home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Internet der Dinge-Technologie

Warum 98% des IoT-Datenverkehrs unverschlüsselt sind

98 % des IoT-Traffics sind unverschlüsselt. Als ich diese Statistik gelesen habe – veröffentlicht von Palo Alto Networks in ihrem Unit 42 2020 Threat Report – hätte ich schockiert sein sollen, sagt Mike Nelson, Vice President of IoT Security bei DigiCert .

Letztes Jahr ein Z-Skalierer Bericht sagte etwas Ähnliches:Dass 91 % des IoT-Verkehrs unverschlüsselt waren. Es ist möglich, dass diese Zahlen nicht wirklich repräsentativ für das eigentliche Problem sind, aber eines ist sicher – viel zu viel IoT-Datenverkehr ist unverschlüsselt, wenn es absolut alles sein sollte.

Unverschlüsselter IoT-Datenverkehr bedeutet ganz offensichtlich, dass Angreifer Man-in-The-Middle-Angriffe (MiTM) ausführen können. Durch das Anzapfen dieses unverschlüsselten Datenstroms können Angreifer zwischen Geräte – oder ein Gerät und das größere Netzwerk – gelangen und die Daten stehlen oder verändern.

Die Fehler der IoT-Sicherheit sind gut dokumentiert. Vernetzte Geräte werden oft von Herstellern schnell auf den Markt gebracht, die schmerzlich offensichtliche, aber meist leicht vermeidbare Sicherheitsfehler im Designprozess machen. Sie werden dann eifrig von Unternehmen aufgekauft, die diese Fehler oft nicht berücksichtigen, und in ansonsten sichere Netze eingesetzt. Von dort aus entdecken Angreifer sie über eine einfache Suche und finden eine einfache Angriffsstelle in ein Unternehmen.

Und doch wächst das IoT – unabhängig vom Stand seiner Sicherheit – unermüdlich. McKinsey schätzt, dass bis 2023 43 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Wenn sich die aktuellen Trends fortsetzen – und 98 Prozent des IoT-Verkehrs unverschlüsselt bleiben – wird dies für Cyberkriminelle eine neue Raserei sein.

Wenn Leute an einen IoT-Hack denken, denken sie oft an eine verwundbare Puppe oder Türklingel – Angriffe, die die Funktionalität eines Geräts ausnutzen – interessant, aber letztendlich trickreich. Die wirklichen Bedrohungen sind weit weniger bunt. IoT-Implementierungen in Unternehmen bestehen oft aus Hunderten, wenn nicht Tausenden von einzelnen Geräten. Wenn nur eines dieser Geräte offen bleibt, könnte dies eine einfache Angriffsstelle in ein ansonsten sicheres Netzwerk darstellen.

Ein solches Beispiel kann man in einem inzwischen berüchtigten IoT-Verstoß in Las Vegas sehen. Im Jahr 2017 benutzten Hacker ein Aquarium, um einen Casino-Überfall durchzuführen. Das betreffende Aquarium war über einen Sensor mit dem Internet verbunden, der es seinen Betreibern ermöglichte, das Aquarium aus der Ferne zu bedienen und zu steuern. Doch kurz nach der Installation bemerkten Sicherheitsmitarbeiter, dass das Aquarium Daten an einen Remote-Server in Finnland sendete. Weitere Untersuchungen ergaben einen massiven Verstoß – Hacker hatten dieses Aquarium verwendet, um 10 Gigabyte an Daten aus der High Roller-Datenbank des Casinos zu exfiltrieren.

Der Hack offenbarte drei dringende Punkte. Erstens, dass die gestohlenen Informationen im System des Casinos unverschlüsselt waren und Angreifern nur zum Abholen zur Verfügung standen. Zweitens verfügte das Casino über unzureichende Zugriffs- und Authentifizierungsprüfungen, um zu verhindern, dass Angreifer von diesem IoT-Gerät zu einigen der sensibelsten Informationen gelangen, die sie gespeichert haben. Schließlich wurde dieses Aquarium mit dem breiteren Netzwerk des Casinos verbunden – und durch Ausnutzung der Schwächen dieses Produkts konnten sie sich mit einer Horde sensibler Daten verbinden und diese stehlen.

Die Folgen solcher Angriffe können von einem Verlust von Finanz- oder Kundendaten bis hin zu Angriffen auf kritische Infrastrukturen reichen. Denken Sie an die Schäden durch groß angelegte Stromnetzausfälle, Internetausfälle, die Abschaltung der landesweiten Gesundheitssysteme und den Zugang zu Intensivpflege. Die Liste geht weiter.

