Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

IoT Concept Shutterstock 631439243 700

Laut Umfragen (in diesem Falle in UK) besitzt jeder Haushalt durchschnittlich 7.4 verschiedene Geräte. Verglichen mit der Zeit vor etwa 20 Jahren als ein Haushalt durchschnittlich gerade mal einen Computer sein eigen nannte, ist das Wachstum bei vernetzten Geräten exponentiell. Und bisher gibt es keine Anzeichen dafür, dass dieser Trend sich verlangsamt. 

Experten prognostizieren bereits innerhalb der nächsten drei Jahre 30 Milliarden vernetzter Geräte weltweit, eine Zahl, die bis zum Jahr 2025 auf sagenhafte 80 Milliarden steigen soll.

Die Daten, die zwischen „Dingen“ im IoT ausgetauscht werden, sind ein äußerst wertvolles Gut. Nicht nur weil es sich oftmals um persönliche Daten handelt, sondern vor allem um das geistige Eigentum eines Unternehmens. Daten umfassen alles, vom einzigartigen Code bis hin zu intelligenten Algorithmen. Also genau die Daten und Informationen, welche die Leistungsfähigkeit eines Unternehmens ausmachen und es im Markt bestehen lassen. Es klingt fast schon wie eine Binsenweisheit, dass mit der enormen Verbreitung von untereinander vernetzten Geräten und dem stetigen Anstieg des Datenvolumens das Sicherheitsrisiko nie höher war als gerade jetzt. Eines von sieben befragten Unternehmen verzeichnete allein im letzten Jahr mindestens eine Datenschutzverletzung. 2016 und 2017 waren zudem die beiden Jahre in denen einige der bisher schwerwiegendsten und folgenreichsten Cyberangriffe stattfanden.

Jetzt ist Schadcode im IoT eine der neuen Bedrohungen, mit der Firmen sich beschäftigen müssen. Eines der bekanntesten Beispiele aus dem Jahr 2016 ist das Mirai-Botnetz und der damit lancierte und bisher größte DDoS-Angriff der Geschichte. Weite Teile des Internets waren zeitweilig lahmgelegt. Das Mirai-Botnetz operiert auch gemeinsam mit einer IoT-Malware-Familie namens „Bashlight“. Beide suchen nach anfälligen Geräten, bei denen der Standardbenutzername beibehalten oder schlecht gewählt wurde oder aber auch die Passwörter. Ganz ähnlich der Attacke von 2016 handelt es sich bei den meisten Geräten innerhalb des Botnets um Webcams. Man braucht nicht viel Fantasie um sich diverse Horrorszenarien auszumalen. Etwa, dass Hacker die Kontrolle über vernetzte medizinische Apparaturen übernehmen oder über eine Flotte von führerlosen LKWs auf der Autobahn.

Intelligente Authentizität und was sie leistet

Die Investitionen in das Internet der Dinge sollen laut Erhebungen von IDC bis 2021 ein Volumen von 1,7 Trillionen erreichen. Allein angesichts dieser Zahlen rücken Sicherheitsbelange an eine der obersten Stellen in der Prioritätenliste. Das IoT greift an vielen verschiedenen Stellen in die Lebensumstände und die Arbeitswirklichkeit von Menschen ein. Ob es Endverbraucher sind, die Wearables benutzen, Haushalte, die sich aktuelle Geräte anschaffen, ganze Industriezweige, die sich auf miteinander und mit dem Internet vernetzte Systeme verlassen oder Kommunen, die vernetzte Parkhäuser installieren, um nur einige zu nennen. Leider ist es traurige Realität, dass etliche IoT-Geräte über keinerlei Möglichkeit verfügen Softwareaktualisierungen einzuspielen oder wenn, nur unzureichend geschützt.

Das sogenannte Code Signing ist einer der wichtigsten Wege, Sicherheitsrisiken an dieser Stelle zu begrenzen. Code Signing gilt schon lange als einer der wesentlichen Punkte innerhalb des Sicherheitsprozesses bei der Datenverarbeitung. Denn Code Signing ist eine Methode mit der sich die Herkunft und Integrität einer Datei nachweisen lassen. Praktisch betrachtet, erstellt der Urheber einer Datei eine digitale Signatur auf Basis des Hashwertes der Datei und nutzt dazu einen privaten Schlüssel. Nutzer können anschließend den öffentlichen Schlüssel des Urhebers anfordern und damit verifizieren, dass die Partei, die vorgibt, die Signatur erstellt zu haben, auch tatsächlich die ist, die sie vorgibt zu sein. Und darüber hinaus validiert die Methode, dass eine Datei oder ein Programm seitdem nicht verändert worden sind. Es handelt sich um einen intelligenten Schutzmechanismus vor potenziell infizierter Software sowohl für Unternehmen als auch von Marken und Partnern.

