Einbruchdiebstahl: IoT und Sicherheit

Von:

Wir alle leben bereits in einer Welt des Internets der Dinge, in der sich jedes Gerät mit dem Internet verbinden lässt. Alle Geräte, vom Kühlschrank über die Lampen bis zu den Autos, können kommunizieren. Doch der Glanz rund um das IoT geht schnell verloren, wenn die Sprache auf berechtigte Sicherheitsbedenken kommt. Ebenso, wie diese Technologie das Leben erleichtern und optimieren kann, besteht die Gefahr unerwünschter Folgen, sollte es in die falschen Hände gelangen.

 

Iot security risks

Betrachten wir zum Beispiel Autodiebstähle in der Vergangenheit und in der Zukunft. Bei einem Auto, das nicht mit dem Internet verbunden ist, ist die physikalische Sicherheit gefährdet und Kunden müssen manchmal mit dem Verlust eines Radios oder persönlicher Wertgegenstände rechnen. Bei einem vernetzten Fahrzeug allerdings eröffnen sich systembedingte Bedrohungen in Bezug auf Cybersicherheit. Die Folgen können gravierend sein, denkt man zum Beispiel an die Entführung eines Autos aus der Ferne, während der Fahrer noch hinter dem Lenkrad sitzt. Das ist nur eines von vielen Beispielen, in denen mangelnde Sicherheit zur lebensbedrohlichen Gefahr werden kann. Da immer mehr Geräte um uns herum mit dem Internet verbunden sind, werden wir für diese Arten von Bedrohungen auch immer empfänglicher.

Jüngste Vorfälle mit vernetzten Fahrzeugen – man denke an den Chrysler Jeep Cherokee-Hack – können das Kundenvertrauen in die IoT-Technologie erschüttern. Chrysler musste nach diesem Vorfall 1,4 Millionen Fahrzeuge physikalisch zurückrufen. Wäre das mit Fahrzeugen von Tesla passiert, hätte man das Problem mit einem Remote-Software-Patch über Nacht beheben können.

Für die Sicherung des IoT-Bereichs sind zwei Grundprinzipien der Informationssicherheit erforderlich: Starke Authentifizierung und sichere Kommunikation. Die derzeit führende Lösung für diese Prinzipien existiert bereits seit Jahrzehnten in Form von Public Key Infrastructure (PKI).

 

Public Key Infrastructure (PKI)

PKI ist eine Vertrauensbasis, die Sicherheit durch starke Authentifizierungs- und Verschlüsselungsmechanismen bietet.

Nehmen wir das vernetzte Fahrzeug von oben als Beispiel. Die Kommunikation zwischen dem Fahrzeug und seinen verbunden Services erfordert eine starke Authentifizierung. Das System des Fahrzeugs darf keine Befehle eines Dritten akzeptieren, ohne dass vorher sichergestellt wurde, dass diese Befehle wirklich von einem autorisierten Nutzer des Fahrzeugs stammen.  Eine Möglichkeit zur Minderung dieses Risikos ist eine gegenseitige Authentifizierung, bei der das Fahrzeug den Service und umgekehrt der Service das Fahrzeug authentifiziert.

verschwommene Autobahn

 

Encryption protocols and dual authentication

Neben der starken gegenseitigen Authentifizierung brauchen Geräte einen sicheren Kanal, über den sie mit dem Service kommunizieren können. Nur so lassen sich Vertraulichkeit und Integrität der Daten gewährleisten. Das kann mithilfe umfassender Verschlüsselungsprotokolle zwischen dem Gerät und dem vernetzten Service implementiert werden. Digitale Zertifikate und asymmetrische Verschlüsselungstechnologien ermöglichen solch eine starke Verschlüsselung, wenn Geräte und Services so konfiguriert werden, dass sie diese entsprechend nutzen. Die gängige Technologie für eine starke Authentifizierung und sichere Kommunikation nutzt die Public Key Infrastructure (PKI)

Wenn Sie beispielsweise einen Computer nutzen, um sich mit einem Internetdienst, wie Ihrem E-Mail-Anbieter, zu verbinden, geben Sie normalerweise einen Benutzernamen, ein Passwort und in einigen Fällen einen Token für die Authentifizierung ein. Da die meisten IoT-Geräte recht klein sind, verfügen sie nicht über Benutzeroberflächen wie eine Tastatur. Hier kommt die PKI ins Spiel. Mit der PKI kann ein digitales Zertifikat auf einem Gerät installiert werden, das über einen sicheren Dienst verwaltet wird. Auf diese Weise kann das Gerät die gegenseitige Authentifizierung vornehmen, ohne dass der Mensch tätig werden muss.

 

Erfolg mit IoT

Möchten Sie mit Connected Devices Geld machen? In diesem Kit erklären wir, wie Sie es richtig machen.

Get the kit!

PKI Beyond Iot

Die PKI wird neben dem IoT noch in vielen weiteren Bereichen eingesetzt, darunter die gegenseitige Authentifizierung für APIs, die Endpunkt-Authentifizierung und der sichere Fernzugriff auf Produktionssysteme. Wir bei Zuora haben eine PKI für die geschützte Weitergabe von digitalen Zertifikaten an Endpunkte entwickelt, damit die sichere Authentifizierung und Kommunikation mit internen Systemen gewährleistet ist. Die Sicherheit wird bei uns übrigens umfassend getestet. Wir validieren die Sicherheit unserer Systeme proaktiv mit branchenführenden Testanbietern wie IOActive. Dabei handelt es sich um dasselbe Beratungsunternehmen, das den Jeep Cherokee-Hack entdeckt hat.

 

iot scaling challenges

Obwohl die PKI das Potenzial hat, die oben genannten Dinge zu bewältigen, bringt sie ganz eigene Herausforderungen mit sich. Das Internet der Dinge entwickelt sich konstant weiter und wächst. Das potenzielle Volumen an Geräten führt zu vielen Skalierungsproblemen, die es vorher in dieser Form nicht gab, von der digitalen Bereitstellung von Zertifikaten bis zur Validierung.

Sicherheit und physikalischer Schutz sollten zweifellos in jedem IoT-Unternehmen Priorität haben. Der Jeep Cherokee-Hack war nicht nur ein Alarmsignal für die Automobilbranche, sondern eine Lektion für alle Anbieter von Geräten, die sich mit dem Internet vernetzen können.

Learn from your peers. Network your heart out.

Join a Subscribed event near you.

View Events