Kritische Erfolgsfaktoren für den flächendeckenden Einsatz von IoT IT-Sicherheit oftmals vernachlässigt

23. Juni 2021

Leider wird mit der Nutzung von IoT-Geräten auch eine Reihe von Angriffsvektoren geschaffen. Schwachstellen in IoT-Geräten wurden bereits bei zahlreichen Cyber-Angriffen ausgenutzt (z. B. Mirai, Jeep Hack usw.). Sie sind eine leichte Beute, denn den Geräten fehlen die Sicherheitsmechanismen, um sich gegen böswillige Aktionen zu verteidigen.

IoT-Geräte sind ein nach wie vor sehr spannendes Themenfeld, das sich inzwischen im Privathaushalt und Firmenumfeld als integraler Bestandteil eingefügt hat. Ein Beispiel sind die hier zu Lande noch wenig im Einsatz befindlichen intelligenten Zähler (Smart Meter), die den Energiebedarf der Verbraucher besser vorausberechnen und gleichzeitig die Energiekosten senken. Vernetzte medizinische Geräte, wie Insulininfusionspumpen und Herzschrittmacher unterstützen Ärzte bei der Behandlung.

Sensoren werden für das Verkehrsmanagement in Großstädten eingesetzt, um die Auswirkungen von Staus während der Hauptverkehrszeiten zu verringern. Und schließlich werden IoT-Geräte in großem Umfang in intelligenten Fahrzeugen und Haushaltsgeräten eingesetzt, um ein verbessertes Benutzererlebnis zu gewährleisten. Diese vernetzten Geräte bieten enorme Möglichkeiten und Vorteile für Verbraucher und Unternehmen.

Angriffsvektoren für IoT

Es gibt vor allem drei Angriffsvektoren bei IoT-Geräten:

  • Die Geräte werden von bösartiger Software gekapert.
  • In IoT-Ökosystemen erfasste und verarbeitete Daten werden manipuliert und beeinträchtigen die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.
  • Die Benutzer- und Geräteauthentifizierung ist schwach.

Im Herstellungsprozess wird IT-Sicherheit oftmals bei diesen Geräten vernachlässigt, im Glauben, diese einfachen Instrumente würden kein großes Risiko darstellen. Doch die Realität ist eine Andere. Ein mit dem Netzwerk verbundenes Gerät stellt ein Einfallstor für potentielle Angreifer dar.

Langsam ändert sich die Einstellung von Sicherheitsverantwortlichen in Sachen IoT. Angetrieben von der Notwendigkeit, sich gegen zunehmende Bedrohungen abzusichern, erkennen Unternehmen (sowohl Hersteller als auch IoT-Konsumenten), dass sie eine bessere integrierte Sicherheit benötigen.

Sicherheitslücken in IoT-Produkten können Hersteller und Dienstanbieter ernsthaften Cybersicherheits-Risiken aussetzen, was zu Rufschädigung und hohen Geldstrafen für Verstöße gegen Sicherheits- und Datenschutzgesetze führen kann.

Um Benutzer vor den Folgen unsicherer IoT-Geräte zu schützen, haben internationale Organisationen und auch staatliche Institutionen Vorschriften erarbeitet, darunter:

  • Der IoT Cybersecurity Improvement Act of 2020 in den USA, der Richtlinien für Bundesbehörden zur Beschaffung sicherer IoT-Geräte enthält;
  • Die Food and Drug Administration (FDA) – ebenfalls in den USA – für das Management von Cybersicherheit in medizinischen Geräten vor und nach der Markteinführung;
  • Der EU Cybersecurity Act von 2019 mit seinem Cybersecurity Certification Framework.

Zur Unterstützung dieser Vorschriften haben sowohl die NIST als auch die ENISA Grundlagen und Richtlinien veröffentlicht, um die „Security-by-Design“-Entwicklung von IoT-Produkten voranzutreiben.

Sichere Software-Validierung und -Verifizierung

Der gemeinsame Nenner dieser Vorschriften und Richtlinien ist die sichere Software-Validierung und -Verifizierung. Verteilte Geräte benötigen sichere Mechanismen (die in-line oder over-the-air durchgeführt werden können), um Upgrades und Patches zur Fehlerbehebung zuverlässig zu verteilen.

