Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

IoTSpätestens seit der diesjährigen Hannover Messe wissen wir: Das „Internet der Dinge“ (IoT) kommt – und schon jetzt ist klar, dass kaum eine Branche oder ein Geschäftsbereich davon unberührt bleibt. Selbst Skeptiker versprechen sich davon mehr Effizienz und Präzision, beispielsweise in Fertigung und Vertrieb.

Bei aller Euphorie bereitet die Aussicht einer noch nie dagewesenen Vernetzung aber vor allem den Sicherheitsexperten in Unternehmen Bauchschmerzen, denn mit ihr mehren sich auch die Einfallstore für Cyberkriminelle. Damit Kommunikation im IoT nicht zum Risikofaktor gerät, müssen Geräte eindeutig identifizierbar sein. Nur so lässt sich herstellen, was für das Funktionieren jedes Systems essenziell ist: Vertrauen. Eine lange erprobte Technologie, die das leisten kann und im Zuge des IoT zunehmend nachgefragt wird, ist Public Key Infrastructure – kurz PKI.

50 Milliarden vernetzte Geräte bis 2020

Dinge aller Art mit Sensoren ausstatten und an das Internet anbinden, um Prozesse intelligenter zu gestalten und dadurch zum Beispiel Ausschuss zu reduzieren oder Unfälle zu verhindern: Die Idee des IoT ist bestechend und derzeit omnipräsent – neu ist sie hingegen nicht. Bereits 1999 prägte Technologieforscher und Unternehmer Kevin Ashton den Begriff „Internet of Things“ und verstand darunter ein Netzwerk aus Computern, die eigenständig Daten sammeln, auswerten und untereinander austauschen. Doch auch wenn das Konzept nicht neu ist, Einzug in unsere Realität hält das IoT erst jetzt und das liegt vor allem an den massiven technologischen Fortschritten der letzten Jahre. Erst jetzt verfügen wir über einen ausreichend leistungsfähigen „Baukasten“ an Technologien, die für das IoT notwendig sind – darunter Sensoren, stabiles mobiles Internet und mit IPv6 nun auch über einen Adressraum, der groß genug ist, um alle Geräte, die in Zukunft vernetzt werden sollen, zu erfassen. Laut einer Studie von Ernst & Young sollen es bis zum Jahr 2020 bereits mehr als 50 Milliarden sein. Das Marktforschungsunternehmen Gartner sagt voraus, dass bis 2020 bereits fünfzig Prozent aller neuen Geschäftsprozesse und -systeme Elemente des IoT aufweisen werden.

Ein gigantisches Sicherheitsprojekt

Die Effizienzgewinne und neuen Geschäftsmodelle, die das IoT ermöglicht, sind die eine Seite der Medaille. Die andere, weniger gern thematisierte, sind die Sicherheitsrisiken, die mit der Vernetzung von Milliarden Geräten unweigerlich einhergehen. Es braucht nicht viel Fantasie, um sich mögliche Schreckensszenarien in einer Welt aus selbstfahrenden Autos und automatisierten Notrufzentralen auszudenken. Sicherheit ist die wichtigste Voraussetzung, um die Vorteile des IoT tatsächlich zu realisieren. Das gilt insbesondere im Hinblick auf die sogenannten kritischen Infrastrukturen wie Energie, Verkehr oder Telekommunikation. Auch sie sollen in Zukunft von der Vernetzung profitieren und intelligenter werden, wie das kürzlich verabschiedete „Gesetz zur Digitalisierung der Energiewende“ exemplarisch deutlich macht. Es sieht den stufenweisen Umbau des deutschen Energiesystems zum „Smart Grid“ vor. Im Falle kritischer Infrastrukturen können erfolgreiche Cyberangriffe lebensbedrohlich sein. Wie also kann das IoT zu einem sicheren Projekt werden?

