IoT-Sicherheit – wer ist dafür verantwortlich?

Menschen werden oft als das schwächste Glied in einer Sicherheitskette angesehen, da sie dazu verleitet werden, Passwörter preiszugeben oder Passwörter zu wählen, die leicht zu entziffern sind. Dies ist ein Irrglaube, der einige Geschäftsinhaber oder IT-Experten dazu bringen kann, zu glauben, dass das IoT angesichts seines nahezu vollständigen Automatisierungsgrads von Natur aus sicher ist. Nichts könnte weiter von der Wahrheit entfernt sein, denn nichts ist von Natur aus sicher.

IoT-Umgebungen sind ein Labyrinth von Möglichkeiten für Cyberkriminelle. Laut IHS Markit wird dieses Labyrinth in diesem Jahr voraussichtlich um 15 % (im Jahresvergleich) auf 20 Milliarden Geräte anwachsen . Um dies in einen Kontext zu setzen, beträgt die Gesamtzahl einzigartiger Mobilfunkabonnements weltweit 4,9 Milliarden (laut GSMA .). ). IoT stellt die mobile P2P-Nutzung in Bezug auf die Verbindungen und folglich auch in Bezug auf das Potenzial für Sicherheitsverletzungen in den Schatten, sagt Sanjay Khatri, Global Director of Product Marketing, Cisco IoT.

Die IoT-Wertschöpfungskette ist lang und komplex, wobei jedes Element sowohl essentiell als auch voneinander abhängig ist. Jedes Glied in der Kette stellt eine potenzielle Schwachstelle dar und wie in jeder anderen Branche kann kein Anbieter alle IoT-Sicherheitsschwachstellen abdecken.

Diese fragmentierte Landschaft bedeutet, dass die IoT-Sicherheit ein ganzes Dorf einnimmt.

Aufbau des IoT-Sicherheitsdorfs

Der Gerätehersteller ist wohl die offensichtlichste Kette zum IoT-Link. Diese Firmen sind nicht unbedingt Hersteller der zu verbindenden „Dinge“, sondern spezialisierte Hersteller von Elementen wie Kommunikationsmodulen und Sensoren, die die Verbindung der Dinge ermöglichen.

Die Festlegung der Verantwortung für die Sicherung der Dinge ist entscheidend. Die technisch verantwortliche Partei kann sich von der Partei unterscheiden, die die Endnutzer für verantwortlich halten. Letztendlich trägt jedoch das Unternehmen mit Blick auf den Endbenutzer die Verantwortung, da es in der Schusslinie steht, wenn etwas schief geht.

Endbenutzer sehen wahrscheinlich den Hardwareanbieter als verantwortliche Partei an, aber Probleme sind eher in der Software vorhanden. Entwickler müssen strenge Kontrollen für die Authentifizierung des Benutzerzugriffs einführen und IoT-Software muss über robuste Mechanismen zur Betrugserkennung und -prävention verfügen, um sowohl das Gerät als auch die Daten zu schützen.

Schwachstellen gibt es auch auf Netzwerkebene, da Geräte über Mobilfunk, Wi-Fi, Bluetooth, LPWAN oder sogar Satellit mit dem Internet verbunden sind. Bei Mobilfunk ist ein gewisses Maß an Sicherheit bereits integriert. Die Mobilfunkkonnektivität verwendet globale Standards wie Chiffrierschlüssel und Verschlüsselungsalgorithmen auf der SIM-Karte selbst, um Daten sicher zu übertragen und zu empfangen. Cellular IoT ermöglicht auch das Parsen von Gerätedaten in private Netzwerke, um sie von anderem Netzwerkverkehr zu isolieren.

Cloud-Plattformanbieter werden auch eine zentrale Rolle bei der Entwicklung einer voll funktionsfähigen IoT-Sicherheitslandschaft spielen. Einige, wie IBM, Microsoft und Salesforce , wird sich auf die Sicherung der Daten konzentrieren, die von verbundenen Geräten in der Cloud generiert werden. Während IoT-Plattformen die Konnektivität der bereitgestellten Geräte verwalten, überwachen und sichern.

Gerät sichern

Das mit einem Gerät verbundene Risikoniveau hängt vom Kontext der Verwendung des Geräts ab. Sicherheitsebenen wie Authentifizierung, Benutzerzugriff, Anwendungszugriff, Gerätelebenszyklusverwaltung und Datenverschlüsselung sollten alle berücksichtigt werden, um verbundene Geräte zu schützen.