Wie wichtig eine sichere Software-Validierung ist, wird durch zwei aktuelle Sicherheitsereignisse unterstrichen:

  • Der Angriff auf die Lieferkette von SolarWinds, bei dem böswillige Akteure in den Entwicklungsbetrieb von SolarWinds eindrangen. Sie schafften es, Malware in ein Software-Update einzufügen, das von dem Unternehmen im März 2020 verteilt wurde. Sobald die Malware installiert war, „telefonierte“ sie mit einem von der Hackergruppe betriebenen Command-and-Control-Netzwerk, wodurch sie in das Netzwerk eindringen und weitere Aktionen durchführen konnte. Von dem Angriff waren zahlreiche US-Bundesbehörden, Cybersicherheits- und Industrieunternehmen betroffen.
  • Bei der Kompromittierung des SSL-Zertifikats von Mimecast waren alle Kunden betroffen, die zur sicheren Anbindung von Microsoft 365 Exchange den Sicherheitshersteller für ihre Dienste einsetzten.

Chain of Trust für das Management des Zertifikate-LifeCycles

Zur Absicherung der zwischen IoT-Geräten ausgetauschten Daten und der für den Betrieb dieser Geräte erforderlichen Software – Bootstrap, Firmware, Apps – müssen wir eine Vertrauenskette (Chain-of-Trust) aufbauen. Die Verwendung digitaler Zertifikate zum Signieren von Codes, zur Sicherstellung der gegenseitigen Authentifizierung von Geräten, die mit Unternehmensnetzwerken verbunden sind, und zur Verschlüsselung des Datenverkehrs ist eine gut etablierte und effektive Lösung.

Um die Vorteile digitaler Zertifikate nutzen zu können, muss ein robuster Prozess zur Verwaltung des Zertifikate-LifeCycles eingerichtet und durchgesetzt werden, der die Erzeugung, Übertragung, Rotation und Stilllegung der zugehörigen Schlüssel umfasst. Ein effektives Zertifikate-LifeCycle-Management zeichnet die sichere Speicherung der kryptografischen Keys aus, um eine Kompromittierung zu vermeiden.

Um diese sicher zu schützen, empfiehlt die NSA dringend den Einsatz eines FIPS-validierten Hardware-Sicherheitsmoduls (HSM) zur Speicherung der privaten Schlüssel von Token-Signatur-Zertifikaten vor Ort. Die Verwendung von HSMs, die nach FIPS-140 Level 2 oder höher zertifiziert sind, gewährleistet den Schutz von Code Signing Keys. IoT-Hersteller können entweder ein HSM vor Ort verwenden oder (noch besser) einen verwalteten, On-Demand-Cloud-basierten HSM-Dienst nutzen.

Es gibt drei wesentliche Faktoren, die bei der Investition in verbesserte IoT-Sicherheit zu berücksichtigen sind:

  • Es wird durchgesetzt, dass nur autorisierte und validierte IoT-Hardware und -Software eingesetzt werden kann und die von den IoT-Geräten gesammelten und verarbeiteten Daten sicher bleiben. Dadurch werden die Risiken von Produktfälschungen, das Eindringen von Malware in das System oder Datenschutzvorfällen stark reduziert. Dies schirmt das System vor Angriffen durch Schadsoftware ab, schützt Systeme vor Sicherheits- und Datenschutzverletzungen und sichert so das Vertrauen und die Investitionen von Herstellern und Anwendern.
  • IoT-Komponenten und -Systeme, die den Regularien entsprechen, verdienen sich ihr Ticket zum Markteintritt. Dies zeigt auch die Sorgfalt von Herstellern und Dienstleistern und wird das Vertrauen der Verbraucher und den Unternehmenswert steigern.
  • Ein nachhaltiger Betrieb ist durch kontinuierlichen, validierten Support und Upgrades möglich. Die Kunden profitieren von den ständigen Produkt- und Serviceverbesserungen, während die Hersteller und Serviceanbieter diese Wartung anbieten können und im Gegenzug wiederkehrende Einnahmen erhalten.

Anbieter wie Thales haben IoT-Lösungen entwickelt, die Datenverschlüsselung für IoT-Daten und die Verwaltung von Verschlüsselungsschlüsseln für IoT-Geräte bieten. Die IoT-Sicherheitslösungen helfen dabei, Angriffe und Datenverluste abzuwehren, Betriebskosten zu senken sowie Umsatz und Reputation zu schützen. Die HSMs und die CipherTrust Data Security Platform von Thales bieten außerdem eine Vertrauensbasis für verbundene Geräte und den Schutz von Edge-to-Cloud-Daten.

Armin Simon ist Regional Director for Encryption Solutions Deutschland bei Thales.

Thales

 

Lesen Sie auch