Vertrauen als wichtigste Voraussetzung

Die große Herausforderung in der Absicherung des IoT besteht darin, in einem dezentralen und stetig wachsenden Netzwerk an Dingen, die ständig „on“ sind, Vertrauen darüber herzustellen, dass alle die Geräte auch das sind, was sie vorgeben zu sein. Nur wenn Manipulation oder Identitätsklau ausgeschlossen werden können, kann das IoT funktionieren. Jedem Gerät muss also eine eindeutige und von vertrauenswürdiger Stelle zertifizierte Identität zugewiesen werden, mit der es sich an einem entsprechenden Dienst authentifiziert und eine verschlüsselte Verbindung aufbaut. PKI leistet genau diese Zertifizierung und schafft damit die Basis für Integrität im IoT.

Public Key Infrastructure (PKI)

Der Begriff Public Key Infrastructure (PKI) bezeichnet eine Sicherheitstechnologie, die für die Absicherung von Computer- und Netzwerkzugängen sowie in der Kommunikationssicherheit einen breiten Einsatz findet. Der Berechtigungsnachweis einer PKI sind ein kryptographisches Schlüsselpaar – bestehend aus einem „private key“ und einem öffentlich zugänglichen „public key“ – sowie ein elektronisches Zertifikat. Diese werden von einer vertrauenswürdigen und ihrerseits zertifizierten Certificate Authority ausgestellt und können unter anderem zur Identifikation und Authentifizierung eines Geräts oder Benutzers verwendet werden.

So entsteht eine nachprüfbare „Chain of Trust“, die es Teilnehmern eines öffentlichen Netzwerkes ermöglicht, vertrauensvoll und sicher zu kommunizieren ohne sich vorher abgesprochen zu haben oder zu kennen. Anwendende Organisationen haben die Möglichkeit, sich eine private PKI aufzubauen oder öffentliche, auf Trustcentern basierte Netzwerke zu nutzen. 

Wie das IoT ist auch die PKI-Technologie nicht neu. Seit langem wird sie bereits erfolgreich zur Datenübertragung im Mobilfunk eingesetzt, aber auch beispielsweise im elektronischen Wertpapierhandel, für die E-Mail-Verschlüsselung oder beim Online-Banking. Mit dem IoT ergeben sich jedoch ganz neue Anwendungsbereiche für PKI, denn nun geht es darum, Maschinen, die bislang ausschließlich in der analogen Welt genutzt wurden, für einen sicheren Einsatz in der vernetzten Wirtschaft zu rüsten. Im Kontext des IoT hat PKI einige entscheidende Vorteile:

  • Skalierbarkeit: Um in einem so schnell so stark anwachsenden System wie dem IoT dafür zu sorgen, dass alle vernetzten Geräte vertrauenswürdig und die ausgetauschten Informationen geschützt sind, braucht es eine Sicherheitsinfrastruktur, die sich unkompliziert auf beliebig viele Teilnehmer skalieren lässt. Die PKI bietet alle notwendigen Basistechnologien für Authentisierung in stark fragmentierten und heterogenen Netzwerkumgebungen: Public-Key-Verfahren (kein gemeinsames Schlüsselgeheimnis), hierarchische Vertrauensanker zur Validierung und hinreichend sichere Schlüsselalgorithmen.
     
  • Standardisierung: Die PKI-Technologie befindet sich seit Langem in der Entwicklung und ist dadurch sehr ausgereift, gut erprobt und weitgehend standardisiert. Alle modernen Geräte sind bereits PKI-fähig. Auch zur Absicherung der Kommunikation mit den derzeit boomenden mobilen Endgeräten hat sich PKI bewährt. Diese Standardisierung macht eine schnelle Implementierung einer PKI – privat im Unternehmen oder auch über öffentliche Trustcenter – schnell und unkompliziert möglich. Das wiederum spart Kosten, während Anwender auf einen umfangreichen Erfahrungsschatz im Einsatz von PKI zurückgreifen können.
     
  • Breite Anwendungspalette: Das Anwendungsspektrum von PKI ist sehr umfassend und reicht von der sicheren Identifikation und Authentifizierung von Nutzern oder Geräten über den Schutz der Integrität von Daten während der Übertragung oder im Ruhezustand bis hin zur elektronischen Unterschrift oder der Gewährleistung, dass digitale Verträge nicht nachträglich verändert werden können. Diese breite Palette an Sicherheitsmaßnahmen, die auf Basis von PKI umgesetzt werden können, macht die Technologie insbesondere im Kontext des IoT zu einem effektiven Baustein einer mehrschichtigen Sicherheitsarchitektur.

