Wahrscheinlich wird niemand das Risiko eingehen, Informationen über den Kilometerstand des Nachbarautos oder über eine Reihe von Bauteilen zu stehlen, die in der Fabrik eines Konkurrenten gefertigt werden. Das Ziel des Angriffs ist jedoch nicht zwangsläufig der Benutzer des Geräts, sondern das Unternehmen, dessen Daten unbeabsichtigt offengelegt (geleakt) werden.
Connected Devices im Internet der Dinge (IoT) gehen mit Einschränkungen und Sicherheitsherausforderungen, aber auch mit anderen Lösungsansätzen einher. Die Entwicklung neuer Technologien bringt neue Risiken und Anforderungen für die Sicherheit und den Schutz personenbezogener Daten mit sich. Erstausrüster (hier nachfolgend als OEMs, Original Equipment Manufacturers bezeichnet) erweitern bestehende Systeme durch innovative Technologien. Dies geschieht vor allem durch bspw. Sensoren, durch Rechen- und Speichergeräte für große Datenanwendungen und durch Streaming Edge Analytics für die Cloud.
Geschäftsleute verlassen sich in allen Aspekten ihrer Geschäftstätigkeiten immer mehr auf intelligente Connected Devices. Der Umstieg von privaten Netzwerken auf unternehmensweite Netzwerke, die über das öffentliche Internet betrieben werden, offenbart Sicherheitsrisiken, die bislang nicht beachtet worden sind.
Es wird damit gerechnet, dass die weltweite Implementierung von IoT- und Cloud-Technologien bis 2020 mehr als 20 Milliarden Geräte betreffen wird. Mehr Online-Geräte bedeuten mehr Geräte, die geschützt werden müssen.
Veraltete industrielle Geräte und Brownfield-basierte Geräte sind für die landesweite Infrastruktur von kritischer Bedeutung, sie werden jedoch zu einem leichten Angriffsziel. Die Rede ist von Stromnetzen, der Kommunikationsinfrastruktur usw. Die Anzahl, die Verschiedenheit und das Alter dieser Geräte wird die Möglichkeiten für potenzielle Angriffe erheblich vereinfachen.
Wie ist es dann möglich, in dem komplexen IoT-Ökosystem die Sicherheit von Connected Devices zu gewährleisten?
OEMs, Lösungsanbieter, Systemintegratoren und Endbenutzer müssen eine umfassende Multi-Layer-Strategie entwickeln, die Schutz für ihre End-to-End-gesicherten IoT-Geräte bietet. Traditionelle Lösungen, die ausschließlich auf Netzwerk-Firewalls und Protokolle zurückgreifen, bieten Schutz in Bezug auf den hohen Internetverkehr.
Die erste Schicht der IoT-Sicherheitsstrategie beginnt beim Schutz der Hardware und Software des Connected Devices selbst.
Eine IoT-Schicht, die im Hinblick auf die Gerätesicherheit mit am häufigsten unbeachtet bleibt, ist der LEBENSZYKLUS. Die Sicherheit muss auf folgende Aspekte fokussiert sein:
- Das Ausgangsdesign des Geräteherstellers
- Die Betriebsumgebung, in der ein Endbenutzer oder Systemintegrator agiert
- Die abschließende Außerbetriebnahme
Es sind Hardware-basierte Anti-Malware-Technologien entstanden, um Sicherheitsprobleme zu adressieren, denen zahlreiche Parteien gegenüberstehen. Das VERTRAUENSWÜRDIGE (TRUSTED) oder SICHERE (SECURE) BOOTEN macht es erforderlich, dass Geräte mithilfe von Verschlüsselung während des Boot-Vorgangs Firmware- und Software-Pakete verifizieren. Wenn ein Connected Device eingeschaltet wird, wird die Authentizität und Integrität der Geräte-Software unter Verwendung verschlüsselter digitaler Signaturen verifiziert.
Diese digitalen Signaturen sind an das Software-Image gebunden und werden über das Gerät bestätigt, um sicherzustellen, dass ausschließlich zulässige Software, die durch ausgewiesene Geräteinstanzen signiert worden ist, zum Ausführen des Geräts geladen wird. Embedded Devices sollten einen sicheren Zertifikatsspeicher haben, der im Rahmen der Herstellung programmiert wurde, um die „Root of Trust“-Funktion einzurichten.
Wenn eine vertrauenswürdige Grundlage hergestellt worden ist, braucht das Connected Device noch Schutz vor verschiedenen Bedrohungen aufgrund der Laufzeit und bösartiger Parteien. Viele Hersteller von IoT-Geräten haben auf ihren neuen Connected-Produkten mit der dem WHITELISTING WHITELISTING von ANWENDUNGEN begonnen, um sicherzustellen, dass Maschinen nicht auf der Anwendungsebene kompromittiert werden. Gerätehersteller haben Whitelisting-Verfahren anstelle von Blacklisting-Verfahren angewandt, um den weiteren Echtzeit-Betrieb von veralteten Geräten zu ermöglichen, die mit traditionellen Antivirus-Anwendungen nicht ausgeführt werden können. Im Hinblick auf zentral verwaltete Umgebungen unterbindet das Whitelisting von Anwendungen, dass Malware und andere unzulässige Software ausgeführt wird, da nur indizierten Anwendungen die Möglichkeit zur Ausführung auf dem Gerät gegeben wird.
