Der IoT-Sektor sollte sich um globale PKI-Trends sorgen, sagt Thales

Bildnachweis:TigerAspect

Die IoT-Branche hat ein Visionsproblem. Die Öffentlichkeit kann die Vorteile nicht so leicht erkennen, wie sie sich die Nachteile vorstellen kann.

Sicherlich sollten wir dieses Problem angehen, sagt der freiberufliche Technologieautor Nick Booth. Dafür gibt es einen historischen Präzedenzfall. Antike Astronomen überwanden einen viel größeren "Glaubenssprung", indem sie Bilder verwendeten, um die Konstellationen zu erklären. Der Große Bär, Orion und Der Pflug sind keine besonders wissenschaftlichen Namen, aber sie halfen den Massen, die Planeten zu verstehen.

Würden ähnliche Taktiken helfen, das Internet der Dinge (IoT) zu erklären? Sie können nicht schlimmer sein als die schrecklichen Akronymsalate, die wir den Leuten aufzwingen müssen.

Peaky Scheuklappen

Die Geschichte der Public-Key-Infrastruktur (PKI) ist schwer zu verkaufen. Der nächste beliebte Satz, den ich aus dieser Buchstabenkonstellation machen könnte, wäre Peaky Blinders, eine berüchtigte kriminelle Bande aus dem Birmingham der 1890er Jahre, England. Auch sie versuchten, die Kontrolle über die unkontrollierbaren Teile ihrer Welt auszuüben.

Die Infrastruktur mit öffentlichem Schlüssel (Peaky Blinding) wird eine entscheidende Waffe sein, um das IoT zu sichern und Außenstehende daran zu hindern, einen Blick hineinzuwerfen.

Jeder, der das Ponemon's Institute gelesen hat 's Global PKI Trends Survey  könnte entsetzt sein über seine Auswirkungen. Das werden leider nicht viele Leute sein, denn sie haben all die guten Teile mit augenschmerzenden Grafiken verdeckt.

Bedeutsame Enthüllungen werden in Guff begraben. „In den letzten Jahren waren Cloud-Anwendungen und jetzt das IoT die neuesten Disruptoren für die zukünftige PKI-Planung“, heißt es in den Berichten. Was bedeutet das überhaupt?

„Disruptoren“ ist eines dieser Wörter, das alles bedeutet, was der Benutzer will. Und ohne ein gemeinsames Verständnis der Bedeutung des Begriffs ist er für den Hörer bedeutungslos. Man könnte meinen, die Kommunikationsindustrie würde Sprachprotokolle beachten, nicht wahr?

In der Zusammenfassung des Berichts heißt es weiter:„Organisationen müssen sich nicht nur um die digitalen Zertifikate von heute kümmern, sondern eine Zukunft mit noch nie dagewesener Vielfalt und Größe.“

Den Jargon entwirren

Glücklicherweise waren zwei befreundete Sicherheitsexperten so freundlich, dies in einen Kontext zu bringen. Ja, wir brauchen überall PKI, sagt John Grimm, Senior Director of Security Strategy für Thales e-security. Es gebe praktische Probleme für die IoT-Sicherheit und politische, sagt er.

Die politischen sind dieselben, mit denen die PKI in der Vergangenheit konfrontiert war. Es gibt seit langem Streit darüber, wessen Zuständigkeit es untersteht. Mehrere Abteilungen könnten die Verantwortung übernehmen, von der Sicherheit über die IT bis hin zur Compliance und dem Betrieb. Es hängt alles davon ab, wie repräsentativ die Installation sein könnte. Erfolgreiche Projekte haben viele Eltern, aber Misserfolge sind immer Waisen.

Die ideale PKI-Person wäre ein anerkannter IoT-Architekt, sagt Grimm. „Gartner sagt, dass es weltweit nur etwa 100 solcher Menschen gibt“, sagt Grimm. Inzwischen verbinden die Leute Geräte und Sensoren und „Dinge“, ohne jemals die IT-Abteilung zu konsultieren. Wir sind diesen Weg vor 20 Jahren gegangen, als lokale Netzwerke wie japanischer Staudenknöterich wuchsen, nur mit weniger Überschaubarkeit und noch schwerer auszusortieren und zu töten.

Dumme Geräte

Die praktische Herausforderung beim Einsatz von PKI zur Absicherung des IoT besteht darin, dass es viele Maschinen in der Industrie gibt, die nie für eine Vernetzung konzipiert wurden. PKI ist zu prozessorintensiv, um für einige der dümmeren Geräte praktisch zu sein.

Das speziell entwickelte IoT-Zeug ist nicht viel besser, da es von mehreren Quellen erstellt wird. In jeder Produktionsphase können Geräte von einem unehrlichen Original Equipment Manufacturer (OEM) kompromittiert werden. Beispielsweise könnte der Entwickler des Codes für den Mikrochip jedes Geräts eine betrügerische Software einbetten, die es einem Hacker ermöglicht, das Gerät zu kompromittieren.

„Wenn Sie ein IoT-Gerät in Ihrem Netzwerk installieren, das von Anfang an kompromittiert ist, ist Ihr Netzwerk von Anfang an zum Scheitern verurteilt“, sagt Clive Watts, Produktmanager für Secure Thingz . Watts hat einmal für einen Chiphersteller gearbeitet, also weiß er vermutlich, wie er dieses Risiko vermeiden kann.

In der Zwischenzeit wird die öffentliche Wahrnehmung des IoT von den Geschichten bestimmt, die wir verstehen können, sobald sie in der Mainstream-Presse erscheinen. Zum Beispiel die Geschichte über ein Casino in Las Vegas, das durch ein mit dem Internet verbundenes Thermometer in einem Aquarium in seiner Lobby gehackt wurde.

Das ist eine Vision, die die öffentliche Vorstellungskraft anregen und bei ihnen bleiben wird. Kein Peaky Blinding lässt die Leute das vergessen.

Der Autor dieses Blogs ist der freiberufliche Technologieautor Nick Booth.