Intelligente Authentizität im Zeitalter des IoT

Laut Umfragen (in diesem Falle in UK) besitzt jeder Haushalt durchschnittlich 7.4 verschiedene Geräte. Verglichen mit der Zeit vor etwa 20 Jahren als ein Haushalt durchschnittlich gerade mal einen Computer sein eigen nannte, ist das Wachstum bei vernetzten Geräten exponentiell. Und bisher gibt es keine Anzeichen dafür, dass dieser Trend sich verlangsamt. 

Experten prognostizieren bereits innerhalb der nächsten drei Jahre 30 Milliarden vernetzter Geräte weltweit, eine Zahl, die bis zum Jahr 2025 auf sagenhafte 80 Milliarden steigen soll.

Anzeige

Die Daten, die zwischen „Dingen“ im IoT ausgetauscht werden, sind ein äußerst wertvolles Gut. Nicht nur weil es sich oftmals um persönliche Daten handelt, sondern vor allem um das geistige Eigentum eines Unternehmens. Daten umfassen alles, vom einzigartigen Code bis hin zu intelligenten Algorithmen. Also genau die Daten und Informationen, welche die Leistungsfähigkeit eines Unternehmens ausmachen und es im Markt bestehen lassen. Es klingt fast schon wie eine Binsenweisheit, dass mit der enormen Verbreitung von untereinander vernetzten Geräten und dem stetigen Anstieg des Datenvolumens das Sicherheitsrisiko nie höher war als gerade jetzt. Eines von sieben befragten Unternehmen verzeichnete allein im letzten Jahr mindestens eine Datenschutzverletzung. 2016 und 2017 waren zudem die beiden Jahre in denen einige der bisher schwerwiegendsten und folgenreichsten Cyberangriffe stattfanden.

Jetzt ist Schadcode im IoT eine der neuen Bedrohungen, mit der Firmen sich beschäftigen müssen. Eines der bekanntesten Beispiele aus dem Jahr 2016 ist das Mirai-Botnetz und der damit lancierte und bisher größte DDoS-Angriff der Geschichte. Weite Teile des Internets waren zeitweilig lahmgelegt. Das Mirai-Botnetz operiert auch gemeinsam mit einer IoT-Malware-Familie namens „Bashlight“. Beide suchen nach anfälligen Geräten, bei denen der Standardbenutzername beibehalten oder schlecht gewählt wurde oder aber auch die Passwörter. Ganz ähnlich der Attacke von 2016 handelt es sich bei den meisten Geräten innerhalb des Botnets um Webcams. Man braucht nicht viel Fantasie um sich diverse Horrorszenarien auszumalen. Etwa, dass Hacker die Kontrolle über vernetzte medizinische Apparaturen übernehmen oder über eine Flotte von führerlosen LKWs auf der Autobahn.

Intelligente Authentizität und was sie leistet

Die Investitionen in das Internet der Dinge sollen laut Erhebungen von IDC bis 2021 ein Volumen von 1,7 Trillionen erreichen. Allein angesichts dieser Zahlen rücken Sicherheitsbelange an eine der obersten Stellen in der Prioritätenliste. Das IoT greift an vielen verschiedenen Stellen in die Lebensumstände und die Arbeitswirklichkeit von Menschen ein. Ob es Endverbraucher sind, die Wearables benutzen, Haushalte, die sich aktuelle Geräte anschaffen, ganze Industriezweige, die sich auf miteinander und mit dem Internet vernetzte Systeme verlassen oder Kommunen, die vernetzte Parkhäuser installieren, um nur einige zu nennen. Leider ist es traurige Realität, dass etliche IoT-Geräte über keinerlei Möglichkeit verfügen Softwareaktualisierungen einzuspielen oder wenn, nur unzureichend geschützt.

Das sogenannte Code Signing ist einer der wichtigsten Wege, Sicherheitsrisiken an dieser Stelle zu begrenzen. Code Signing gilt schon lange als einer der wesentlichen Punkte innerhalb des Sicherheitsprozesses bei der Datenverarbeitung. Denn Code Signing ist eine Methode mit der sich die Herkunft und Integrität einer Datei nachweisen lassen. Praktisch betrachtet, erstellt der Urheber einer Datei eine digitale Signatur auf Basis des Hashwertes der Datei und nutzt dazu einen privaten Schlüssel. Nutzer können anschließend den öffentlichen Schlüssel des Urhebers anfordern und damit verifizieren, dass die Partei, die vorgibt, die Signatur erstellt zu haben, auch tatsächlich die ist, die sie vorgibt zu sein. Und darüber hinaus validiert die Methode, dass eine Datei oder ein Programm seitdem nicht verändert worden sind. Es handelt sich um einen intelligenten Schutzmechanismus vor potenziell infizierter Software sowohl für Unternehmen als auch von Marken und Partnern.