Es gibt oft einen Kosten-Nutzen-Kompromiss zwischen dem Schutz von allem und dem Bezahlen für alles, und dies kann bei Geräten, bei denen eine große Anzahl verwendet wird, ziemlich ausgeprägt sein. Darüber hinaus haben Gerätedaten unterschiedliche Sensibilitätsstufen. Zu verstehen, welche und wie viele Geräte verwendet werden und welche Art von Daten gesammelt werden, sind wichtige erste Schritte beim Aufbau einer geeigneten Gerätesicherheitsstrategie.

Netzwerk- und Datenschutz

Wenn Geräte Gateways sind, stellen Netzwerke die Konnektivitätsautobahnen dar, über die Daten zu Cloud-Anwendungen transportiert werden, die IoT-Dienste bereitstellen. Der Schutz dieser Autobahn ist genauso wichtig wie die Sicherheit der Geräte – denn obwohl die Geräte sicher sind, gibt es unzählige Zugangspunkte in jedem Netzwerk. Es gibt zahlreiche Optionen zum Sichern eines Netzwerks und die verwendete Strategie hängt von der Art der Konnektivität, den Netzwerken und der Gerätenutzung ab.

Drahtlose Konnektivität wie Wi-Fi oder Mobilfunk und Festnetzverbindungen haben jeweils ihre eigenen Sicherheitsprotokolle. Gerätedaten sollten immer verschlüsselt und in sicheren privaten Netzwerken geparst werden, anstatt offen über das Internet gesendet zu werden. Darüber hinaus ermöglicht die Netzwerkauthentifizierung Benutzern, Geräte im Netzwerk und Anwendungen im Netzwerk zu überprüfen und zu autorisieren.

Cloud-Abdeckung

IoT entsteht durch die Verbindung von Geräten über sichere Netzwerke mit der Cloud, daher kann die Bedeutung einer robusten Cloud-Sicherheit nicht genug betont werden. Beim Schutz der Cloud-Infrastruktur sollten Unternehmen sowohl digitale als auch nicht-digitale Sicherheitspraktiken berücksichtigen. Die Einhaltung von Standards wie ISO/IEC 27001 kann ein wichtiger Bestandteil einer Gesamtstrategie zur Gewährleistung der Informationssicherheit sein.

Neben der Absicherung der Gesamtumgebung müssen Unternehmen die Kontrollen für die IoT-Anwendungen selbst detaillierter gestalten, insbesondere mit rollenbasiertem Zugriff und Anomalieerkennung. Mit rollenbasiertem Zugriff sollten Organisationen Identitätsmanagement und Zugriffskontrolllisten implementieren, um sicherzustellen, dass Anwendungen in der Cloud den richtigen Personen den richtigen Zugriff gewähren. Die Anomalieerkennung stellt sicher, dass die IoT-Plattform nicht nur anormales oder verdächtiges Verhalten erkennen, sondern auch die Behebung von Anomalien automatisieren kann.

Die IoT-Sicherheitscheckliste

Die Prognosen für das IoT-Wachstum sind riesig, aber mit massiven Belohnungen geht ein massives Risiko einher. Unternehmen entlang der gesamten Wertschöpfungskette müssen das Sicherheitsdorf ganzheitlich betrachten, was natürlich leichter gesagt als getan ist.

Um Ihre IoT-Sicherheitsstrategie zu fokussieren, beachten Sie Folgendes:

• Evaluieren Sie die End-to-End-Identifikation und -Authentifizierung aller am IoT-Dienst beteiligten Einheiten (d. h. Gateways, Endgeräte, Heimnetzwerk, Roaming-Netzwerke, Dienstplattformen)
• Stellen Sie sicher, dass alle Benutzerdaten, die zwischen dem Endpunktgerät und den Back-End-Servern ausgetauscht werden, verschlüsselt sind
• Speichern und verwenden Sie „personenbezogene“ und regulierte Daten gemäß den lokalen Datenschutz- und Datenschutzgesetzen
• Nutzen Sie eine IoT-Konnektivitätsverwaltungsplattform und erstellen Sie regelbasierte Sicherheitsrichtlinien für sofortige Maßnahmen bei anomalem Verhalten
• Verfolgen Sie einen ganzheitlichen Sicherheitsansatz auf Netzwerkebene

Der Autor dieses Blogs ist Sanjay Khatri, Global Director of Product Marketing, Cisco IoT