Geräteidentitäten: Warum das IoT PKI benötigt

Die Anzahl der zu schützenden Identitäten ist rasant gestiegen. Dazu gehören neben denen von Mitarbeitern und Systemen auch die von IoT-Einheiten. Ein strategischer Ansatz hilft.

Die Sicherung der Geräteidentitäten ist ein immer wichtigeres Anliegen für Unternehmen und Cybersicherheitsverantwortliche, die sich auf das relativ neue Terrain des IoT (Internet of Things) der Dinge wagen. Sicherheitsbewusste IT-Führungskräfte haben viel Zeit und Ressourcen in die Sicherung von Benutzeridentitäten investiert, indem sie den Zugang zu sensiblen Ressourcen einschränken und die Berechtigungen auf der Grundlage der Rollen der Benutzer im Unternehmen kontrollieren. Doch vielen ansonsten vorausschauenden Unternehmen fehlt eine Strategie für die integrierte Absicherung von Geräteidentitäten.

Die Anzahl der Geräte, Maschinen und Rechner sowie die Ausprägung deren Identitäten sind im letzten Jahrzehnt explodiert. Zu diesen Identitäten gehören nicht nur die von Mitarbeitern verwendeten Geräte, sondern auch Algorithmen, APIs, Server, Cloud-Systeme, Container und andere digitale oder synthetische Akteure.

Hinzu kommen IoT-Geräte wie Umweltsensoren, vernetzte Industrieanlagen, medizinische Geräte und intelligente Haushaltsgeräte. Die Zahl der Maschinenidentitäten übersteigt die Zahl der Benutzeridentitäten in einem durchschnittlichen Unternehmen um das Zehnfache, und dennoch werden sie von der IT-Abteilung nicht in gleichem Maße geprüft wie menschliche Identitäten.

Viele Unternehmen sichern Maschinenidentitäten durch die Verwendung von X.509-Zertifikaten. Diese Zertifikate funktionieren wie ein Reisepass, mit dem Menschen, Geräte und Anwendungen sicher miteinander interagieren können. Wenn ein Zertifikat abläuft oder kompromittiert wird, kann das katastrophale Folgen haben.

Daher ist die regelmäßige Aktualisierung dieser Zertifikate von größter Bedeutung. Leider wissen 74 Prozent der Unternehmen nicht einmal, wie viele Schlüssel und Zertifikate sie besitzen, geschweige denn, wo sie sich befinden oder wann sie ablaufen. Dies bietet eine große Angriffsfläche für Angriffe gerade durch Schadsoftware und Erpressungssoftware. Ohne Transparenz darüber, welche Zertifikate überhaupt in Gebrauch sind, bleibt ein über die Geräteidentität verübter Angriff auf firmeninterne Daten wahrscheinlich unentdeckt, bis er bereits großen Schaden angerichtet hat.

Eine Public-Key-Infrastruktur (PKI) stellt eine Reihe von Prozessen und Tools zur Verwaltung von Zertifikaten dar, die eine Lösung für diesen Mangel an Transparenz bieten. Sie verschafft IT-Verantwortlichen einen umfassenden Überblick darüber, welche Zertifikate ablaufen oder gefährdet sind, und macht den Prozess der Ausstellung eines neuen Zertifikats effizient. PKI-Plattformen und Servicemodelle können viele der für die Verwaltung von Geräteidentitäten, gerade im IoT, erforderlichen Prozesse automatisieren, so dass sich Sicherheitsteams auf übergeordnete Ziele konzentrieren können.

PKI ist der Schlüssel zur Skalierung der IoT-Produktion

X.509 Zertifikate sind viel effizienter als der Aufbau von Vertrauen durch Benutzernamen, Kennwörter und Token. Diese Authentifizierungsmethoden sind für IoT-Unternehmen, die Hunderttausende, wenn nicht gar Millionen von Geräten herstellen, nicht skalierbar. Jedes Gerät, das vom Fließband kommt, benötigt eine eigene Identität und somit sein eigenes Zertifikat, oft sogar mehrere: eine Identität des Herstellers, eine des Gerätebesitzers und weitere für den Zugriff auf verschiedene Dienste wie externe Cloud-Anbieter. Jede Identität ist ein potenzieller Angriffsvektor, wenn sie nicht wirksam geschützt ist.