Zu 100 % Verschlüsselung

IoT oder kein IoT – alle vertraulichen Daten müssen verschlüsselt werden. Alles – Alles über 0 % ist inakzeptabel. Hier und da können Sie vielleicht kleine Fehler machen – aber alle Daten, die nicht verschlüsselt sind, sind anfällig für Kompromisse.

Was nicht heißen soll, dass es keine eigenen Herausforderungen mit sich bringt. Die Natur moderner Daten ist, dass sie sich ständig bewegen – vom Hub zum Gateway, vom Gateway zur Cloud und weiter. Das macht die Sache komplizierter, da Daten sowohl im Ruhezustand als auch im Flug verschlüsselt werden müssen.

Dies gilt insbesondere für IoT-Unternehmensnetzwerke, die üblicherweise aus einer Reihe verschiedener Endpunkte, Sensoren und Geräte bestehen, die ständig Daten zwischen ihren verschiedenen Teilen hin- und herschicken. Ein Riss in diesem Netzwerk kann einen Angreifer eindringen lassen, was es nicht nur zu einem besonders sensiblen Bereich macht, sondern auch zu einem, der besonders kritisch zu beheben ist.

Public-Key-Infrastrukturen (PKI) mit digitalen Zertifikaten beginnen dieses Problem zu lösen. Da PKI eine gegenseitige Authentifizierung zwischen den verschiedenen Knoten großer Netzwerke bereitstellen und den Datenfluss überall verschlüsseln kann, in einem enormen Umfang, der für das IoT geeignet ist, beginnen Unternehmen, sie als Möglichkeit zu nutzen, ihre großen IoT-Bereitstellungen abzusichern.

Obwohl die Branche Fortschritte macht und führende Unternehmen, Praktiker und Aufsichtsbehörden Schritte unternehmen, um zusammenzuarbeiten und die Sicherheitslage dieser Geräte zu verbessern – wir haben noch einen langen Weg vor uns. Wir brauchen mehr Hersteller, die der Sicherheit Priorität einräumen und Best Practices implementieren – Verschlüsselung, Authentifizierung und Integrität, um nur einige zu nennen – und die Implementierung kann nicht inkrementell erfolgen. Das wird nicht gut genug sein.

Verschlüsselung in großem Maßstab ist das, was Unternehmen zur Sicherung des IoT-Datenverkehrs benötigen. Führende Hersteller nehmen das zur Kenntnis und implementieren PKI. Hoffen wir, dass der Rest aufholt. Und bald.

Der Autor ist Mike Nelson, VP of IoT Security bei DigiCert .

Über den Autor

Mike Nelson ist VP of IoT Security bei DigiCert, einem Anbieter für digitale Sicherheit. In dieser Funktion beaufsichtigt Mike die strategische Marktentwicklung des Unternehmens für die verschiedenen kritischen Infrastrukturbranchen, die hochsensible Netzwerke und Internet-of-Things-Geräte (IoT) sichern, einschließlich Gesundheitswesen, Transportwesen, Industriebetrieb sowie Smart Grid- und Smart City-Implementierungen.

Mike berät sich häufig mit Organisationen, trägt zu Medienberichten bei, nimmt an Industrienormungsgremien teil und spricht auf Branchenkonferenzen darüber, wie Technologie zur Verbesserung der Cybersicherheit für kritische Systeme und die darauf angewiesenen Personen eingesetzt werden kann.

Mike hat seine Karriere in der Gesundheits-IT verbracht, unter anderem beim US-Gesundheitsministerium, GE Healthcare , und Leavitt Partners – ein Boutique-Beratungsunternehmen für das Gesundheitswesen. Mikes Leidenschaft für die Branche beruht auf seiner persönlichen Erfahrung als Typ-1-Diabetiker und seinem Einsatz vernetzter Technologien bei seiner Behandlung.


Internet der Dinge-Technologie

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. Warum digital?
    2. Warum Edge Computing für das IoT?
    3. Datenkonform im IoT bleiben
    4. Smart Data:Die nächste Grenze im IoT
    5. Welche Branchen werden die Gewinner der IoT-Revolution sein und warum?
    6. Warum das Internet der Dinge künstliche Intelligenz braucht
    7. Demokratisierung des IoT
    8. Maximierung des Wertes von IoT-Daten
    9. Warum wir den Schutz des IoT in kritischen nationalen Infrastrukturen nicht aufschieben können
    10. Warum die Direktverbindung die nächste Phase des industriellen IoT ist