bietet international die Gelegenheit, einen Austausch über die Auswirkungen des Internets der Dinge im alltäglichen Leben anzuregen. Vor dem Hintergrund mehrerer aktueller Fälle von Sicherheitsverletzungen sowie einer neuen Gesetzgebung ist das Thema IoT-Sicherheit verstärkt in den Fokus gerückt. Zum aktuellen IoT-Tag geben wir einige Tipps zur IoT-Sicherheit aus unserem jahrzehntelangen Erfahrungsschatz mit der Branche.
Erst vor Kurzem bei Verkada Inc. verschafft. Berichten zufolge sind die Hacker über den Angriff auf Nutzerdaten in das Netzwerk gelangt . Und es ist noch nicht lange her, dass es bei SolarWinds zu einem Angriff kam, den der als „den größten und raffiniertesten Angriff, den die Welt je gesehen hat“ bezeichnete.
Diese Angriffe zeigen, dass die Zwei-Faktor-Authentifizierung eine Minimalvoraussetzung darstellt, die durch ein digitales Zertifikat ergänzt werden sollte. Zugleich sind Sicherheitskameras im IoT schon lange das Ziel von Angriffen; häufig weisen sie Schwachstellen aufgrund unzureichender Sicherheitsplanung beim Design und der Entwicklung auf. Die Hersteller müssen hier nachbessern, und Kunden müssen besser über Sicherheitsaspekte der von ihnen erworbenen Geräte aufgeklärt werden.
Deshalb hat die US-Regierung damit begonnen, die Anforderungen an Gerätehersteller zu verschärfen. Im Dezember 2020 wurde der ( zur Verbesserung der Cybersicherheit von IoT-Geräten) verabschiedet, um nationale Standards für private IoT-Gerätehersteller festzulegen. Mit diesem Gesetz verfolgte der Kongress das Ziel, IoT-Hersteller dazu zu bewegen, bei der Entwicklung und Herstellung von IoT-Geräten Sicherheitsmaßnahmen einbeziehen. Seit der Verabschiedung ist das NIST (National Institute of Standards and Technology) für die Entwicklung von Minimalstandards für die Sicherheit aller von der US-Bundesregierung genutzten Geräte zuständig. Dabei ist die Hoffnung, dass die Hersteller diese Standards nicht nur beim Verkauf an die US-Regierung erfüllen, sondern sie als sicherheitsbezogene Best Practices auch beim Verkauf von Geräten im privaten Sektor umsetzen. Dadurch wird dieses Gesetz hoffentlich für sorgen.
Vor diesem Hintergrund müssen sich die Hersteller vorbereiten und prüfen, wo sie Sicherheitsmaßnahmen umsetzen könnenÌý– von der Produktentwicklung bis zur Geräteherstellung. Public Key Infrastructure (PKI) kann zur Sicherstellung der Integrität, Authentizität und Vertraulichkeit im gesamten Lebenszyklus eines Geräts beitragen.
Authentifizierung, Verschlüsselung, Integrität und Identitätsschutz sollten Teil jedes IoT-Sicherheitsstandards und jeder Richtlinie sein. Wenn Hersteller Ansätze zur Erfüllung der NIST-Richtlinien entwickeln, sollten sie am besten nach einer Lösung suchen, die mehrere Anforderungen der Standardrichtlinie zugleich erfüllt. Public Key Infrastructure (PKI) und der Einsatz digitaler Zertifikate sind bewährte Sicherheitsstrategien für die gängigen Herausforderungen im Sicherheitsbereich: Authentifizierung und Zugriff, Vertraulichkeit von Daten sowie Sicherstellung von Datenintegrität und Gerätebetrieb.
PKI ermöglicht die folgenden Sicherheitsansätze:
PKI ist ein guter Ausgangspunkt, da sie ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô für mehrere Sicherheitsanforderungen zugleich bietet.
