Der IoT-Tag bietet international die Gelegenheit, einen Austausch über die Auswirkungen des Internets der Dinge im alltäglichen Leben anzuregen. Vor dem Hintergrund mehrerer aktueller Fälle von Sicherheitsverletzungen sowie einer neuen Gesetzgebung ist das Thema IoT-Sicherheit verstärkt in den Fokus gerückt. Zum aktuellen IoT-Tag geben wir einige Tipps zur IoT-Sicherheit aus unserem jahrzehntelangen Erfahrungsschatz mit der Branche.

IoT-Neuigkeiten

Erst vor Kurzem haben sich Hacker Zugriff auf 150.000 Live-Überwachungskameras bei Verkada Inc. verschafft. Berichten zufolge sind die Hacker über den Angriff auf Nutzerdaten in das Netzwerk gelangt und konnten so sogar die Zwei-Faktor-Authentifizierung von Verkada umgehen. Und es ist noch nicht lange her, dass es bei SolarWinds zu einem Angriff kam, den der Microsoft-Chef als „den größten und raffiniertesten Angriff, den die Welt je gesehen hat“ bezeichnete.

Diese Angriffe zeigen, dass die Zwei-Faktor-Authentifizierung eine Minimalvoraussetzung darstellt, die durch ein digitales Zertifikat ergänzt werden sollte. Zugleich sind Sicherheitskameras im IoT schon lange das Ziel von Angriffen; häufig weisen sie Schwachstellen aufgrund unzureichender Sicherheitsplanung beim Design und der Entwicklung auf. Die Hersteller müssen hier nachbessern, und Kunden müssen besser über Sicherheitsaspekte der von ihnen erworbenen Geräte aufgeklärt werden.

Deshalb hat die US-Regierung damit begonnen, die Anforderungen an Gerätehersteller zu verschärfen. Im Dezember 2020 wurde der Internet of Things (IoT) Cybersecurity Improvement Act (Gesetz zur Verbesserung der Cybersicherheit von IoT-Geräten) verabschiedet, um nationale Standards für private IoT-Gerätehersteller festzulegen. Mit diesem Gesetz verfolgte der Kongress das Ziel, IoT-Hersteller dazu zu bewegen, bei der Entwicklung und Herstellung von IoT-Geräten Sicherheitsmaßnahmen einbeziehen. Seit der Verabschiedung ist das NIST (National Institute of Standards and Technology) für die Entwicklung von Minimalstandards für die Sicherheit aller von der US-Bundesregierung genutzten Geräte zuständig. Dabei ist die Hoffnung, dass die Hersteller diese Standards nicht nur beim Verkauf an die US-Regierung erfüllen, sondern sie als sicherheitsbezogene Best Practices auch beim Verkauf von Geräten im privaten Sektor umsetzen. Dadurch wird dieses Gesetz hoffentlich für mehr Sicherheit bei allen hergestellten IoT-Geräten sorgen.

Vor diesem Hintergrund müssen sich die Hersteller vorbereiten und prüfen, wo sie Sicherheitsmaßnahmen umsetzen können – von der Produktentwicklung bis zur Geräteherstellung. Public Key Infrastructure (PKI) kann zur Sicherstellung der Integrität, Authentizität und Vertraulichkeit im gesamten Lebenszyklus eines Geräts beitragen.

Wie PKI die Einhaltung von NIST-Richtlinien sicherstellt

Authentifizierung, Verschlüsselung, Integrität und Identitätsschutz sollten Teil jedes IoT-Sicherheitsstandards und jeder Richtlinie sein. Wenn Hersteller Ansätze zur Erfüllung der NIST-Richtlinien entwickeln, sollten sie am besten nach einer Lösung suchen, die mehrere Anforderungen der Standardrichtlinie zugleich erfüllt. Public Key Infrastructure (PKI) und der Einsatz digitaler Zertifikate sind bewährte Sicherheitsstrategien für die gängigen Herausforderungen im Sicherheitsbereich: Authentifizierung und Zugriff, Vertraulichkeit von Daten sowie Sicherstellung von Datenintegrität und Gerätebetrieb.

PKI ermöglicht die folgenden Sicherheitsansätze:

• gegenseitige Authentifizierung,
• Datenverschlüsselung,
• sicheres Bootverfahren,
• Erstellung einer Geräteidentität,
• Sicherstellung der Integrität von Firmware-Updates und Daten,
• sichere Over-the-Air-Kommunikation (OTA) und
• Multifaktor-Authentifizierung (MFA).

