IoT-Security

Bewährte Sicherheit für das Internet of Things

Public Key Infrastructures lösen das IoT-Sicherheitsproblem

Es gibt sie also doch da draußen: die verloren geglaubte Sicherheit für das Internet of Things (IoT). So mancher wähnte sich beim Thema IoT-Security auf der Suche nach dem Ungeheuer von Loch Ness. Jeder hatte davon gehört, aber keiner hatte sie jemals gesehen.

„Das Leben für vernetzte Geräte da draußen im IoT wird immer gefährlicher. Nicht auszudenken, wenn sämtliche Horrorszenarien Realität werden“, sagt Tejas Lagad, der die Landesgesellschaft von Nexus in Indien leitet.

Im Jahr 2015 erlebte Chrysler sein Armageddon, als der Autobauer rund 1,4 Millionen Fahrzeuge zurückrufen musste. Der Grund: Hacker hatten gezeigt, wie sie die digitalen Systeme der Fahrzeuge kapern und die Kontrolle darüber übernehmen konnten.

„Für die Besitzer der Fahrzeuge hätte die schwache Authentifizierung bei der Remote-Verbindung zwischen Fahrzeug und Backend-System dramatische Auswirkungen haben können“, erinnert sich Lagad.

Nur ein Jahr später musste der Medizintechnik-Hersteller Animas die Kunden seiner Insulinpumpen vor Hackerangriffen warnen. Betroffen waren über 110.000 Patienten.

Starke Authentifizierung ein absolutes Muss

Der Berichtsstrom über gekaperte IoT-Geräte nimmt nicht ab, im Gegenteil. „Dabei gibt es mit Public Key Infrastructures eine bewährte Technologie, mit der sich die Sicherheit im IoT verbessern ließe“, wundert sich Lagard.

Eine PKI ermöglicht zum Beispiel die zertifikatsbasierte Authentifizierung und damit die sichere Kommunikation zwischen vernetzten Geräten“, erklärt Tejas Lagad.

„Es wird höchste Zeit, dass auch im IoT mit PKI eine bewährte Technologie für mehr Sicherheit eingesetzt wird. Eine Technologie, die mit HTTPS ihren Teil zu einem sichereren Internet beigetragen hat“, fordert Lagad.

PKI wurde nie gehackt

„Es gibt die unterschiedlichesten Versuche, vernetzte Geräte zuverlässig zu schützen – aber warum das Rad neu erfinden? PKI wurde nie gehackt. Die Technologie war früher teuer und kompliziert, aber das ist sie heute nicht mehr“, sagt Lagad.

Hersteller von vernetzten Geräten legen besonders viel Wert auf Interoperabilität und Konnektivität, da sie wissen, dass diese Faktoren entscheidend für den Erfolg am Markt sind. Hier muss jedoch ein mentaler Wandel stattfinden: Sicherheit muss mindestens den gleichen Stellenwert haben, wie andere Faktoren.

IoT-Sicherheit by Design

„Hersteller müssen endlich beginnen, vernetzte Geräte „by Design“ zu schützen, das heißt bestimmte Sicherheitselemente standardmäßig direkt in die Hardware oder den Source
Code der Software einzubauen. Ein solches Sicherheitselement sind digitalen Zertifikate, die die Vertrauenswürdigkeit der digitalen Identitäten aller vernetzten Geräte in einer PKI sicherstellen“, sagt Lagad.

Noch vor gar nicht allzu langer Zeit war es kompliziert, digitale Zertifikate für „Dinge“ bereitzustellen, aber das hat sich geändert. Neue Zertifikatsregistrierungsprotokolle, vor allem die Registrierung über Secure Transport (EST), machen den Prozess viel effizienter.

„Und der neue Enrolment-Standard über das Constrained Application Protocol (CoAPS) wird den Bereitstellungsprozess noch weiter verbessern. Das bedeutet, dass es keine triftigen Gründe mehr gibt, Leben zu riskieren, indem man PKI nicht nutzt“, sagt Lagad.

Published 16/10 2017

News and Blog