Ein sicheres System für das Code Signing verlangt allerdings von den Entwicklern, dass sie die Schlüsselverwaltung entsprechend planen und Hardware Security Modules (Hardwaresicherheitsmodule - HSM) einsetzen. Gleichzeitig sollten sie sich an die für Verschlüsselung empfohlenen Best Practices halten. Letzteres von der Entwicklung bis zur schlussendlichen Freigabe des Codes.

Man sollte sich allerdings nicht auf Code Signing allein verlassen, sondern gewährleisten, dass sie Geräte innerhalb des Authentifizierungsprozesses gründlich getestet werden. Cyberattacken werden nach wie vor raffinierter. Deshalb haben Unternehmen damit begonnen, die Tests ihrer Systeme öffentlich zugänglich zu machen und die „Tester“ zu honorieren, wenn es dabei gelingt, Mängel offen zu legen. Dies ist ein Mittel um herauszufinden, wie es um die Sicherheit der installierten Systeme wirklich bestellt ist. Außerdem lassen sich so mehr Produkte schneller testen. Entwicklerteams können ihre Zeit darauf verwenden Schwachstellen zu beheben, statt sie überhaupt erst zu finden.

Auch Standardisierungsgremien sehen diese Praktiken zunehmend als verpflichtend an. Allein aus diesem Grund und mit der steigenden Zahl an IoT-fähigen Geräten, sollte man diese Empfehlungen als notwendige Sicherheitsbausteine im Interesse von Kunden und Geschäftsmodellen betrachten und nicht als zeitraubendes Übel.

Sichere Zukunft für das IoT

Mit der Einführung des IoT ist eine intelligente Authentizität vernetzter Geräte wichtiger denn je. Code Signing ist eine gute Sicherheitsmaßnahme und dient der Verteidigung. Allerdings ist auch sie nicht immun gegen Datenschutzverletzungen. So ziemlich alle Attacken sind letzten Endes die Folge von unzureichenden Prozessen oder Schwächen innerhalb ihrer Verwaltung. Verzichtet man beispielsweise darauf, Code Signing zu nutzen oder missachtet Branchenempfehlungen, vergrößert das die Angriffsfläche und das Risiko einer erfolgreichen kriminellen Attacke. Hacker verteilen den Schadcode über die untereinander und mit dem Internet vernetzten Geräte. Um die Sache noch ein bisschen schlimmer zu machen, sind Angreifer mittlerweile in der Lage, Malware so zu tarnen als käme sie ganz legitim aus dem Unternehmen selbst. Signierte Malware, die gestohlene Code-Signing-Anmeldedaten ausnutzt, verbreitet sich zunehmend.

Man tut also gut daran, den Prozess zum Erstellen digitaler Signaturen so gut wie möglich abzusichern. Sicherheit für Code-Signing-Prozesse erreicht man beispielsweise über eine manipulationsgeschützte Hardware-Lösung. Sie verhindert, dass Angreifer gefälschte Signaturen nutzen, um infizierten Code zu tarnen.

Das von Experten „Hyperconnectivity“ getaufte Phänomen wird weiterhin die Art und Weise verändern, in der Menschen leben, arbeiten und spielen. Cyberkriminellen einen Schritt voraus zu sein, wird zu den bleibenden Herausforderungen gehören. Menschen und Dinge werden mehr und mehr vernetzt sein. Gleichzeitig ist die Existenzgrundlage dieser Vernetzung weitreichenden Risiken ausgesetzt. Deswegen ist es so wichtig, dass die Führungsebene von Unternehmen dafür sorgt, Best Practices im eigenen Interesse und im Interesse der Kunden umzusetzen. Herzstück sollte dabei die Sicherheit sein. Nur dann wird der Angebotscharakter des IoT zu einem wirklichen Vorteil in der digitalen Ära.

John Grimm, Senior Director of IoT Security Strategy bei Thales eSecurity

 

GRID LIST
Flugzeug

Das Internet der Dinge treibt die Luftfahrtindustrie an

In unserer digitalen Welt kommt auch die Luftfahrtindustrie längst nicht mehr ohne die…
Tb W190 H80 Crop Int 70c0f28d9a5a5250f98ec32ccb441ca0

Warum Apple auch 2019 zu den Gewinnern gehört

2018 war das Jahr, in dem der Marktwert von Apple die Milliardengrenze überschritten hat,…
Tb W190 H80 Crop Int 2bd701b5eee0b1669e88cc7dacf10028

IoT in Supply-Chain-Initiativen und Logistik

Um es mit den Worten des britischen Schriftstellers Douglas Adams zu sagen: Das Internet…
2019

Chatbot-Trends 2019: Wird der Hype zum Alltag?

Der globale Chatbot-Markt könnte bis 2025 auf ein Volumen von bis zu 1,25 Milliarden…
Smarte News aus der IT-Welt