PKI ist ein guter Ausgangspunkt, da sie Lösungen für mehrere Sicherheitsanforderungen zugleich bietet.

PKI ermöglicht Herstellungsflexibilität

PKI bietet IoT-Herstellern Sicherheit mit größerer Flexibilität bei der Anwendung, Bereitstellung und Entwicklung von Zertifikaten. Die Umgebung und die Bedürfnisse von Herstellern beim Einsatz von PKI sind unterschiedlich. Einige Hersteller benötigen vielleicht eine lokale Lösung, wenn während der Herstellung kein Netzwerkzugriff besteht. Andere bevorzugen eine cloudbasierte Lösung, um die Kosten zu senken und die Einrichtung zu erleichtern. Bereitstellungsflexibilität bedeutet, dass die Hersteller Komponenten oder Geräte vor der Herstellung, in der Lieferkette, während der Herstellung oder sogar vor Ort bereitstellen können.

Schließlich benötigen Hersteller möglicherweise unterschiedliche Zertifikatsprofile, -vorlagen oder Protokollanforderungen für ihre jeweiligen Lösungen und Umgebungen. Da sich IoT-Geräte hinsichtlich ihrer Rechenleistung, Kommunikationsprotokolle und Einsatzdauer unterscheiden, brauchen Hersteller eine flexible und sichere PKI-Lösung. Mit der richtigen Plattform können Hersteller Kunden-Zertifikatsprofile erstellen, die an die jeweiligen Anforderungen des IoT-Geräts angepasst sind.

Beispielanwendungen für PKI

Eine der Möglichkeiten, die PKI Herstellern bietet, ist die Identifizierung ihrer Originalprodukte über die in das Gerät integrierte Identität. IoT-Hersteller müssen auf diesen Geräten regelmäßig Updates durchführen, um sicherzustellen, dass die neuesten Änderungen der Sicherheitssoftware oder der Gerätekonfiguration umgesetzt werden. Sobald die Identifizierung zwischen System und Gerät abgeschlossen ist, wird – wiederum mit Hilfe der PKI – das für das Gerät bestimmte Software-Update verschlüsselt. Das Update kann nur durch das vom Hersteller identifizierte Originalgerät entschlüsselt werden, sodass eine sichere und manipulationsfreie Kommunikation zwischen dem Netzwerk und dem IoT-Gerät sichergestellt ist.

Eine weitere Anwendungsmöglichkeit von PKI ist die Authentifizierung eines Geräts für Cloud-Dienste, bei denen die Hersteller den Sicherheitsstatus des Geräts prüfen können. Hier muss der Hersteller sicherstellen können, dass sich ein Originalgerät mit seinem Cloud-Dienst verbindet und kein böswilliger Akteur, der mithilfe des Geräts eine falsche Identität vortäuschen oder das System infiltrieren will. Sobald diese Identifizierung erfolgt ist, kann der Hersteller die sichere Wartung des Geräts über seinen Cloud-Dienst durchführen.

PKI-Lösungen von DigiCert helfen Herstellern bei der Umsetzung von NIST-Richtlinien

DigiCert bietet PKI-Lösungen an, die Herstellern bei der Umsetzung des IoT Cybersecurity Improvement Act helfen. DigiCert^® IoT Trust Manager und DigiCert^® Software Trust Manager helfen Herstellern durch die Sicherstellung von Geräteidentität und -authentifizierung, Vertraulichkeit und Integrität bei der Umsetzung der NIST-Richtlinien.

• DigiCert lot Trust Manager ist eine PKI-Verwaltungsplattform, die bei der Bereitstellung und Kontrolle digitaler Zertifikate hilft und eindeutige Kennungen für die sichere Verschlüsselung und Datenintegrität jedes einzelnen IoT-Geräts erstellt.
• DigiCert Software Trust Manager ermöglicht es Herstellern, die Vertraulichkeit und Integrität der Software-Updates für die Geräte sicherzustellen und vor Manipulationen zu schützen.

Beide Manager sind Teil von DigiCert ONE™, einer PKI-Plattform mit moderner, cloudnativer und containerbasierter Architektur. Sie ist einfach aufzusetzen, äußerst skalierbar und bietet verschiedene Bereitstellungsmöglichkeiten wie etwa über die Cloud, lokal, als Hybridlösung oder physisch isoliert.

Mehr darüber, wie PKI zur Sicherheit Ihrer IoT-Geräte und zur Einhaltung der NIST-Richtlinien für die IoT-Cybersicherheit beitragen kann, erfahren Sie unter DigiCert lot Trust Manager oder DigiCert Software Trust Manager.