Müssen wir unsere Sicherheit opfern, um Innovationen voranzutreiben? Diesen Eindruck könnte man gewinnen. Dennoch ist dies ein Kompromiss, den sich die meisten nicht leisten können – und zwar unabhängig davon, ob sie das wissen oder nicht.

Auf unserer rasanten Fahrt in eine Welt des IoT (Internet of Things) ist es recht einfach, die tief greifenden technischen Überlegungen zu übersehen, die wir anstellen müssen, wenn wir uns sicher weiter entwickeln möchten. Das IoT bietet allen Nutzern unglaubliche neue Möglichkeiten, von privaten Anwendern über Unternehmen bis hin zu globalen Institutionen. Und das wird immer mehr Menschen klar. Es wäre töricht zu denken, dass Cyber-Kriminelle sich über diese neue technologische Revolution nicht so sehr freuen wie wir. Schließlich bedeutet dieser IoT-Boom auch, dass Schwachstellen und Angriffsmöglichkeiten exponentiell zunehmen.

Häufig ist die Beliebtheit des Internets of Things, die zu seinem astronomischen Aufschwung geführt hat, auch der Grund für die Unsicherheit seiner Produkte. Die hohe Nachfrage nach verbundenen Geräten – sowohl zu Hause als auch in Unternehmen – führt dazu, dass Hersteller neue Produkte auf den Markt bringen, ohne sich über ihre Sicherheit Gedanken zu machen. Die Schwachstellen des IoT, etwa angreifbare Transport-Layer, die Unmöglichkeit von Patches, hartcodierte Passwörter und Standardpasswörter, treten so häufig auf, dass sie mittlerweile schon zum Klischee geworden sind.

Die Sicherheit lässt nicht nur bei der Herstellung, sondern auch bei der Implementierung zu wünschen übrig. Eine kürzlich veröffentlichte Trend-Micro-Befragung ergab, dass 46 Prozent – beinahe die Hälfte – der deutschen IT-Fachkräfte bei IoT-Implementierungen erst nachträglich an die Sicherheit denken. Die Sicherheitsprobleme des IoT betreffen all seine Benutzer, wobei diese zudem noch unterschiedliche Sicherheitsanforderungen haben. Private Nutzer möchten ihre Daten schützen, während Unternehmen ihre Angriffsfläche so klein wie möglich halten möchten. Für Gesundheitsdienstleister geht es aber um viel mehr – nämlich um Menschenleben. Es gibt nur wenige Bereiche, in der die Informationssicherheit des IoT so wichtig ist.

Daten sind das eine – und über das IoT können Kriminelle durchaus reichlich davon stehlen. Wenn es jedoch um sicherheitsrelevante Geräte geht, steht noch viel mehr auf dem Spiel. Hier geht es nicht mehr nur um unsichere smarte Wasserkocher und Fitbits, die zwar zweifelsohne problematisch sind, aber keine Gefahr für Leib und Leben darstellen. Autos, Medizingeräte und industrielle Steuereinheiten gehören ebenfalls zum IoT, und ihre Sicherheit kann über Leben und Tod entscheiden.

Krankenakten im Fokus

Im Brennpunkt des Konflikts zwischen Innovation und Sicherheit liegt das Gesundheitswesen. Es gibt nur wenige Branchen, die mit dem IoT so viel zu gewinnen und so viel zu verlieren haben. Die Entwicklungen in diesem Bereich sollen die Patientenpflege verbessern, die Verwaltung effizienter machen, menschliche Fehler reduzieren und neue revolutionäre Analyse- und Behandlungsmethoden hervorbringen. Diese Vorteile bringen jedoch auch ein größeres Risiko mit sich. Wenn verbundene Medizingeräte nicht richtig geschützt sind, könnten Vorfälle wie die WannaCry-Angriffe auf das britische Gesundheitssystem NHS in Zukunft viel häufiger vorkommen.

Es sind aber nicht nur diese Schwachstellen, die das Gesundheitswesen besonders angreifbar über das IoT machen. Die Daten auf diesen Geräten werden mit hoher Wahrscheinlichkeit einen unvergleichlichen Wert für Cyber-Kriminelle haben. Kreditkartendaten sind vielleicht ein paar Euro wert. Krankenakten lassen sich aber mit bis zu 8,70 Euro pro Stück handeln. Die Daten auf einem Kernspintomografen, der mit dem Internet verbunden ist, müssen einfach die Begierde von Hackern erwecken. Und wenn dann noch ein Ransomware-Angriff hinzukommt, der das Gerät blockiert, verdient der Hacker gleich doppelt – am Lösegeld und am Verkauf der Daten.

