fotohansel - Fotolia
Identitäts- und Zugangsmanagement für IoT-Umgebungen
Die IT-Security hat immer noch Schwierigkeiten dabei, alle Geräte im IoT vor Angriffen zu schützen. Erfahren Sie hier, was Sie zum Schutz Ihrer IoT-Umgebung unternehmen können.
Weltweit werden immer mehr IoT-Devices, also mit dem Internet of Things verbundene Geräte eingesetzt. Bis zum Jahr 2025 sollen dann laut einer Schätzung des Marktforschungsunternehmens IDC etwa 41,6 Milliarden mit dem Internet verbundene Devices rund 79,4 Zettabyte an Daten übertragen.
Viele dieser Gerätschaften umfassen mittlerweile auch kritische Infrastrukturkomponenten oder haben Zugriff auf vertrauliche Geschäftsdaten. Solide Zugangskontrollen und eine sichere Authentifizierung werden deswegen auch im IoT immer wichtiger.
Mittlerweile sollte jedem klar geworden sein, dass das Authentifizieren von IoT-Devices unverzichtbar geworden ist, um Angriffe zu verhindern. Nur auf diese Weise kann sichergestellt werden, dass es sich bei den angebundenen Geräten wirklich um die Devices handelt, die sie zu sein vorgeben.
Erst dann können sie als vertrauenswürdig eingestuft werden. Mit sorgfältig geplanten Zugangskontrollen lässt sich zudem festlegen, welche Ressourcen genutzt werden dürfen und in welchem Zusammenhang dies geschehen darf. Nur so lässt sich das Risiko von nicht autorisierten Ereignissen minimieren.
Herausforderungen bei der Zugriffskontrolle in IoT-Umgebungen
Es gibt viele Aspekte, die sichere Mechanismen zur Authentifizierung und für Zugriffskontrollen in einer IoT-Umgebung so schwierig machen. Zum Einen liegt dies daran, dass die meisten Devices selbst nur über geringe Ressourcen verfügen. So haben sie in der Regel nur eine geringe Rechenleistung, wenig Speicher, sind mit einer niedrigen Bandbreite angebunden und haben eine Low-Energy-Versorgung.
Die meisten traditionellen Autorisierungs- und Authentifizierungsmaßnahmen lassen sich wegen dem durch die Protokolle entstehenden Overhead nicht auf IoT-Devices einsetzen. Ein weiteres Problem ist, dass viele Geräte in Umgebungen eingesetzt werden, in denen es nur sehr schwer oder sogar unmöglich ist, für ihre physische Sicherheit zu sorgen.
Außerdem ist eine erhebliche Zahl an möglichen unterschiedlichen Hard- und Software-Konfigurationen mit in die Überlegungen mit einzubeziehen. Das führt zu zahlreichen Geräten, die verschiedene Standards und Protokolle zur Kommunikation im Internet und miteinander verwenden.
Traditionelle IT-Umgebungen sind dagegen weit übersichtlicher. Beispielsweise haben Wissenschaftler mindestens 84 verschiedene Authentifizierungsmechanismen für IoT-Umgebungen gezählt, die 2019 entweder schon im Einsatz waren oder in dem Jahr vorgeschlagen wurden. Dieser Mangel an breit genutzten Standards und IoT-spezifischen Zugangskontrollen macht die Aufgabe nicht leichter, die verwendeten Geräte und Netzwerke vor Angreifern zu schützen.
Drei Ansätze zum Schutz der Zugriffe auf IoT-Devices
Jedes zentralisierte Access-Management-Modell-Gerät ist in Schwierigkeiten, wenn es versucht, Tausende von verteilten IoT-Devices zu verwalten.
Kein bisher verfügbarer Ansatz eignet sich für jedes denkbare Szenario. Hersteller, die ein dezentralisiertes Vorgehen für sichere Zugriffe auf IoT-Devices entwickeln wollen, entscheiden sich oft für die Blockchain-Technologie, um die Probleme der zentralisierten Lösungen zu beheben.
Netzwerk-Admins und Security-Teams sollten sich kontinuierlich über die neuesten Entwicklungen in diesem Bereich informieren. Schon bald ist es möglich, dass ausreichend skalierbare Angebote auf den Markt kommen.
