English

IoT: Sicherheit von Anfang an

von VPNHaus | 25.06.2014 |Encryption, IT policy

Beginnen wir mit der Absicherung des Internets der Dinge jetzt – bevor alles miteinander verbunden und damit angreifbar wird!

Im Internet der Dinge (IoT) werden immer mehr Gegenstände des alltäglichen Lebens miteinander vernetzt. Dazu gehören unter anderem intelligente Stromnetze, intelligente Messgeräte, vernetzte Fahrzeuge und Haushaltsgeräte. Gartner zufolge gibt es heute tatsächlich mehr als 2,5 Milliarden vernetzter Geräte und bis 2020 werden es mehr als 30 Milliarden sein.

Es herrscht Begeisterung über die Möglichkeiten, welche durch IoT entstehen. So lassen sich beispielsweise neue Geschäftsideen entwickeln sowie Produktivität und Komfort verbessern. Über all diesem darf die Technologiegesellschaft dennoch die Sicherheit nicht vergessen. IT-Experten wissen: Sobald etwas mit dem Internet verbunden ist, wird jemand versuchen, es zu hacken.

Leider verfügt man im Technologiebereich in diesem Zusammenhang über jede Menge Erfahrungen. In dem Bemühen schnell neue Märkte zu erschließen, wurde der Sicherheitsaspekt oft außer Acht gelassen – und möglicherweise wird das mit IoT wieder passieren. Wir haben bereits erlebt, dass Hacker Sicherheitslücken in Smart-TVs und Babyphones ausgenutzt haben.

In einigen Fällen kann IoT vorhandene Sicherheitstechnologien, wie beispielsweise Verschlüsselung, verwenden. Verschlüsselung kann zur Authentifizierung von Geräten genutzt werden. Darüber hinaus können durch die Kombination von Verschlüsselung und VPNs sensible Daten bei der Übertragung geschützt werden.

[Nichts als Arbeit und kein Vergnügen – dann wird IoT langweilig. Siehe Playing Games With The Internet Of Things]

Meist werden VPNs als Technologien im Zusammenhang mit der sicheren Kommunikation von Unternehmensnetzwerken und dem Internet verwendet. Jedoch lassen sie sich genauso einfach in Geräte implementieren, um die Machine-to Machine (M2M)-Kommunikation und innovativere Formen der Konnektivität zu unterstützen.

Indessen hat Verschlüsselung auch ihre eigenen Nachteile. Man denke zum Beispiel an die Verwaltung der Schlüssel. Milliarden vernetzter Geräte werden auf den Markt gebracht. Damit ergibt sich eine logistische Herausforderung bezüglich der Sicherung und Verwaltung der Schlüssel für die Datenverschlüsselung.

Eine ausgereifte Public Key Infrastructure (PKI) kann einigen Anforderungen hinsichtlich Rollout und Wartung von großen Verschlüsselungssystemen gerecht werden. Aber: IoT ist nicht nur ein großer „Fleck“ in der Landschaft, sondern eine Ansammlung von Inseln, wo jeder Dienstleister – zum Beispiel elektrische Versorgungsunternehmen, Set-Top-Box-Anbieter, Konsumgüterhersteller usw. – seine eigenen Schlüssel auf seinen eigenen Geräten verwalten muss.

Verschlüsselung ist unter Umständen nicht immer möglich. So verfügen einige Geräte mit geringer Leistung möglicherweise nicht über die notwendige Rechenleistung zur Verschlüsselung und Entschlüsselung von Informationen.

Auch die Zugriffskontrolle stellt eine Herausforderung für die Sicherheit in einer IoT-Welt dar. Sobald Nutzer Zugriff auf ein Endgerät haben, können sie auch auf das gesamte System zugreifen. Deshalb sind Zugangskontrollsysteme für das Management von Nutzer- und Geräteprivilegien notwendig.

Netzwerkadministratoren müssen Remote Access im Ganzen betrachten, einschließlich Endstellen, VPNs und der übrigen Netzwerkinfrastruktur. Die Limitierung des Netzwerkzugriffs sowie die Sicherung der Kommunikation und des Gerätezugriffs müssen allesamt Bestandteile einer Netzwerksicherheitsstrategie für IoT sein.

Außerdem ist da noch das Software-Problem. Durch jahrelange Erfahrung aus Exploit-Angriffen auf Server, PCs und Smartphones wissen wir, dass Angreifer immer Schwachstellen oder Sicherheitslücken in der Software finden und diese dann zu ihrem Vorteil ausnutzen.

Zur Reduzierung möglicher Angriffe müssen Unternehmen, welche IoT-Geräte entwickeln, sichere Methoden zur Softwareentwicklung verwenden. Inzwischen müssen IoT-Anbieter und Kunden sicherstellen, dass gegebenenfalls Mechanismen zur Installation von Patches oder zur Aktualisierung von Software vorhanden sind.

Natürlich bringt höhere Sicherheit auch höhere Kosten mit sich. Das wiederum ist der Preis, den man für die Reduktion der Risiken zahlen muss. Auf die Dauer zahlen sich die zusätzlichen Kosten zur Sicherung der Unternehmens-, Mitarbeiter- und Kundendaten aber zweifellos aus.

Das Internet der Dinge besitzt großes Potential zur Veränderung unseres Lebens. Um allerdings die höchstmögliche End-to-End-Sicherheit zu erreichen, muss Sicherheit bei der Entwicklung der IoT-Ausstattung und -Software von vornherein eine Rolle spielen. Das bedeutet, es muss berücksichtigt werden, wie jede Komponente genutzt wird, welche Arten von Informationen kommuniziert werden, welche Verbindungen aufgebaut werden, und wer Zugriff haben soll.

Sämtliche Verbindungsarten und -wege müssen unter dem Sicherheitsaspekt durchdacht werden. Zudem müssen vernünftige Sicherheitsrichtlinien erarbeitet und für alle verbundenen Geräte implementiert werden.

Das Internet hat uns auf die harte Tour gelehrt, dass größtmögliche Effektivität nur erreicht wird, wenn Sicherheitskomponenten von Anfang an integriert und nicht erst nachträglich hinzugefügt werden. Hoffen wir, dass die Technologiegesellschaft diese Lehre für IoT nutzen wird.

Dieser Artikel erschien ursprünglich bei InformationWeek.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK