Security Mehr IoT-Sicherheit: Effektive Geräteregistrierung in einer Public-Key-Infrastruktur

Autor / Redakteur: Lancen LaChance* / Sebastian Human

Die Menge der über das Internet of Things vernetzten Geräte steigt stetig weiter an und mit ihr die Notwendigkeit sicheren Identitätsmanagements. Hier kann eine Public-Key-Infrastruktur helfen, doch welche Herausforderungen warten hier und wie löst man sie?

Firmen zum Thema

Die Geräteregistrierung ist ein sicherheitskritischer Schritt auf dem Weg ins Internet of Things.
Die Geräteregistrierung ist ein sicherheitskritischer Schritt auf dem Weg ins Internet of Things.
(Bild: gemeinfrei / Pixabay )

Die Anzahl der IoT-Geräte hat eine kritische Masse erreicht. Derzeit gibt es auf der Welt rund 27 Milliarden vernetzte Geräte. Statista schätzt, dass bis 2025 38,6 Milliarden Geräte angeschlossen sein werden und die Zahl bis 2030 auf etwa 50 Milliarden steigt. Das sind ziemlich viele Geräte.

Dabei ist das Verbinden von Geräten im Internet der Dinge nur die erste von weiteren Herausforderungen. Die Geräte entsprechend zu sichern, wird entscheidend für eine nachhaltige und langfristige Entwicklung und Verwendung im Internet of Things sein. Der Stellenwert von Sicherheit kann hier nicht hoch genug angesetzt werden.

Wenn IoT-Geräte eine Verbindung zum Internet herstellen, teilen sie Informationen. Der Schutz der Integrität der von ihnen freigegebenen Daten und der Privatsphäre der Personen, mit denen sie geteilt werden, entscheidet darüber, ob ein vertrauensvoller Betrieb stattfindet oder man unrechtmäßig auf Geräte, Daten und Systeme zugreifen kann. Dies gilt insbesondere für hochwertige Geräte oder Netzwerke wie medizinische Geräte, den Automobilsektor oder für kritische IoT-Infrastrukturen wie intelligente Versorgungsunternehmen.

IoT-Security beginnt mit der Public-Key-Infrastruktur (PKI)

Benutzernamen und Passwörter zu verwenden ist veraltet und unsicher. Laut der Global PKI and IoT Trends Study des Ponemon Institute aus dem Jahr 2019 ist die Abhängigkeit von Benutzernamen und Passwörtern allerdings zurückgegangen. Dieselbe Studie hat ergeben, dass PKI wichtige Kernauthentifizierungstechnologien für das Internet of Things bereitstellen. Das sehen viele Unternehmen in der IoT-Branche ganz ähnlich.

PKI-Herausforderungen

Eine PKI erlaubt es IdD-Endpunkten/-Geräten in einem zertifikatsbasierten Geräteauthentifizierungsprozess Zertifikate von einer Zertifizierungsstelle über einen Registrierungsserver/-dienst anzufordern, um eindeutige, starke und sichere Geräteidentitäten zu erstellen.
Eine PKI erlaubt es IdD-Endpunkten/-Geräten in einem zertifikatsbasierten Geräteauthentifizierungsprozess Zertifikate von einer Zertifizierungsstelle über einen Registrierungsserver/-dienst anzufordern, um eindeutige, starke und sichere Geräteidentitäten zu erstellen.
(Bild: Global Sign)

Zu wissen, welche Technologie die richtige ist, heißt leider nicht automatisch, dass sie auch einfach zu implementieren ist. Selbst bei einem scheinbar klar definierten Plan für die IoT-Security, bleibt eine PKI für viele eine Herausforderung. Das betrifft insbesondere Funktionen zur Geräteregistrierung. Und die sind ganz entscheidend, wenn man eindeutige, starke und sichere Geräteidentitäten bereitstellen will.

Eine PKI ist ein System, das ein eindeutiges digitales Zertifikat, ausgestellt von einer Zertifizierungsstelle, mit jedem einzelnen Gerät verbindet, damit die Geräte sicher authentifiziert werden können. Mit einer einzigartigen starken Geräteidentität authentifizieren sich IdD-Geräte (oder -Dinge), sobald sie online gehen. Das gewährleistet eine sichere Kommunikation zwischen Geräten, Diensten sowie Benutzern und weist zusätzlich deren Integrität nach.

