Unzureichende IoT-Sicherheit (Internet of Things) hat in letzter Zeit viel Aufmerksamkeit erregt. Nach Meinung der meisten Experten ist die beste Lösung, alle Objekte mit PKI-basierten Zertifikaten auszustatten. „Sie haben recht. Aber viel zu oft wird vergessen, dass auch die menschliche Komponente des IoT geschützt werden muss“, kommentiert Daniel Hjort, Director for Smart ID Management beim Identity- und Security-Spezialisten Nexus Group.
Das neue Certificate-Enrolment-Protokoll ermöglicht jetzt die Verwendung der PKI-Sicherheitsmethode (Public Key Infrastructure) zur Ausstattung sämtlicher Objekte in einem IoT-System mit vertrauenswürdigen Identitäten, indem sie Zertifikate erhalten.
Die vergessene Komponente des IoT: der Mensch
„Hijacking und Abhören lässt sich so durch Sicherung der Kommunikation zwischen den Geräten und dem Zentralsystem verhindern. Diese Erkenntnis hat sich bei vielen IoT-Anbietern durchgesetzt, von denen immer mehr PKI-Technologie einführen. Das ist ein sehr guter Ansatz – reicht aber nicht aus“, urteilt Hjort.
„Es sind nämlich immer auch Menschen beteiligt, die die IoT-Systeme administrieren und/oder nutzen. Ihre Kommunikation mit dem Zentralsystem muss ebenfalls geschützt werden.“
Passwörter sind nicht sicher
„Leider erlauben die meisten IoT-Systeme den Nutzern und Administratoren, sich mit nur einem Nutzernamen und einem statischen Passwort anzumelden – obwohl allgemein bekannt ist, dass Passwörter nicht sicher sind. Die einzig vernünftige Option ist irgendeine Form der Zwei-Faktor-Authentifizierung (2FA) – aber diese Methode wird erschreckend vernachlässigt“, berichtet Hjort.
Es war zwar bis vor kurzem nicht möglich, Geräte mit begrenzten Ressourcen durch PKI zu sichern, aber 2FA für Menschen gibt es bereits seit vielen Jahren.
Nutzerfreundliche 2FA-Methoden sind jetzt verfügbar
„Auch in diesem Bereich ist die Entwicklung sehr schnell vorangeschritten. Die Implementierung und Pflege von 2FA-Systemen war bislang sehr komplex, und auch ihre Nutzerfreundlichkeit ließ zu wünschen übrig. Aber das hat sich geändert“, so Hjort.
Ein Beispiel für eine komfortable Lösung ist Nexus Smart ID, die dem Nutzer erlaubt, sich beispielsweise mit einer Smartphone-App per Gesichtserkennung oder mit einer PKI-Karte und einer PIN anzumelden.
„Angesichts der heute verfügbaren Technologien gibt es keine Ausreden mehr für die Gefährdung von IoT-Nutzern – oder der Öffentlichkeit“, kommentiert Hjort.
IoT-Gefahren sind sehr real
Die Bedrohungen sind vielfältig: Diebstahl Ihrer sensiblen Informationen, die Anfertigung von Nacktaufnahmen mit der Videokamera Ihres Einbruchalarm-Systems oder auch die fremde Übernahme Ihres vernetzten Autos und Verursachung eines Unfalls. Auch im Betrieb können durch solche „menschlichen Sicherheitsschwachstellen“ schwere Schäden entstehen.
„Das IoT ist eine großartige Sache und verbessert die Lebensqualität von uns allen – vorausgesetzt, es wird entsprechend gesichert. Die Gefahren durch mangelhafte Sicherung von IoT-Systemen sind sehr real. Ich hoffe sehr, dass die IoT-Anbieter ihrer Verantwortung in Zukunft voll und ganz gerecht werden“, mahnt Daniel Hjort.