Bis zu diesem Zeitpunkt benötigt jedes IoT-Device aber eine eindeutige Identität, die überprüft werden kann, wenn es sich mit einem Gateway oder einem zentralen Netzwerk verbinden will. Manche der Geräte werden nur anhand ihrer IP- oder MAC-Adresse identifiziert. In anderen wurde darüber hinaus auch ein Zertifikat installiert.
Es entsteht aber derzeit eine weit bessere Methode zur Authentifizierung im IoT. Sie basiert auf maschinellem Lernen. Hier werden sowohl statische Eigenschaften verwendet, aber auch verhaltensbasierte Analysen zu API-, Service- oder Datenbankanfragen.
Zusammengenommen lassen sich damit zutreffende Aussagen über die Identität eines Geräts erstellen. Die Kombination aus Identitätsanalysen und einer Kontrolle des Verhaltens von IoT-Geräten ermöglicht es, die Entscheidungen über Zugriffe fortlaufend an die aktuellen Gegebenheiten und an die jeweilige Umgebung anzupassen. Das funktioniert selbst bei Geräten, die nur über sehr geringe Ressourcen verfügen.
Dieses auf Attribute setzende Zugriffsmodell wägt Anfragen mit einer Reihe von Eigenschaften ab, die sowohl das Gerät selbst als auch die zur Verfügung stehenden Ressourcen, erfolgte Aktionen und den weiteren Kontext einer Umgebung mit in die Entscheidung einbeziehen.
Damit sorgt dieses Vorgehen für weit dynamischere Möglichkeiten bei der Zugriffskontrolle. So kann das Freigeben von Aktionen und Anfragen tatsächlich in Echtzeit erfolgen und sich direkt auf aktuelle Änderungen beziehen. Dabei wird jedoch vorausgesetzt, dass die Administratoren vorher eine Reihe von Attributen und Variablen definieren, aus denen sich dann ein umfassendes Werk an Zugriffsregeln und Richtlinien erstellen lässt.
Mit IoT-Zugriffskontrollen die gesamte IT-Security-Strategie stärken
Starke Mechanismen für Zugriffskontrollen und zur Authentifizierung können erfolgreich Angriffe abwehren. Trotzdem ist auch dies nur ein Aspekt in einer größeren, integrierten Sicherheitsstrategie für das IoT, mit der sich darüber hinausgehende verdächtige Ereignisse entdecken und geeignet beantworten lassen.
Damit diese Strategie aber überhaupt funktioniert, müssen alle vorhandenen IoT-Devices sichtbar gemacht werden, also bekannt sein. Dazu wird die Fähigkeit benötigt, nach allen in einer Umgebung vorhandenen IoT-Geräte zu scannen. Neben dieser Bestandsaufnahme ist auch ein Lifecycle Management für die genutzten IoT-Devices erforderlich.
Nachdem ein Gerät erfolgreich identifiziert und authentifiziert wurde, sollte es einem isolierten Bereich im Netzwerk zugewiesen werden. Dort kann es dann abgetrennt vom Hauptnetz genutzt werden. Zudem sollte ein Monitoring eingerichtet werden, dass das Firmennetz vor Gefahren durch IoT-Angriffe schützen kann.
Die Isolierung sorgt dafür, dass ein verseuchtes IoT-Device von Anfang an auf einen kleinen Bereich eingegrenzt ist. Eine Ausbreitung in andere Teile des Netzwerks wird dadurch erschwert. Alle Maßnahmen zusammengenommen sorgen dann dafür, dass Administratoren in der komfortablen Lage sind, kompromittierte Knoten im Netz identifizieren und leichter isolieren zu können. Außerdem können sie so die Konfiguration der Geräte anpassen und sie mit neuen Patches versorgen.
Das Internet der Dinge verändert nicht nur die Welt, sondern auch wie die IT-Security arbeiten muss. Viele Sicherheitsfirmen sind aber immer noch dabei, sich an die schiere Größe und Komplexität moderner IT-Umgebungen anzupassen. Im Idealfall wird die nächste Generation von Dienstleistungsangeboten aber den Anforderungen des Identitäts- und Zugangsmanagements im Internet der Dinge besser gerecht.