Empfehlenswerte Zertifizierungsstellen bieten die Registrierung der IoT-Geräteidentität als Bestandteil eines umfassenderen Registrierungsprozesses für entsprechende Geräte an. Bei der Registrierung der Geräteidentität werden die betreffenden Geräte in die PKI integriert. Das passiert normalerweise über einen Registrierungsserver oder -dienst, der zuweilen auch als Registrierungsstelle bezeichnet wird. Der Registrierungsdienst ist hinsichtlich von Richtlinien und Prüfprotokollen so konfiguriert, dass er jedes Gerät überprüfen kann und bestätigt, dass es berechtigt ist, Teil der PKI zu sein. Gleichzeitig wird in diesem Prozess verifiziert, dass das Gerät wirklich das Gerät ist, als das es sich ausgibt.

Es ist nicht ganz einfach, die für eine sichere Registrierung erforderlichen Hardware- und Softwaresysteme und -protokolle intern zu entwickeln. Das liegt an einer Reihe von Faktoren.

Professionell entwickelte, weltweit anerkannte kommerzielle Registrierungsdienste folgen den neuesten Sicherheitsstandards, um eine ordnungsgemäße Registrierung von PKI-Geräten sicherzustellen, Personalprobleme in den Griff zu bekommen, Herausforderungen bei der CapEx-Entwicklung zu bewältigen und zusätzliche Verwaltungsfunktionen bereitzustellen.
Professionell entwickelte, weltweit anerkannte kommerzielle Registrierungsdienste folgen den neuesten Sicherheitsstandards, um eine ordnungsgemäße Registrierung von PKI-Geräten sicherzustellen, Personalprobleme in den Griff zu bekommen, Herausforderungen bei der CapEx-Entwicklung zu bewältigen und zusätzliche Verwaltungsfunktionen bereitzustellen.
(Bild: Global Sign)

Derzeit haben wir einen Mangel an ausgebildeten PKI- und Registrierungsspezialisten. Das macht eine präzise Einrichtung und Verwaltung innerhalb eines Unternehmens problematisch. Auch wenn es finanziell attraktiv sein mag, die PKI-Verantwortung einem Junior-Manager zu übertragen, der möglicherweise nicht ausschließlich für das PKI-Management verantwortlich ist, kann am Ende teuer werden. Denn das führt dazu, dass man Sicherheitsnuancen übersehen kann - was wiederum eine effektive IoT-Sicherheit insgesamt beeinträchtigt. Zudem fehlen oftmals einheitliche IoT-Sicherheitsrichtlinien, -standards oder -vorschriften, was wiederum die Unsicherheit und Fehleranfälligkeit erhöht. Es ist keine leichte Aufgabe, eine PKI einzurichten. Der Prozess kann sich als umständlich und teuer erweisen, insbesondere wenn man digitale Identitäten braucht, die weltweit anerkannt und vertrauenswürdig sind. In vielen Fällen bieten lokale oder kostenlose Public Key Infrastrukturen nicht die nötige Sicherheit, um Geräteidentitäten in einer globalen Umgebung ordnungsgemäß zu sichern.

Glücklicherweise gibt es zahlreiche Unternehmen, die keine PKI-Probleme haben. Sie arbeiten mit Organisationen zusammen, die PKI-Plattformen und voll funktionsfähige IoT-Registrierungsdienste für Geräteidentitäten bereitstellen.

Managed Services haben an dieser Stelle einige Vorteile. Sie kombinieren bewährte Technologien mit der Kompetenz erfahrener PKI-Experten, die mit aktuellen Praktiken und Standards ausreichend vertraut sind. Statt kostspieliger Investitionen in eine vor Ort eingerichtete PKI, profitieren Unternehmen von planbaren monatlichen Betriebskosten.

Vereinfachte, optimierte und gehärtete Geräteregistrierung

Hersteller von IoT-Geräten wie auch Betreiber kritischer Infrastrukturen erhoffen sich im Wesentlichen drei Resultate von einem Identitätsregistrierungsdienst: Sie wünschen sich eine vereinfachte Konfiguration, Einrichtung und Registrierung der Geräteidentität, einen optimierten Betrieb mit einer optimierten Registrierung innerhalb der PKI-Plattform sowie gehärtete Registrierungsprotokolle und Gerätesicherheit.

Im Folgenden betrachten wie diese drei Faktoren etwas genauer:

  • 1. Vereinfachte Konfiguration, Einrichtung und Registrierung der Geräteidentität:
    Public-Key-Infrastrukturen und die Registrierungsfunktion für die Geräteidentität stellen für Unternehmen nicht selten eine Herausforderung dar. Wer eine verwaltete PKI und einen Identitätsregistrierungsdienst verwendet, der beseitigt kostspielige interne Entwicklungs-, Implementierungsrisiken und Verwaltungsprobleme. Das setzt wertvolle Ressourcen frei, und Unternehmen können sich auf ihre Kernkompetenzen konzentrieren. Nicht wenige Firmen greifen immer noch auf unterschiedliche Anbieter zurück, um sämtliche Schritte der PKI- und Geräteregistrierung abzudecken. Eine konsolidierte Plattform, die auf einem integrierten Framework basiert, eliminiert Sicherheitslücken und gewährleistet die ordnungsgemäße Einrichtung.
  • 2. Optimierter Betrieb mit einer optimierten Registrierung an der PKI:
    Eine cloudbasierte, gebündelte Identitätsregistrierungslösung gewährleistet die Zuverlässigkeit, Verfügbarkeit und Skalierbarkeit einer gut konzipierten kommerziellen Registrierungsstelle - zu einem Bruchteil der internen Kosten. Sie stellt einen sicheren, kommerziellen Identitätsverwaltungsservice für Geräte zur Verfügung, entlastet die betrieblich Verantwortlichen und adressiert Bedenken. Als Funktion wird die Zertifikatsverwaltung immer wichtiger. Ein Identitätsregistrierungsdienst ermöglicht genau diese Verwaltung, und ist deshalb zwingend erforderlich. Die Ausstellung von Zertifikaten erfolgt besonders sicher und direkt, wenn eine PKI-basierte IoT-Identitätsplattform auch von einer WebTrust-geprüften Zertifizierungsstelle unterstützt wird.
  • 3. Gehärtete Protokolle zur Identitätsregistrierung und Gerätesicherheit:
    Jedes IoT-Ökosystem legt das Sicherheitsniveau anhand seiner eigenen Kriterien und eines akzeptablen Risikos fest. Je höher der Wert eines IoT-Geräts, Gateways, Netzwerks oder Ökosystems, desto strenger muss das Protokoll zur Identitätsregistrierung sein. Hier profitiert man von einem PKI- und Identitätsregistrierungsdienst, der einen mehrschichtigen Sicherheitsansatz verfolgt. Ein solcher Ansatz erlaubt verschiedene Optionen für die Richtliniendefinition und die Protokolle zur Identitätsregistrierung und kann unterschiedliche Sicherheitsstufen berücksichtigen. Anpassbare Richtlinien zur Identitätsprüfung ermöglichen es, Sicherheitsstufen anhand der jeweiligen spezifischen Kriterien zu definieren, festzulegen und zu verwalten. Dazu zählt so gut wie alles, was die Sicherheit der Identitätsregistrierung maximiert - von einfachen White Lists bis hin zur TPM-Bescheinigung (Trusted Platform Module). IoT-Security ist eine individuelle Entscheidung, deshalb sollte man die Sicherheitsstufen entsprechend anpassen können und nicht auf voreingestellte Lösungen zurückgreifen müssen.

IoT-Geräte- und Halbleiterhersteller sowie Betreiber kritischer Infrastrukturen erhoffen sich weitgehend die gleichen Ergebnisse von ihrer PKI und einem Identitätsregistrierungsdienst. Trotzdem haben sie ihre ganz eigenen Anforderungen. Und diese Anforderungen sind eindeutig an ihre Funktion und ihren Platz innerhalb der Lieferkette gebunden.

IoT-Anbieter

IoT-Anbieter stehen am Anfang oder in der Mitte der Lieferkette. Sie sind entweder Original Equipment Manufacturers (OEMs), Original Design Manufacturers (ODMs) oder bieten Electronics Manufacturing Services (EMSs). Oder sie sind Halbleiterhersteller von Smart Chips oder TPMs, die in Gerätekomponenten verbaut werden.

Es kann sich aber auch um die Komponenten selbst handeln, die wiederum in Geräte eingebaut werden, oder um ein IoT-Gerät, das für den Verkauf programmiert wird. Am Anfang der Lieferkette befasst man sich mit den Auswirkungen der nachgelagerten Geräteidentität. Das Einbeziehen der Chip-, Komponenten- oder Geräteidentität in dieser Phase ist das beste Beispiel für Security by Design. Dabei wird die Identität bereits während der Entwicklung und Produktion berücksichtigt, um sie später im Lebenszyklus zu gewährleisten und abzusichern. Für Hersteller, die ihren Händlern, Verkäufern oder sogar dem Endverbraucher einen nachgelagerten Mehrwert bieten wollen, ist das ein nicht zu unterschätzender Wettbewerbsvorteil.

