Funtap - stock.adobe.com
Die Zukunft des IoT sichern
Wenn Unternehmen IoT-Sicherheit nicht richtig umsetzen, kann das verheerende Folgen haben. Hacker könnten sensible persönliche oder kommerzielle Informationen kontrollieren.
Das Internet der Dinge (Internet of Things, IoT) boomt: Laut einem Bericht von Statista werden bis 2025 weltweit 75 Milliarden Geräte mit dem Internet verbunden sein. Solche Geräte haben das Potenzial, ebenso viele Risiken wie Chancen zu schaffen, wenn sie nicht sicher sind. Ganze nationale Infrastrukturen könnten mit verheerenden Folgen kompromittiert werden.
Tatsächlich gibt es zahlreiche Berichte über IoT- und IIoT-Sicherheitslücken: Video-Türklingeln, die unverschlüsselte Daten übertragen, intelligente Steckdosen, die die Ausführung von beliebigem Code aus der Ferne ermöglichen, Smart-Home-Geräte, die unverschlüsselt Passwörter für das heimische WLAN speichern, industrielle Kontrollsysteme, die Angreifern die Fernsteuerung von Maschinen ermöglichen – und die Liste lässt sich fortsetzen.
Regierungen und Standardisierungsgremien auf der ganzen Welt sind sich der potenziellen Risiken bewusst und ergreifen Maßnahmen, um Konflikte zu entschärfen. So hat beispielsweise auch die australische Regierung Anfang 2021 einen Entwurf für einen freiwilligen Verhaltenskodex für die Sicherheit in der IoT-Industrie vorgestellt. Der Code of Practice (PDF) enthält 13 Prinzipien, darunter die Sicherstellung der Softwareintegrität, die Implementierung einer Richtlinie zur Offenlegung von Schwachstellen und die Minimierung von Angriffsflächen. Er zielt darauf ab, Daten zu schützen und die Ausfallsicherheit in der Branche zu gewährleisten.
Was braucht es, um Kommunikationssicherheit für das IoT zu gewährleisten?
Zero Trust
Der traditionelle Ansatz zur Netzwerksicherheit bestand darin, den Zugriff streng zu kontrollieren, aber implizit davon auszugehen, dass das Innere des Netzwerks ein sicherer Ort ist. Dies hat sich immer wieder als Fehlannahme erwiesen. Im Gegensatz dazu ersetzt der Zero-Trust-Ansatz blindes Vertrauen durch Verifizierung und starke kryptografische Garantien. Das Ziel ist es, Sicherheit, Integrität und Privatsphäre auch dann aufrechtzuerhalten, wenn die zugrunde liegende Infrastruktur kompromittiert wird. Zero Trust räumt dem Netzwerk keinen besonderen Status ein und behandelt es wie das öffentliche Internet.
Vertraulichkeit
Eine Grundanforderung an Kommunikationssysteme, egal ob für private oder industrielle Anwendungen, ist, dass Dritte nicht in der Lage sein dürfen, die über das Netzwerk gesendeten Daten zu ermitteln. Alle Daten sollten von der Erzeugung bis zur Übertragung verschlüsselt werden. Die Ende-zu-Ende-Verschlüsselung sollte mit starken, gut geprüften und standardisierten kryptografischen Grundverfahren mit eindeutigem Schlüsselmaterial durchgeführt werden. Das Zero-Trust-Prinzip ist so aufgebaut, dass selbst wenn ein Lauscher Zugriff auf die Netzwerk-Pipeline hat, die Ende-zu-Ende-Verschlüsselung die Vertraulichkeit gewährleistet. Die Systeme sollten es den Benutzern leicht machen, die Verschlüsselung zu verwenden und sie standardmäßig aktivieren.
Integrität
Zusätzlich zur Gewährleistung der Vertraulichkeit ist es wichtig, dass ein Angreifer Nachrichten nicht erfolgreich manipulieren oder fälschen kann. Solche Versuche sollte das Netzwerk erkennen können. Außerdem sollte es nicht möglich sein, eine aufgezeichnete Nachricht erneut abzuspielen und sie erfolgreich zu authentifizieren. Starke kryptografische Ansätze, wie die Hash-basierte Nachrichtenauthentifizierung, können diesen Schutz bieten und sollten verwendet werden, um die Datenintegrität sicherzustellen.
Datensicherheit
Wenn es um die Wahrung der Vertraulichkeit geht, ist es wichtig, dass Dritte nicht die Möglichkeit haben, die mit Over-the-Air-Übertragungen verbundene Identität festzustellen oder zu erfahren, ob Nachrichten von einem Gerät oder mehreren Geräten gesendet werden. Tatsächlich sollte es keine erkennbare Assoziation zwischen Nachrichten und Geräten geben, um zu verhindern, was manchmal als Metadaten-Angriff bezeichnet wird. Während die Verwendung starker kryptografischer Prinzipien für die Verschlüsselung und Datenintegrität relativ weit verbreitet ist, senden viele Systeme immer noch unverschlüsselte Identifizierungsdaten. Kryptografische Ansätze können ebenso die Datenschutzanforderungen erfüllen. Mit diesen Vorkehrungen verhindern Unternehmen auch gezielte Fälschungsversuche, die die Bemühungen von Hackern vereiteln können, ein bestimmtes Gerät oder einen bestimmten Benutzer anzugreifen.
Skalierbarkeit
Mit dem Potenzial, Milliarden von Geräten zu verbinden, muss das IoT skalierbar sein, um nicht nur seinen zukünftigen Erfolg, sondern auch seine Sicherheit zu gewährleisten. Kostengünstige oder stromsparende Geräte sind keine Entschuldigung für ineffektive Sicherheit oder Datenschutz. Die IoT-Industrie muss sich auf ein exponentielles Wachstum einstellen und gleichzeitig eine stromsparende und kostengünstige Implementierung unterstützen. Vorausschauende Sicherheitsmaßnahmen sind erforderlich, damit Upgrades und Verbesserungen implementiert werden können und um Möglichkeiten zu schaffen, die unvermeidlichen Sicherheitsprobleme für bereits im Einsatz befindliche Geräte zu lösen.
Fazit
Wenn die Industrie die IoT-Sicherheit nicht richtig handhabt, könnte die Möglichkeit, dass Hacker die Kontrolle über unglaublich sensible persönliche, kommerzielle oder nationale Informationen erlangen, verheerende Folgen haben. Die Risiken und Konsequenzen sind massiv, und es ist entscheidend, dass die Branche Initiativen wie den Entwurf des Code of Practice unterstützt. Wir haben die Werkzeuge, um ein sicheres und privates Internet der Dinge zu schaffen, wir brauchen nur den kollektiven Willen, es universell einzusetzen.
Über den Autor:
Alex Grant ist CEO und Mitbegründer von Myriota, einem in Australien ansässigen Unternehmen, das das IoT revolutionieren will, indem es kostengünstige globale Konnektivität mit langer Batterielebensdauer anbietet.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