Konventionelle Antivirus-Software und sonstige PC-Sicherheitstechnologien sperren bekannte bösartige Aktivitäten, während alle anderen Aktivitäten zulässig sind.
Beim Whitelisting von Anwendungen werden hingegen alle Daten als inkorrekt erachtet, bis diese in einem Datenkontrollprozess verifiziert worden sind und dementsprechend gesperrt.
Eine angemessene ZUGRIFFSKONTROLLE basiert auf dem Prinzip der geringsten Rechte, das besagt, dass ausschließlich ein Mindestmaß an Zugriffsmöglichkeiten gewährt wird, das zum Ausführen einer Funktion notwendig ist, damit die Auswirkungen etwaiger Sicherheitsverletzungen begrenzt werden können. Gerätebasierte Zugriffskontrollmechanismen verhalten sich analog zu netzwerkbasierten Zugriffskontrollsystemen. Falls irgendeine Komponente kompromittiert wurde, stellt die Zugriffskontrolle sicher, dass der Eindringling so wenig wie möglich auf andere Teile des Systems zugreifen kann.
OEMs sollten Geräte auswählen, die ihnen die Konfiguration mehrerer Benutzer und die Zuweisung granulärer Berechtigungen für den Zugriff auf verschiedene Gerätefunktionen ermöglichen.
Die NETZWERKSICHERHEIT sollte so eingerichtet sein, dass sich das Gerät vor dem Empfangen oder Übertragen von Daten selbst authentifiziert. Embedded Devices müssen oftmals mehrere Methoden zur Speicherung der Netzwerk-Zugangsdaten in ihrem sicheren Speicher unterstützen. Der Netzwerk-Administrator sollte diese vor dem Deployment an einem zentralen Standort bereitstellen.
Embedded- und industrielle IoT-Geräte haben einzigartige Protokolle, die sich von traditionellen IT-Protokollen unterscheiden. Firewalls oder „Deep Packet Inspection“-Funktionen sind erforderlich, um Verkehr zu kontrollieren, der dem Gerät schaden soll. Industrielle Geräte, die bspw. in der Fertigung verwendet werden, haben eigene Protokollsätze, die festlegen, wie Geräte miteinander und mit den verschiedenen Kontrollsystemen kommunizieren. Falls Malware eine Firewall überwinden konnte, wird das Problem durch Antivirus-Techniken erkannt und behoben, die auf Signaturabgleichen und Blacklisting basieren.
DATENSCHUTZ und Vertraulichkeit sind nach wie vor von größter Bedeutung. Sicherheitsmaßnahmen wie virtuelle private Netze (VPN) oder verschlüsselte physische Medien, z. B. 802.11i (WPA2) oder 802.1AE (MACsec), wurden entwickelt, um die Sicherheit von Data in Motion zu gewährleisten.
Nach dem Deployment des Geräts vor Ort und der sicheren Bereitstellung im Netzwerk, müssen kontinuierlich Firmware-Patches und Software-Updates auf das Gerät hochgeladen werden.
Ein komplexer Framework für die Gerätesicherheit sollte Folgendes beinhalten:
VERSCHLÜSSELUNG – es ist wichtig, dass die Daten sowohl stationär als auch mobil, während diese an Geräte übermittelt und von Geräten empfangen werden (Data in Motion), verschlüsselt sind. Datenverschlüsselungstechnologien wie z. B. Secure Socket Layer (SSL) und Transport Layer Security (TLS) sowie X.509 PKI für die Datenverschlüsselung im gesamten Netzwerk. PKIs sind Zertifikate mit Geräteauthentifizierung und gleichzeitigem Integritätsschutz.
AUTHENTIFIZIERUNG – die Authentifizierung funktioniert per Passwort, Zwei-Faktor-Authentifizierung oder biometrischer Daten. Zur Sicherung von Standard- und Enterprise-WiFis kann dies zum Beispiel ein PSK, Wi-Fi Protected Access 2 (WPA2)-Enterprise und Extensible Authentication Protocol (EAP) sein.
VERIFIZIERUNG - Secure Boot (verschlüsselte Verifizierung von Firmware- und Software-Paketen während des Boot-Vorgangs) und Secure-Firmware-Over-The-Air (FOTA)-Updates stellen sicher, dass ausschließlich zulässige Firmware für den sicheren Zugangsdatenspeicher programmiert wird, der wichtige Informationen und Passwortinformationen auf dem Gerät schützt.
OEMs, die eng mit ihren Lieferanten zusammenarbeiten, können neue Erkenntnisse zu Anforderungen und Lösungen in Problembereichen beisteuern. Hierzu zählt auch unser Lieferant Lantronix. Bausteine, Module, Gateways und IT-Netzwerkanwendungen ermöglichen zahlreiche integrierte Technologien, die OEMs bei der Herstellung sicherer Connected Devices und bei der Entwicklung von Lösungen für Lösungsanbieter, Systemintegratoren und Endbenutzer unterstützen, um ihre Anwendungen mit End-to-End-IoT-Sicherheit einschließlich umfassender Sicherheit über den gesamten Gerätelebenszyklus zu implementieren.
QUELLENANGABEN:
Gartner, Securing the Internet of Things ,
Forbes, Transforming Economic Growth with The Industrial Internet of Things
Wikipedia, Industrie 4.0
Source: Lantronix.com
Gefallen Ihnen unsere Artikel? Verpassen Sie jetzt keine mehr! Sie müssen sich um nichts kümmern, wir arrangieren die Lieferung an Sie.