Es gibt keine Möglichkeit, diese Lebenszyklen ohne Automatisierung zu verwalten, dennoch verlassen sich viele Unternehmen auf die manuelle Verwaltung von Schlüsseln und Zertifikaten. Dadurch entsteht eine massive Einschränkung in der Absicherung des Lebenszyklus von IoT Produkten.

Eine PKI-Lösung kann bei der Verwaltung von Zertifikaten über den gesamten Entwicklungs-, Produktions- und Nutzungslebenszyklus hinweg absichern und somit die Skalierung erleichtern und eine schnellere Innovation ermöglichen.

Andreas Philipp, Keyfactor

“PKI-Plattformen und Servicemodelle können viele der für die Verwaltung von Geräteidentitäten, gerade im IoT, erforderlichen Prozesse automatisieren, so dass sich Sicherheitsteams auf übergeordnete Ziele konzentrieren können.“

Andreas Philipp, Keyfactor

Das IoT ist eine sich schnell entwickelnde Branche. Die Vorschriften sind mitunter noch lückenhaft, täglich tauchen neue Anwendungsfälle auf und neue Technologien auf. Aber auch zunehmend neue Verordnungen und branchenspezifische Standards und Vorgaben beeinflussen die Branchenlandschaft. Es gibt nicht viele branchenübergreifende Best Practices, Standards und Frameworks, doch PKI ist einer der wesentlichen Sicherheitsbausteine, die bis dato noch in jedem Standard oder RFC zu identifizieren ist. 

Einige Unternehmen versuchen, ihre eigene interne PKI-Plattform aufzubauen, aber die potenziellen Kostenvorteile wiegen die Risiken und den Ressourcenverbrauch selten auf. Eine PKI-Initiative, die von einem unerfahrenen Team durchgeführt wird, kann am Ende teurer sein als ein Outsourcing des Projekts, und die Ergebnisse lösen das Problem möglicherweise nicht vollständig. PKI ist ein sehr spezifisches Gebiet mit vielen potenziellen Gefahren, und IoT-Organisationen benötigen ein ganzes Team hochqualifizierter Spezialisten, die sich ausschließlich mit PKI beschäftigen. Das Thema kann nicht einfach auf dasselbe IT-Team abgewälzt werden, das auch für die Aufrechterhaltung des Kerngeschäftsbetriebs zuständig ist. Auch wenn bei der Auslagerung einer so wichtigen Sicherheitsfunktion Vorsicht geboten ist, können erfahrene PKI-as-a-Service-Anbieter die PKI oft zu einem Bruchteil der Kosten automatisieren, sichern, bereitstellen und skalieren, die bei der Entwicklung und dem Betrieb eines internen PKI-Systems anfallen würden.

Fazit

Das IoT wird sich als Industrie mit seinen eigenen Märkten weiterentwickeln und in rasantem Tempo wachsen. Unternehmen, die die IoT-Sicherheit vernachlässigen, geraten in die Schlagzeilen und müssen mit Imageschäden und finanziellen Verlusten rechnen. Die Fähigkeit, Sicherheit zu skalieren und die sich ausbreitenden Geräteidentitäten zu verwalten und gleichzeitig Kosten, Aufwand und Risiken zu minimieren, ist der Schlüssel zum Erfolg von IoT-Herstellern, und PKI ermöglicht es Unternehmen, sich auf die Entwicklung effektiver Produkte statt auf die Verwaltung von Zertifikaten zu konzentrieren.

Über den Autor:
Andreas Philipp ist Business Development Manager IoT bei Keyfactor.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Identity and Access Management (IAM)