Cybersicherheit und das Internet der Dinge:Zukunftssichere IoT-Sicherheit

Das Internet der Dinge verändert die Art und Weise, wie wir leben und arbeiten. Nicht nur die Industrie wird davon profitieren:Das IoT verändert bereits heute die Art und Weise, wie wir alle mit Objekten in unserem täglichen Leben interagieren. Der Ansatz zur IoT-Sicherheit ist jedoch derzeit stark fragmentiert und in bestimmten Fällen nicht vorhanden.

Es sind gemeinsame Standards erforderlich, um eine grundlegende Sicherheit des IoT zu gewährleisten. Zu berücksichtigen ist die identitätsbasierte Kryptografie mit öffentlichen Schlüsseln, die aufgrund ihrer Eigenschaften eine branchenunabhängige Grundsicherheit bieten kann, von Smart Homes bis hin zu Industrial IoT, sagt Roderick Hodgson, Direktor, Secure Chorus .

Dies war das Thema eines kürzlich von mir gehaltenen Vortrags vor dem European Telecommunications Standards Institute (ETSI) Security Week am Hauptsitz von ETSI in Sofia Antipolis, Frankreich. Ich sprach als Direktor mit besonderer Verantwortung für die technische Aufsicht von Secure Chorus, einer gemeinnützigen Organisation, die Vordenkerrolle, gemeinsame Standards und konkrete Fähigkeiten für die Cybersicherheitsbranche bietet.

Ich habe auch berichtet, dass die Industrie insgesamt derzeit einen jährlichen Anstieg von 600 % bei IoT-Cyberangriffen verzeichnet, wobei kommerzielle und industrielle Elektronik, Versorgungsunternehmen, Medizin, Automobil und Transport am stärksten gefährdet sind, da sie an der Spitze der IoT-Einführung stehen .

Das IoT ist kein Gerät oder eine Technologie, sondern ein Framework zur Einbettung von Konnektivität und Intelligenz in eine Reihe von Geräten. Das Sammeln und Reagieren auf Daten in Echtzeit ist die Schlüsselfunktion, die durch das IoT zum Leben erweckt wird. Daten können auf einer Reihe von Geräten gesammelt und durch neue Computertechnologien abgerufen und interpretiert werden.

Cloud-Computing, Analyse-Engines und Big-Data-Lösungen führen in Kombination mit dem IoT zu enormen Innovationen. Staatlich gesponserte Angriffe, massive wirtschaftliche Abschaltungen und Versuche, ein weit verbreitetes Chaos zu verursachen, sind alle plausible Risiken in einer Welt, in der IoT-Systeme größer sind als die Summe ihrer Teile.

Obwohl das IoT kein neues Phänomen ist, werden immer mehr Geräte vernetzt und intelligenter. Dieser Trend tritt in allen Sektoren auf, darunter einige, die als kritische nationale Infrastrukturen (CNI) gelten, was die Cybersicherheit zu einem führenden Anliegen macht. Katastrophale Ausfälle in Nuklear-, Luftfahrt- und wesentlichen Diensten müssen von Herstellern, Anwendern von industriellem IoT, Nationalstaaten und Aufsichtsbehörden berücksichtigt werden.

Die IoT-Implementierungen sind mit kritischen Cybersicherheitsrisiken konfrontiert:

1. Die Anzahl der zu sichernden Geräte ist weitaus größer als in den traditionellen IT-Umgebungen von Unternehmen und Industrie;
2. Geräte und Systeme im IoT sind sehr unterschiedlich. Während einige Lösungen auf niedrigem Stromverbrauch und geringer Datenbandbreite beruhen, sind andere darauf ausgerichtet, weit mehr Rechenleistung über Hochgeschwindigkeitsnetzwerke durchzuführen;
3. IoT-Geräte werden in einer Vielzahl von Umgebungen verwendet, wobei jede Herausforderung durch Unterschiede in den Verarbeitungskapazitäten, Anwendungsfällen, Netzwerkfähigkeiten und physischen Standorten verursacht wird. und
4. IoT-Geräte werden zu Bestandteilen von Systemen, die sich direkt auf Gesundheit und Sicherheit auswirken.

Das Problem der gleichzeitigen Bewältigung von Authentifizierungs- und Sicherheitsherausforderungen in IoT-Systemen kann durch den Einsatz von "identitätsbasierter Public-Key-Kryptografie" gelöst werden, bei der die kryptografischen Schlüssel direkt mit der Identität eines IoT-Geräts oder -Sensors verbunden sind.

Die zusätzliche Verwendung von Schlüsselverwaltungsservern (KMS) vereinfacht die Schlüsselverwaltung, bietet eine Skalierung nach Anzahl und Kompatibilität mit einer Vielzahl von Geräten und Sensoren und stellt gleichzeitig sicher, dass zwischen den Parteien Vertrauen zwischen den von ihnen kontrollierten Geräten hergestellt werden kann, über die Umfang eines einzelnen Systems oder einer Organisation.

Secure Chorus hat die Entwicklung eines Ökosystems von Secure Chorus-konformen Produkten (SCCP) ermöglicht, das Folgendes gewährleistet:

• Datensicherheit – Dies wird durch eine Ende-zu-Ende-Verschlüsselung erreicht, um sicherzustellen, dass alle Datenverarbeitungsaktivitäten durchgeführt werden können, ohne die Datensicherheit zu beeinträchtigen.
• Dateneigentum – Diese Art von Kryptographie umfasst einen Key Management Server (KMS), der dem Systembesitzer die volle Kontrolle über die Systemsicherheit gibt.
• Identitätsbasierte Kryptografie mit öffentlichem Schlüssel erfordert keine teure und komplexe unterstützende Infrastruktur zum Verteilen von Anmeldeinformationen, was eine Implementierung im großen Maßstab ermöglicht. Dies stellt eine wesentliche Innovation im Bereich der Kryptographie dar.

Eine der größten Herausforderungen bei der Sicherung des IoT besteht darin, eine Lösung zu finden, die für Geräte mit geringem Stromverbrauch funktioniert und gleichzeitig für kritische Infrastruktursysteme sicher genug ist. Datensicherheit, Authentifizierung und Vertrauen werden in einer IoT-Umgebung am besten durch die Verwendung des identitätsbasierten Public-Key-Kryptografieprotokolls erreicht.

MIKEY-SAKKE ist ein solches identitätsbasiertes Public-Key-Kryptografieprotokoll, das eine effektive Authentifizierung, Schlüsselverteilung und -sperrung in einer Vielzahl von Bereitstellungsszenarien bietet. Secure Chorus und seine Mitglieder haben MIKEY-SAKKE als unseren offenen Kryptographiestandard gewählt, der es uns ermöglicht, Interoperabilitätsstandards für MIKEY-SAKKE-basierte Multimedia-Kommunikationslösungen zu entwickeln.

Der Autor dieses Blogs ist Roderick Hodgson, Direktor von Secure Chorus

Über den Autor

Roderick Hodgson ist Technologe und Innovationsstratege mit der Aufsicht über alle Technologieaspekte von Secure Chorus, einschließlich des technischen Managements, der Festlegung der technischen Strategie und der Vertretung der Technologie nach außen.