Entlarvt: Zehn Mythen rund um IoT-Sicherheit

Wie sieht es mit der Sicherheit im Internet der Dinge (Internet of Things, IoT) aus? Dieser Artikel entlarvt zehn Mythen rund um dieses Thema.

Der Begriff Internet der Dinge oder Internet of Things (IoT) ist in aller Munde. Fortschritte in diesem Bereich verändern unser Leben bereits jetzt und auch in Zukunft, da immer mehr Geräte miteinander vernetzt werden. Das IoT beeinflusst Unternehmen und Privatnutzer erheblich. Wie aber sieht es mit der Sicherheit der vernetzten Geräte aus? Rund um das Thema IoT-Sicherheit gibt es zehn wichtige Mythen, die ich in diesem Artikel beleuchten und entlarven werde:

1. Die kleinen IoT-Geräte verfügen nicht über genügend Akku-Kapazität für wirksame Sicherheit.

Schon Anfang der 1980er Jahre waren 8-Bit-, 8 MHz-Chips mit nur 2 KByte RAM in der Lage, Elliptic Curve Cryptography (ECC) mit einer Schlüssel-Länge von 256 Bit umzusetzen. Hinter ECC verbergen sich asymmetrische Kryptografie-Systeme, die Operationen auf elliptischen Kurven über endlichen Körpern verwenden. Diese Verfahren sind effektiv so stark wie RSA-Kryptografie mit einer Schlüssellänge von 2.048 Bit, die in den USA für geheime Informationen der nationalen Sicherheit verwendet werden. Dieses Verschlüsselungsverfahren verbraucht so wenig Strom, dass eine AA-Batterie für das stündliche Signieren oder Überprüfen von Daten über einen Zeitraum von 20 Jahren hinweg halten würde.

2. Sicherheit ist zu kompliziert, speziell im Internet der Dinge. Man kann nie gewinnen.

Es ist wahr, dass es für effektive Sicherheit nicht den einen Königsweg gibt. So wie die meisten guten Häuser aus mehreren Wänden, Dach und Boden bestehen, setzt sich auch effektive IoT-Sicherheit aus mehreren entscheidenden Bausteinen zusammen:

  • Verschlüsselung zum Schutz der Authentifizierung und möglicherweise auch zum Schutz der Vertraulichkeit von Daten.
  • Kryptografische Verifikation jedweden Codes und Konfiguration, bevor Code ausgeführt werden darf.
  • Externe Sicherheitsexperten sorgen für eine sichere Laufzeitumgebung, um Schwachstellen und Sicherheitslücken im Code zu minimieren.
  • Funktionen für Over-the-Air-Management aus der Ferne wie Software-Inventarisierung und -Updates, Telemetrie und Richtlinien-Management für agile Sicherheit.
  • Sicherheitsanalysen, um fortschrittliche Attacken wie Advanced Persistent Threats (APTs) zu finden und zu bekämpfen, die oft unbemerkt bleiben und keinen Alarm auslösen.

Diese einfachen Zutaten sind stark genug, um Top-Marken vor den besten Angreifern zu schützen.

3. Für diese Geräte ist kein Update möglich.

Natürlich gestaltet sich das Update bei vielen Geräten kompliziert – es ist aber bei fast allen Endpunkten grundsätzlich möglich. Industrielle Systeme werden im Durchschnitt 19 Jahre lang eingesetzt; auch Autos und medizinische Geräte sind so gebaut, dass sie Jahrzehnte durchhalten. Aktuell sehen wir, dass Hersteller Updates für mehrere Jahrzehnte alte Geräte herausgeben, weil ihre Kunden sich auf die Integrität dieser Geräte verlassen. Wir beobachten den gleichen Effekt bei medizinischen Geräten, Geldautomaten, Kassensystemen, Geräten im Einzelhandel und jetzt sogar Autos.

4. Sicherheit ist zu teuer für die Vielzahl an vernetzten Geräten.

Bei einer Masse von Geräten kostet Sicherheit oft nur wenige Cents pro Gerät. Daher sollten Unternehmen hier bei der Prävention nicht sparen, wenn ein Gerät beispielsweise mehr als 20 Euro kostet. Das Risiko eines Image-Schadens oder von finanziellen Einbußen ist zu hoch.