PKI bietet IoT-Herstellern Sicherheit mit größerer Flexibilität bei der Anwendung, Bereitstellung und Entwicklung von Zertifikaten. Die Umgebung und die Bedürfnisse von Herstellern beim Einsatz von PKI sind unterschiedlich. Einige Hersteller benötigen vielleicht eine lokale Lösung, wenn während der Herstellung kein Netzwerkzugriff besteht. Andere bevorzugen eine cloudbasierte Lösung, um die Kosten zu senken und die Einrichtung zu erleichtern. Bereitstellungsflexibilität bedeutet, dass die Hersteller Komponenten oder Geräte vor der Herstellung, in der Lieferkette, während der Herstellung oder sogar vor Ort bereitstellen können.
Schließlich benötigen Hersteller möglicherweise unterschiedliche Zertifikatsprofile, -vorlagen oder Protokollanforderungen für ihre jeweiligen ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô und Umgebungen. Da sich IoT-Geräte hinsichtlich ihrer Rechenleistung, Kommunikationsprotokolle und Einsatzdauer unterscheiden, brauchen Hersteller eine flexible und sichere PKI-Lösung. Mit der richtigen Plattform können Hersteller Kunden-Zertifikatsprofile erstellen, die an die jeweiligen Anforderungen des IoT-Geräts angepasst sind.
Eine der Möglichkeiten, die PKI Herstellern bietet, ist die Identifizierung ihrer Originalprodukte über die in das Gerät integrierte Identität. IoT-Hersteller müssen auf diesen Geräten regelmäßig Updates durchführen, um sicherzustellen, dass die neuesten Änderungen der Sicherheitssoftware oder der Gerätekonfiguration umgesetzt werden. Sobald die Identifizierung zwischen System und Gerät abgeschlossen ist, wirdÌý– wiederum mit Hilfe der PKIÌý– das für das Gerät bestimmte Software-Update verschlüsselt. Das Update kann nur durch das vom Hersteller identifizierte Originalgerät entschlüsselt werden, sodass eine sichere und manipulationsfreie Kommunikation zwischen dem Netzwerk und dem IoT-Gerät sichergestellt ist.
Eine weitere Anwendungsmöglichkeit von PKI ist die Authentifizierung eines Geräts für Cloud-Dienste, bei denen die Hersteller den Sicherheitsstatus des Geräts prüfen können. Hier muss der Hersteller sicherstellen können, dass sich ein Originalgerät mit seinem Cloud-Dienst verbindet und kein böswilliger Akteur, der mithilfe des Geräts eine falsche Identität vortäuschen oder das System infiltrieren will. Sobald diese Identifizierung erfolgt ist, kann der Hersteller die sichere Wartung des Geräts über seinen Cloud-Dienst durchführen.
¶ºÒõ¹Ý bietet PKI-³¢Ã¶²õ³Ü²Ô²µ±ð²Ô an, die Herstellern bei der Umsetzung des IoT Cybersecurity Improvement Act helfen. ¶ºÒõ¹Ý® IoT Trust Manager und ¶ºÒõ¹Ý® Software Trust Manager helfen Herstellern durch die Sicherstellung von Geräteidentität und -authentifizierung, Vertraulichkeit und Integrität bei der Umsetzung der NIST-Richtlinien.
Beide Manager sind Teil von ¶ºÒõ¹Ý ONEâ„¢, einer PKI-Plattform mit moderner, cloudnativer und containerbasierter Architektur. Sie ist einfach aufzusetzen, äußerst skalierbar und bietet verschiedene Bereitstellungsmöglichkeiten wie etwa über die Cloud, lokal, als Hybridlösung oder physisch isoliert.
Mehr darüber, wie PKI zur Sicherheit Ihrer IoT-Geräte und zur Einhaltung der NIST-Richtlinien für die IoT-Cybersicherheit beitragen kann, erfahren Sie unter ¶ºÒõ¹Ý lot Trust Manager oder ¶ºÒõ¹Ý Software Trust Manager.