der Sicherheitsguru Bruce Schneier, dass durch die zunehmende Verbreitung unsicherer Technik im Internet "katastrophale Risiken" entstünden.

Ob es zu solchen Maßnahmen kommen wird oder ob die Hersteller von IoT-Geräten selbst einsehen, dass der bisherige Weg nicht der richtige war, bleibt abzuwarten. Doch bis dahin muss etwas passieren und zumindest für das Problem der zu geringen Rechenleistung gibt es eine einfache Abhilfe: IoT-Gateways. IoT-Gateways sind schon seit längerem in Verbreitung, wenn auch mit einem anderen Fokus. Sie wurden bisher vor allem genutzt, um Legacy-Geräte, die nicht über eine Netz-Schnittstelle verfügen an TCP/IP anzubinden. Manchmal geht es dabei nur darum, ein paar Schaltkontakte per IP-Adresse anzusprechen. In anderen Fällen kann eine Maschine oder eine alte SPS zwar kommunizieren, nur eben nicht über Ethernet, Modbus oder ProfiBus, sondern über ein proprietäres Protokoll. Dann agiert das IoT-Gateway als lokale Zwischenstation, die Daten der entsprechenden Sensoren und Aktoren entgegennimmt, benötigte Informationen extrahiert und als Datagramm weiterschickt. Möglich ist auch, die Daten im Gateway zu speichern und sie erst auf Anfrage bereitzustellen, beispielsweise über einen eingebauten Webserver.

Die Erweiterung des IoT-Gateways als VPN Client ist eine logische Folge des bekannten Problems der zu geringen Rechenleistung. Bei NCP kann das IIoT Remote Gateway auf Anlagen und Maschinen installiert und eingesetzt werden, während das zentrale IIoT Gateway die verschlüsselten Daten vom IIoT Remote Gateway entgegennimmt und diese an weiterverarbeitende Systeme übermittelt. Ein Anlagenhersteller oder -betreiber stellt auf diese Weise nicht nur eine verschlüsselte Kommunikation sicher, sondern er erhält auch die Kontrolle über die Konfiguration der Sicherheitsparameter sowie die Möglichkeit einer einfachen Inbetriebnahme. Durch die Mandantenfähigkeit ist das Management System für den Einsatz in Cloud-Umgebungen oder in Industrie 4.0-Strukturen prädestiniert. Wenn beispielsweise mehrere Produktionsstandorte oder Unternehmensbereiche eine gemeinsame Plattform nutzen, erhalten Administratoren jeweils Zugriff auf den eigenen Produktionsstandort mit den zu verwaltenden Einheiten - ein Zugriff auf fremde Daten und geschützte Bereiche ist ausgeschlossen.

Sämtliche Verbindungen zwischen den Endgeräten und den beiden Gateways sind mit modernsten Algorithmen wie Suite B Cryptography verschlüsselt. Ein weiteres Security Feature stellen zentral verwaltete Maschinen-Zertifikate in einer Public Key Infrastructure (PKI) dar. Hierdurch wird eine eindeutige Authentifizierung aller Endgeräte gewährleistet. Bei jedem Verbindungsaufbau werden Zertifikate hinsichtlich ihrer Gültigkeit bzw. Laufzeit und Vertrauenswürdigkeit (von einer vertrauten CA signiert) sowie dahingehend offline oder online gegenüber der Certification Authority (CA) überprüft, ob sie gesperrt sind. Wenn zumindest die Industrie ihre IoT-Geräte, ob leistungsfähig oder nicht, durch solche Gateways absichern würden, könnten die Regierungen ihre Regulierungskettenhunde noch eine Weile an der Leine lassen.