GUEST BLOGGER Jede Sekunde wächst das Internet of Things (IoT) um 129 neu verbundene Geräte an. Allein bis 2020 sollen 90 Prozent aller neu ausgelieferten Autos mit dem Internet verbunden sein. Ob smarte Medizingeräte, optimierte Produktionsmaschinen oder Automobile – jedes IoT-Gerät hat einen eigenen Internetzugang und kann sich dadurch mit anderen Teilnehmern vernetzen.
Maschinen lassen sich aufeinander abstimmen, arbeiten autonom zusammen und Prozessanalysen sind detail- und aufschlussreicher als zuvor. Der erreichte Automatisierungsgrad trägt zudem maßgeblich dazu bei, die Qualität und Quantität der Produkte weiter auszubauen. Aus der Vernetzung heraus können jedoch auch große Sicherheitsschwachstellen im Unternehmen entstehen. Wir erläutern welche Risiken auf Firmen zukommen, die IoT-Lösungen einsetzen, und geben Lösungsvorschläge. Schwerpunktmäßig betrachten wir die digitaler Signaturen.
Im Internet of Things kommunizieren mindestens zwei Geräte ohne menschliche Überwachung miteinander (Machine-to-Machine-Communication oder M2M) und erfüllen so den gewünschten Arbeitsauftrag. Die Verbindung zum Internet fordert dabei Sicherheitsmaßnahmen in mehreren Bereichen:
Zum einen sollte eine Absicherung des IoT-Netzwerks gegeben sein, welche durch eine sinnvolle Zonenarchitektur erreicht werden kann. Weiterhin sind hinreichende Maßnahmen der Endpoint Security sowie ein System zur Sicherheitsanalyse im Netzwerk notwendig, um Gefahren und Anomalien frühzeitig zu erkennen. Zum anderen müssen die Geräte im Netzwerk adäquate Identitäten und Zugangsberechtigungen erhalten, um sie zu verwalten und unnötige Handlungsspielräume einzudämmen.
Ebenso wichtig wie die Absicherung der Infrastruktur ist zudem eine sichere Kommunikation der Geräte untereinander. Dazu gehören bspw. die Verschlüsselung von Nachrichten und die sichere Authentifizierung des Senders (und Empfängers). Zu jedem Zeitpunkt des Informationsaustauschs sollte die Glaubwürdigkeit des Partners gegeben sein, denn nur so kann die Integrität und Echtheit der versendeten Informationen gewährleistet werden. Vertrauenswürdige Identitäten sind deshalb die Basis einer sicheren Kommunikation. Um zu überprüfen, ob ein Absender als vertrauenswürdig betrachtet werden kann, werden in der IT digitale Signaturen verwendet. Diesen kommt im elektronischen Bereich die gleiche Funktion zu wie eigenhändigen Unterschriften bei Papierdokumenten.
Zur Sicherung der Kommunikation tragen Public-Key-Infrastrukturen (PKI) bei. Sie basieren auf geprüften Identitäten einer Zertifizierungsstelle und verwenden ein asymmetrisches Schlüsselpaar zum Signieren und Verschlüsseln. Mithilfe einer PKI kann eine eindeutige Signatur aus der Identität des Senders und seiner Nachricht erstellt und später vom Empfänger überprüft werden. Im Rahmen eines PKI-Workshops diskutieren wir gern mit Ihnen, welche Architekturen sinnvoll sind und wie die jeweiligen Anforderungen mit verfügbaren Ressourcen abgebildet werden können. Darüber hinaus erläutern wir theoretische Grundlagen: Zertifikatslaufzeiten, Sperrlisten, Hardware-Security-Module, konkrete Prozesse und organisatorische Maßnahmen beim Einsatz einer PKI im Firmennetz. (Weitere Informationen zum PKI-Workshop.)
Signaturen im Bereich des IoT zu realisieren, stellt eine größere Herausforderung dar als in der Kommunikation in einer herkömmlichen IT-Infrastruktur. Die Geräte des IoT sind für vielfältige Situationen und Aufgaben ausgelegt. Sie haben meist keine grafische Benutzeroberfläche und nur geringe Hardwareressourcen zur Verfügung. Eine smarte Glühbirne kann beispielsweise mit einer externen App kommunizieren und von dieser gesteuert werden, für weiter aufwändige Funktionen reicht die Rechenleistung jedoch nicht aus. Die üblichen Protokollstandards zum Nachweis der Identität sind deshalb zu kompliziert für viele Kleingeräte.
Um diese Sicherheitslücke zu schließen, entwickelte Nexus zusammen mit dem schwedischen Forschungsinstitut SICS ein neues Protokoll zur Erleichterung des Zertifizierungsprozesses eines Geräts: Das Certificate Enrollment for Billions of Things (CEBOT). CEBOT unterstützt die Funktionen einer PKI auf Geräten mit geringen Ressourcen. Es verbindet sich automatisch mit der Certificate Authority und lässt ein vorinstalliertes Zertifikat nur noch bestätigen. Die manuelle Beantragung des Zertifikats ist somit nicht mehr notwendig. Dies automatisiert den Authentifizierungsprozess und realisiert den hohen Sicherheitsstandard einer PKI auch für die Geräte des IoT.
CEBOT befindet sich derzeitig noch im Entwicklungsprozess. Speziell für die Bedürfnisse des IoT etablierte Protokolle sind beispielsweise Enrollment over Secure Transport (EST), das Constrained Application Protocol (CoAP) und Datagram Transport Layer Security (DTLS).