Da überrascht es nicht, dass sich die Hersteller vor allem mit Funktionen zur Bereitstellung von Identitäten oder den ersten Schritten der Registrierung einer PKI-Geräteidentität befassen. Für Hersteller ist die Einrichtung von PKI und Identitätsregistrierung ein wichtiges Anliegen, denn sie müssen für jeden einzelnen Anwendungsfall oder Produktionslauf eindeutig konfiguriert werden. Die Automatisierung dieser Funktion oder die automatische Registrierung der Identität sind ebenfalls wichtige Gesichtspunkte. Anbieter von IoT-Lösungen brauchen schnellere Vorgehensweisen und eine taugliche Anleitung. Gleichzeitig müssen sie ihre eng getakteten Produktionspläne einhalten - ansonsten verzögert sich die Markteinführung der Produkte.

An dieser Stelle bieten Anleitungen von Expertinnen und Experten dazu, wie man Zertifikatsprofile am besten konfiguriert, und Vorlagen für das Identitätsmanagement einen erheblichen Mehrwert. Bei der Registrierung der IoT-Geräteidentität werden auch zertifikatsbasierte Geräteauthentifizierungsprotokolle definiert, um angemessene Sicherheitsstufen festzulegen.

Kritische IoT-Infrastrukturbetreiber

Betreiber von kritischen IoT-Infrastrukturen sind in der Lieferkette etwas weiter hinten angesiedelt. Dazu zählt jede Organisation, die mehrere Geräte verwaltet, einen IoT-Dienst anbietet oder über eine IoT-Plattform oder -Anwendung verfügt. Das können Netzbetreiber, Regierungseinrichtungen/Kommunen, Smart-Grid- und Smart-Building-Betreiber oder auch Transportunternehmen sein.

Während IoT-Hersteller Geräteidentitäten mit PKI und Identitätsregistrierung bereitstellen, sind kritische Infrastrukturbetreiber die Hauptnutzer dieser Identitäten. Für sie ist Interoperabilität entscheidend. Das heißt, sie müssen sicherstellen, dass jedes Gerät, unabhängig vom Hersteller, angeschlossen werden kann – also, dass unterschiedliche Geräte ordnungsgemäß identifiziert, authentifiziert und sicher online geschaltet werden können. Sie befassen sich mit Datenintegrität, Datenschutz und sicherer Kommunikation. Ihre Netzwerke sind weiterhin gegen Eindringlinge von außen gesichert, die beispielsweise Unternehmensspionage betreiben, einen Angriff planen, um Geräte zu übernehmen oder nach Hintertüren fahnden, um so das komplette Netzwerk zu infiltrieren. Für kritische IoT- Infrastrukturbetreiber bedeutet das Sichern einer vernetzten Lieferkette, dass die Produkte, die sie von einem OEM, ODM oder EMS erhalten haben, nachweislich echt sind und zu keinem Zeitpunkt manipuliert wurden. Bei der Verwaltung von Geräteidentitäten, die von Herstellern bereitgestellt wurden, profitieren sie am stärksten von einer PKI.

Die IoT-Geräteidentität ist der erste Schritt bei der Registrierung von PKI und Identität

PKI sind die De-facto-Plattformen für Anmeldeinformationen im Bereich IoT-Security. Darüber hinaus werden sie von den meisten der führenden IoT-Plattformen unterstützt. Halbleiterhersteller, OEMs, ODMs, EMSs und kritische IoT-Infrastrukturbetreiber verlassen sich auf IoT-Geräteidentitäten und die PKI, um ihre Geräte, Netzwerke und Ökosysteme abzusichern.

PKI-Experten, die einen sicheren, skalierbaren und interoperablen Dienst zur Registrierung von Geräteidentitäten bereitstellen, der auf einer einzigen, leistungsstarken Identitäts-Cloud-Plattform basiert, eröffnen einen bewährten Weg, um Geräteidentitäten bereitzustellen und zu verwalten.

Damit lassen sich Zertifikatsidentitäten über den gesamten Lebenszyklus hinweg verwalten, man überwindet innerbetriebliche Probleme mit einer PKI oder bei der Identitätsregistrierung und man räumt potenzielle Hindernisse bei der Geräteidentität aus dem Weg.

* Lancen LaChance arbeitet als Vice President für Produktmanagement, IoT-Lösungen und ist verantwortlich für die Steuerung der gesamten IoT-Produktstrategie, Partnerschaften und die Roadmap bei Global Sign.

(ID:47138465)