Ein sicheres System für das Code Signing verlangt allerdings von den Entwicklern, dass sie die Schlüsselverwaltung entsprechend planen und Hardware Security Modules (Hardwaresicherheitsmodule – HSM) einsetzen. Gleichzeitig sollten sie sich an die für Verschlüsselung empfohlenen Best Practices halten. Letzteres von der Entwicklung bis zur schlussendlichen Freigabe des Codes.

Man sollte sich allerdings nicht auf Code Signing allein verlassen, sondern gewährleisten, dass sie Geräte innerhalb des Authentifizierungsprozesses gründlich getestet werden. Cyberattacken werden nach wie vor raffinierter. Deshalb haben Unternehmen damit begonnen, die Tests ihrer Systeme öffentlich zugänglich zu machen und die „Tester“ zu honorieren, wenn es dabei gelingt, Mängel offen zu legen. Dies ist ein Mittel um herauszufinden, wie es um die Sicherheit der installierten Systeme wirklich bestellt ist. Außerdem lassen sich so mehr Produkte schneller testen. Entwicklerteams können ihre Zeit darauf verwenden Schwachstellen zu beheben, statt sie überhaupt erst zu finden.

Auch Standardisierungsgremien sehen diese Praktiken zunehmend als verpflichtend an. Allein aus diesem Grund und mit der steigenden Zahl an IoT-fähigen Geräten, sollte man diese Empfehlungen als notwendige Sicherheitsbausteine im Interesse von Kunden und Geschäftsmodellen betrachten und nicht als zeitraubendes Übel.

Sichere Zukunft für das IoT

Mit der Einführung des IoT ist eine intelligente Authentizität vernetzter Geräte wichtiger denn je. Code Signing ist eine gute Sicherheitsmaßnahme und dient der Verteidigung. Allerdings ist auch sie nicht immun gegen Datenschutzverletzungen. So ziemlich alle Attacken sind letzten Endes die Folge von unzureichenden Prozessen oder Schwächen innerhalb ihrer Verwaltung. Verzichtet man beispielsweise darauf, Code Signing zu nutzen oder missachtet Branchenempfehlungen, vergrößert das die Angriffsfläche und das Risiko einer erfolgreichen kriminellen Attacke. Hacker verteilen den Schadcode über die untereinander und mit dem Internet vernetzten Geräte. Um die Sache noch ein bisschen schlimmer zu machen, sind Angreifer mittlerweile in der Lage, Malware so zu tarnen als käme sie ganz legitim aus dem Unternehmen selbst. Signierte Malware, die gestohlene Code-Signing-Anmeldedaten ausnutzt, verbreitet sich zunehmend.

Man tut also gut daran, den Prozess zum Erstellen digitaler Signaturen so gut wie möglich abzusichern. Sicherheit für Code-Signing-Prozesse erreicht man beispielsweise über eine manipulationsgeschützte Hardware-Lösung. Sie verhindert, dass Angreifer gefälschte Signaturen nutzen, um infizierten Code zu tarnen.

Das von Experten „Hyperconnectivity“ getaufte Phänomen wird weiterhin die Art und Weise verändern, in der Menschen leben, arbeiten und spielen. Cyberkriminellen einen Schritt voraus zu sein, wird zu den bleibenden Herausforderungen gehören. Menschen und Dinge werden mehr und mehr vernetzt sein. Gleichzeitig ist die Existenzgrundlage dieser Vernetzung weitreichenden Risiken ausgesetzt. Deswegen ist es so wichtig, dass die Führungsebene von Unternehmen dafür sorgt, Best Practices im eigenen Interesse und im Interesse der Kunden umzusetzen. Herzstück sollte dabei die Sicherheit sein. Nur dann wird der Angebotscharakter des IoT zu einem wirklichen Vorteil in der digitalen Ära.

John Grimm, Senior Director of IoT Security Strategy bei Thales eSecurity

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.