Um das IoT zu einem sicheren Ökosystem zu machen, muss das Rad also nicht neu erfunden werden. Mit PKI haben Organisationen eine lange erprobte, gut standardisierte und vor allem hochskalierbare Technologie zur Verfügung, um in diesem dezentralen und stark fragmentierten System Vertrauen herzustellen und einen sicheren Informationsaustausch zu gewährleisten.

Unabdingbar für ein sicheres IoT

Eine der Bereiche des IoT, in denen PKI bereits heute verstärkt zum Einsatz kommt, ist das „Smart Home“ mit seiner Vielzahl an intelligenten und fernsteuerbaren Anwendungen. Hier stellt zertifikatsbasierte Zwei-Faktor-Authentifizierung sicher, dass nur die Server der Anbieter mit den smarten Geräten kommunizieren können. Einer möglichen Manipulation durch Unbefugte wird so vorgebeugt. Ein weiteres Beispiel für den Einsatz von PKI ist die bereits angesprochene elektronische Verwaltung, die zunehmend auf digitale Unterschriften setzt. Geeignet ist die Technologie außerdem für den Sektor der erneuerbaren Energien: Der Trend zur dezentralen Energieversorgung hat massive Verschiebungen im Markt ausgelöst und die Unabhängigkeit von großen Anbietern gestärkt. Gleichzeitig hat er das System insgesamt anfälliger für Angriffe gemacht durch die Vielzahl an neuen Anlagen, die nun alle zuverlässig geschützt werden müssen.

Insgesamt fehlt es in vielen Organisationen aber noch am nötigen Bewusstsein für die Risiken, mit denen sie die im Zuge des IoT verstärkt rechnen müssen. Die Investitionen in Sicherheitstechnologien wie PKI sind nach wie vor sehr gering und stehen nicht im Verhältnis zur tatsächlichen Bedrohungslage. Natürlich ist auch die PKI-Technologie kein Allheilmittel gegen die Cyberkriminalität. Effektive Sicherheit lässt sich immer nur durch mehrere Sicherheitssysteme auf verschiedenen Ebenen erreichen. Einige der wichtigsten Maßnahmen für ein sicheres IoT lassen sich mit PKI jedoch sehr gut und in großem Maßstab umsetzen. Gerade für das IoT, in dem sich Vertrauensbildung auf Grund der Größe und Fragmentierung des Netzwerkes sonst nur schwer erreichen ließe, ist PKI das Mittel der Wahl, um Milliarden von Geräten eine zertifizierte und sichere Identität zu geben. Die Entwicklung des IoT wird in den nächsten Jahren massiv an Fahrt gewinnen. Mit einem verstärkten Einsatz von PKI können die Versprechen einer vernetzten Welt auch sicher eigenlöst werden.

Michael LeuchtnerMichael Leuchtner, Head of Product Management Solutions, neXus Technology

www.nexusgroup.com/de


 

GRID LIST
Dashboard

Interaktives Dashboard für den Umgang mit der DSGVO

Mit dem interaktive Dashboard von ForgeRock sollen Unternehmen prüfen können, ob ihre…
Login

Neuer Sicherheitscheck als Managed-Service

Die SpyCloud soll gestohlene digitale Informationen von Kunden im Web finden. Gepaart mit…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

SecurEnvoy gibt Version 9 von SecurAccess frei

SecurEnvoy hat die neuest Version von SecurAccess, seiner Lösung zur…
Ausweiserkennung

Deep Learning: Die Ausweiserkennung der nächsten Generation

Mithilfe von Deep Learning setzt IDnow neue Standards in der digitalen Ausweiserkennung:…
Secured Access

One Identity Safeguard: mehr Sicherheit für privilegierte Konten

Der One Identity Safeguard bietet Sicherheit für privilegierte Konten und unterstützt…
Handscan

Fujitsu: Neue biometrische Authentifizierungslösung

Fujitsu sorgt mit der neuen biometrischen Authentifizierungslösung für hohe Sicherheit in…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security