PKIs, die digitale Zertifikate verwenden, bieten allen Sektoren, die sich einen Gewinn vom IoT versprechen, eine Möglichkeit, sichere Innovationen zu entwickeln. Public Key Infrastructures (PKIs) mit Zertifikaten bieten den Benutzern die Möglichkeit, die inhärenten Schwachstellen des IoT zu umgehen. Ein starkes PKI-Ökosystem kann die Verbindungen in großflächigen IoT-Netzwerken kontrollieren, in denen unzählige Endpunkte ständig miteinander kommunizieren und Daten hin und her senden. Es bietet eine sichere gegenseitige Authentifizierung zwischen den Geräten, Systemen und Benutzern und stellt so sicher, dass beide Enden der Transaktion vertrauenswürdig sind und die Daten sicher übertragen. Dieses System bietet nicht nur Schutz vor Man-in-the-Middle-Angriffen in diesem Gewirr an Verbindungen, sondern ermöglicht auch uneingeschränktes Vertrauen und schützt die Geräte- und Systemintegrität.

PKIs benötigen keine traditionellen Authentifizierungsmaßnahmen, da sich die Geräte, Systeme und Benutzer gegenseitig authentifizieren. Sie verhindern so Man-in-the-Middle-Angriffe. Bild: DigiCert

PKIs benötigen keine traditionellen Authentifizierungsmaßnahmen und reduzieren so die Folgen menschlicher Fehler. Lösungen wie alphanumerische Passwörter bieten keinen optimalen Schutz, weil Menschen sie nutzen. Wenn wir diese veralteten Sicherheitsmaßnahmen abschaffen, machen wir es Cyber-Kriminellen sehr viel schwerer, da sie nun mehr können müssen als einfache Brute-Force- oder Social-Engineering-Angriffe, die auf gutgläubigen Benutzern beruhen.

Eine PKI-Infrastruktur verschlüsselt die Daten zwischen den Quellen mit der neuesten Verschlüsselungstechnologie. Wenn ein Angreifer es nun dennoch schafft, Daten unterwegs abzugreifen, kann er damit wahrscheinlich nichts anfangen.

PKIs sichern IoT-Umgebungen ab

PKIs beruhen auf interoperablen, standardisierten Protokollen, die für alle zugänglich sind und für das World Wide Web entwickelt wurden. Durch ihre Skalierbarkeit sind sie ideal für Umgebungen von globalen Unternehmen, in denen es zunehmend schwerer wird, die riesige Zahl an kommunizierenden Endpunkten zu überwachen und zu schützen. Immer mehr Branchen wie die Herstellung von Medizingeräten und Autos, in denen die Entwicklung von IoT-Geräten auch eine Sicherheitsfrage darstellt, setzen zunehmend auf diese Lösung, da sie die Sicherheit im großen Maßstab benötigen, die PKIs bieten können.

Zertifikatbasierte PKIs haben bereits bewiesen, dass man sie im großen Maßstab für Web-verbundene Systeme verwenden kann. Es ist ein bewährter Sicherheitsstandard, der sich über Jahrzehnte hinweg in- und außerhalb des Web-PKIs entwickelt hat. Neue Techniken werden wohl immer Risiken mit sich bringen, doch langfristig bewährte und ständig weiterentwickelte Lösungen wie PKIs helfen, Innovationen wie das IoT sicher und vertrauenswürdig zu machen.

Noch immer wissen Hersteller, Anbieter und Behörden nicht, wie sie das IoT in den Griff bekommen sollen. Im Jahr 2017 wurden in Deutschland Smartwatches für Kinder verboten, da sie sich als „Spyware“ missbrauchen lassen. Aber solche Verbote sind nur ein Tropfen auf den heißen Stein. Sowohl in der EU als auch in den USA haben die Regierungen vor Kurzem Vorschläge für IoT-Zertifikate gemacht, damit die Verbraucher bessere Entscheidungen über ihre eigene Sicherheit treffen können. Vieles deutet jedoch darauf hin, dass diese Zertifikate nur freiwilliger Natur sein sollen.

Solange die Gerätehersteller noch daran arbeiten, ihre Praktiken zu verbessern, und Regierungen über Regulierungen brüten, müssen die IoT-Benutzer ihre Sicherheit selbst in die Hand nehmen. Dabei sind Unternehmen mit IoT-Implementierungen nicht auf sich selbst gestellt. Sie sollten sich an Experten wenden, die Erfahrung in der zertifikatbasierten Sicherheit im großen und sogar weltweiten Maßstab haben, damit sie ihnen helfen, die richtige Lösung zu bauen.

Lee Ealey-Newman ist Director EMEA/APAC für PKI & IoT bei DigiCert, www.digicert.com.