Alte und neue Methoden für IoT-Sicherheit

IoT-Sicherheit als Herausforderung

Um die Daten der IoT-Geräte effizient zu sichern, waren bislang ein hohes Maß an technischem Fachwissen, erhebliche Kosten und die Implementierung eines separaten Systems zum Schutz ruhender Daten notwendig.

Warum ist gerade die IoT-Datensicherheit so schwer in den Griff zu bekommen? IoT besteht aus sehr kleinen und kostengünstigen Geräten, die ständig Daten sammeln und diese zur Verarbeitung in die Cloud übertragen – ein Prozess namens Telemetrie.

Die Funktionsweise der IoT-Technologie gestaltet die Sicherung dieser vernetzten Geräte recht komplex und stellt eine Reihe von besonderen Herausforderungen dar:

• Ausfall der Kommunikation: Fehlerhafte Secure Socket Layer (SSL) und Transport Layer Security (TLS) können zu Schwachstellen werden, wenn die Kommunikation zwischen Servern und einer Webanwendung unterbrochen wird.
• Begrenzter Schutz: SSL/TLS können nur bewegte Daten schützen, beispielsweise Sensordaten während der Übertragung. SSL/TLS schützen aber nicht die Daten, die gerade im Arbeitsspeicher verwendet werden, und auch keine ruhenden Daten auf der Festplatte.
• Haltbarkeit: IoT-Geräte werden häufig wesentlich länger eingesetzt als andere Arten von Elektronik. Da sie keine Updates empfangen können, werden Sicherheitsprotokolle häufiger gebrochen.
• Verschlüsselung beschränkt auf den Schutz ruhender Daten: Transparente Datenverschlüsselung (Transparent Data Encryption, TDE) oder die Verschlüsselung der kompletten Festplatte schützen nur Daten von Speichermedien oder virtuellen Festplatten-Images vor dem physischen Diebstahl (Verschlüsselung ruhender Daten). TDE hilft wenig beim Zugriff auf Daten, wenn Speichermedien gemountet und aktiv sind.

Alternatives Management von IoT-Sicherheit

Es gibt Systeme zum Schutz der über vernetzte Geräte gesammelten und gespeicherten sensiblen Daten. Diese Lösungen bieten neben dem Schutz des Netzwerktransports mit TLS und der sicheren Authentifizierung vernetzter Geräte über Standardtechniken weitere Vorteile.

Ein System zum Schutz der IoT-Daten ersetzt kritische Daten beispielsweise durch Aliase. Diese Methode wird auch als Armoring (Panzerung) bezeichnet. Die Aliase der wichtigen Daten werden auf Anwendungsebene und nicht über das Gerät verwaltet. Das heißt: Die Datensicherung ist unabhängig von der eigenen Firmware und Hardware des jeweiligen Gerätes. Die Betreiber dieser IoT-Plattformen entlasten ihre Kunden, indem sie die gesamte Verantwortung für den Schutz dieser Daten übernehmen.

Als weitere Sicherheitsmaßnahmen ermöglichen diese Systeme zusätzliche Authentifizierungstechniken mit Optionen zur Anpassung. Da sich die Authentifizierung an Sensordatenbanken von der Authentifizierung an IoT-Warteschlangen trennen lässt, erhöht sich der Schutz vor Datendiebstahl und anderen Gefahren, die durch schwache IoT-Authentifizierung entstehen würden.

Blindes Vertrauen auf ältere Technologien für IoT-Datensicherheit zum Schutz eines Unternehmens kann ein großes Risiko darstellen und eine Reihe von Schwachstellen weit offenlassen. Die Umstellung auf neue Datensicherheitssysteme kommt nicht nur den IoT-Unternehmen zugute, sondern wirkt sich auf die gesamte Branche aus.

Systeme der nächsten Generation bieten eine integrierte Compliance und ermöglichen es Unternehmen, sich auf neue Produkte, Geschäftsmodelle und ihre Wachstumsstrategie zu konzentrieren, ohne sich um das Management der Sicherheit kümmern zu müssen. Diese Systeme verwenden ein Framework vorgefertigter Steuerelemente für höheren Datenschutz und nutzen die bestehende Audit-Zertifizierung von Service-Providern, um Compliance-Programme zu verkürzen. Darüber hinaus verwenden sie bewährte Service Level Agreements (SLA), um die SLAs von Anwendung zu erweitern, und nutzen vorgefertigte Tools für Debugging, Logging und Alerting.

Wenn Unternehmen jeder Größe drahtlose Sensornetzwerke implementieren, um vom ständig wachsenden IoT zu profitieren, sollten sie unbedingt auf eine effektive und zukunftsweisende Strategie zum Schutz ihrer IoT-Daten achten.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.