5. Gateways, Air Gaps und Netzwerksegmentierung sorgen für ausreichenden Schutz.

Fast alle vernetzten Systeme enthalten Schwachstellen, die ihre Schöpfer vielleicht nicht kennen, die aber kreative Angreifer entdecken. Dies zeigen Würmer wie Stuxnet, die neben kritischen Infrastrukturen auch Einrichtungen des Militärs oder von Geheimdiensten unterminierten. Im vergangenen Jahr erfolgte der Angriff auf den Hochofen eines deutschen Stahlwerks über ein Sicherheits-Gateway, das eigentlich für den Schutz des operativen Netzwerks konzipiert wurde. Gateways helfen, Risiken zu reduzieren, bieten aber alleine keinen ausreichenden Schutz. Das Gleiche gilt für Air Gaps, VLANs und andere Maßnahmen, die Netzwerke voneinander trennen. Unternehmen sollten hochwertige Systeme von innen härten und sich nicht auf die Wirksamkeit von Gateways, Air Gaps und Netzwerksegmentierung verlassen.

6. Blockchain versus Public Key Infrastructure (PKI).

Blockchain ist ein großes Kontosystem beziehungsweise eine Datenbank für die Aufzeichnung von Transaktionen und für digitale (und physische) Objekte. Im Prinzip handelt es sich um einen digitalen Kontoauszug für Transaktionen zwischen Computern, der jede Veränderung genau erfasst, sie dezentral und transparent auf viele Rechner verteilt speichert. Damit ist die Information nicht oder nur mit großem Aufwand manipulierbar und verifiziert.

Leider vergessen die meisten Menschen, dass der Kern der Blockchains auf der unteren Ebene auf Verschlüsselungsmaßnahmen mit traditionellen Bibliotheken, Schlüsseln und Anmeldeinformationen basiert. Bitcoin zum Beispiel verwendet Elliptic Curve Crypto (ECC) mit einer Schlüssellänge von 256 Bit und damit dasselbe Verfahren, das häufig für IoT-Systeme mit oder ohne Blockchain empfohlen wird. Die Schlüsselverwaltung gilt oft als eine Achillesferse der meisten Verschlüsselungssysteme. Daher nutzen bereits mehr als eine Milliarde von IoT-Geräten das bewährteste System für die Schlüsselverwaltung, eine verwaltete Public-Key-Infrastruktur (PKI). Da die PKI digitale Zertifikate ausstellen, verteilen und prüfen kann, sichern die innerhalb einer PKI ausgestellten Zertifikate die Kommunikation ab. Daher gilt: Eine Kombination von Blockchain und PKI für die Schlüsselverwaltung erhöht die Sicherheit enorm.

7. Anbieter von Sicherheitslösungen und Standardisierungsgremien alleine meistern die Security-Herausforderungen schneller.

Anbieter von Sicherheitslösungen und Standardisierungsgremien machen zwar Fortschritte, aber dieser Prozess braucht Zeit. Auch wenn die Kunden verstärkt spezielle Sicherheitsfunktionen wie die oben erwähnten Bestandteile fordern, werden Hersteller weiterhin Geräte ohne oder mit unzureichenden Sicherheitsfunktionen verkaufen.

8. OT-Teams brauchen nur von der IT zu lernen.

In der Welt der intelligenten Geräte und Systeme (Operations Technology, OT) herrschen ganz andere Zwänge und Innovationszyklen als in der IT-Welt; die Folgen bei einem Ausfall sind oft weitreichender. Doch im Internet der Dinge wachsen OT und IT immer weiter zusammen. Die OT-Welt benötigt viele Technologien, die in der IT seit Jahren im Einsatz sind. Doch solange die IT-Anbieter und -Mitarbeiter nicht die Sprache und Kultur der OT lernen und schätzen, dürften die OT-Teams daran zweifeln, ob die IT-Abteilung die Technologien für ihre Umgebungen richtig ausgewählt und angepasst hat. OT-Teams sind beim Management der unzähligen Tools für IT-Sicherheit überfordert; es geht daher um die Auswahl der richtigen Werkzeuge. Hier ist eine gute Zusammenarbeit zwischen IT und OT notwendig.

9. Unsere Systeme sind so undurchsichtig und komplex. Angreifer finden daher keine Lücken.

Stahlwerke, Wasseraufbereitungsanlagen, Stromnetze, Fabriken, Kraftwerke und unzählige andere Systeme wurden auch aufgrund dieses naiven Glaubens beziehungsweise des mangelnden Sicherheitsbewusstseins gehackt.

10. Ich kann mein Security-System alleine aufbauen.

Die Geschichte und die jüngsten Schlagzeilen rund um Datenlecks und Hackerangriffe sind von Unternehmen geprägt, die Sicherheit im Alleingang durchsetzen wollten. Kein Unternehmen und kein einziger Anbieter kann alle Angreifer alleine in die Schranken weisen. Die Verteidiger müssen zusammenarbeiten. Unternehmen sollten daher externe Experten zu Rate ziehen und darauf achten, dass diese bei Hardware, Software und Cloud-Services auf ein Netz von kompetenten Partnern zurückgreifen können und über genügend spezifische Branchenerfahrung verfügen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksoftware

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close