Das Internet der Dinge (Internet of Things, IoT) leidet wie jede sich schnell entwickelnde Technologie unter einer Reihe von „Wachstumskrankheiten“, von denen das Sicherheitsproblem das schwerwiegendste ist. Je mehr „intelligente“ Geräte mit dem Netzwerk verbunden sind, desto höher sind die Risiken, die mit dem unbefugten Zugriff auf das IoT-System und der Nutzung seiner Funktionen durch Angreifer verbunden sind. Heutzutage zielen die Bemühungen vieler Unternehmen und Organisationen auf dem Gebiet der IT darauf ab, Lösungen zu finden, die Bedrohungen minimieren, die die vollständige Implementierung von IoT behindern.
Klug aber verletzlich
Die Entwicklung des Konzepts des Internet der Dinge und seine Implementierung in verschiedenen Bereichen sieht das Vorhandensein von mehreren zehn Milliarden eigenständigen Geräten vor. Laut dem
Statista- Portal gibt es 2017 bereits mehr als 20 Milliarden von ihnen, und bis 2025 werden mindestens 75 Milliarden erwartet. Alle von ihnen sind mit dem Netzwerk verbunden und übertragen über dieses Netzwerk Daten, die ihrer Funktionalität entsprechen. Sowohl Daten als auch Funktionen sind Ziele für Angreifer, was bedeutet, dass sie geschützt werden müssen.
Bei IoT-Geräten besteht die Sicherheit in erster Linie in der Integrität des Codes, der Authentifizierung von Benutzern (Geräten), der Einrichtung von Eigentumsrechten (einschließlich der von ihnen generierten Daten) und der Fähigkeit, virtuelle und physische Angriffe abzuwehren. Tatsächlich sind die meisten IoT-Geräte, die heute funktionieren, nicht mit Sicherheitsfunktionen ausgestattet. Sie verfügen über externe Steuerungsschnittstellen und Standardkennwörter, dh sie weisen alle Anzeichen einer Web-Schwachstelle auf.
Wir erinnern uns noch an die Ereignisse vor einem Jahr, als das Mirai-Botnetz durch Auswahl von Kombinationen aus Standardanmeldungen und -kennwörtern eine große Anzahl von Kameras und Routern hackte, die später für einen leistungsstarken DDoS-Angriff auf die Anbieternetzwerke UK Postal Office, Deutsche Telekom, TalkTalk, KCOM und Eircom verwendet wurden. In diesem Fall wurde die „Bootforce“ von IoT-Geräten mithilfe von Telnet ausgeführt, und Router wurden mithilfe der Protokolle TR-064 und TR-069 über Port 7547 gehackt.
Aber die Resonanz war vielleicht der Angriff, der den DNS-Betreiber DYN und damit fast das "halbe Internet" der Vereinigten Staaten brachte. Für den Botnet-Angriff wurde der einfachste Weg über die Standard-Geräteanmeldungen und -Kennwörter verwendet.
Diese Ereignisse haben die Lücken in IoT-Systemen und die Verwundbarkeit vieler intelligenter Geräte deutlich gemacht. Es ist klar, dass Ausfälle von Smartwatches oder Fitness-Trackern nicht viel Schaden anrichten, außer der Frustration ihrer Besitzer. Das Hacken von IoT-Geräten, die Teil von M2M-Systemen und -Diensten sind und insbesondere in kritische Infrastrukturen integriert sind, ist jedoch mit unvorhersehbaren Konsequenzen verbunden. In diesem Fall sollte der Grad ihrer Sicherheit der Bedeutung dieser oder jener Infrastruktur entsprechen: Verkehr, Energie oder eine andere, von der die lebenswichtige Tätigkeit der Menschen und die Arbeit der Wirtschaft abhängen. Auch auf Haushaltsebene können Ausfälle und Angriffe auf dasselbe „intelligente“ Haussystem zu lokalen kommunalen oder anderen Notfällen und gefährlichen Situationen führen.
Natürlich gab es auch in Zeiten vor dem Internet Bedrohungen für die Infrastruktur - zum Beispiel aufgrund derselben Naturkatastrophen oder der Fehler von Designern. Mit dem Aufkommen von Geräten, die mit dem Netzwerk verbunden sind, wurde jedoch ein weiteres hinzugefügt, das wahrscheinlich um eine Größenordnung schwerwiegender ist - ein Cyber-Angriff.
Gerätezertifizierung
Das bestehende Sicherheitsproblem von IoT-Geräten trat nicht aufgrund technischer Dummheit oder Nachlässigkeit ihrer Entwickler auf. Hier bleiben die Ohren bei einer nüchternen Berechnung: Die Geschwindigkeit des Markteintritts bietet einen Vorteil gegenüber Wettbewerbern, wenn auch nicht lange, und sogar aufgrund der niedrigen Sicherheitsschwelle.
Die meisten Hersteller machen sich nicht die Mühe, Zeit und Geld für die Entwicklung und Prüfung der Codes und Sicherheitssysteme ihrer „intelligenten“ Produkte aufzuwenden.
Eine Möglichkeit, sie dazu zu bringen, ihre Einstellung zur Sicherheit ihrer IoT-Produkte zu überdenken, ist die Zertifizierung. Die Idee ist nicht neu, verdient aber dennoch Aufmerksamkeit, zumindest ist dies zumindest eine Möglichkeit, das Problem zu lösen. Das Zertifizierungsverfahren für IoT-Geräte sollte nicht bürokratisch sein und dem Käufer die Garantie geben, dass es einen gewissen Schutz vor Hackerangriffen bietet. Zunächst kann bei der Durchführung von staatlichen und Unternehmensbeschaffungen die Notwendigkeit eines Sicherheitszertifikats angegeben werden.
Heute sind auch mehrere private Unternehmen in Zertifizierungsfragen involviert. Insbesondere die Online Trust Alliance (OTA) ergriff die Initiative, um die IoT-Sicherheit auf Landes- und Herstellerebene zu verbessern, indem sie das
IoT Trust Framework veröffentlichte , eine Liste von Kriterien für Entwickler, Gerätehersteller und Dienstanbieter, die ihre Sicherheit, Privatsphäre und ihren Lebenszyklus verbessern möchten. IoT-Produkte. Erstens konzentriert es sich auf vernetzte Heim-, Büro- und tragbare Geräte und ist eine Art Verhaltenskodex für Empfehlungen und die Grundlage für mehrere Zertifizierungs- und Risikobewertungsprogramme.
In diesem Jahr startete die unabhängige Abteilung von Verizon, ICSA Labs,
ein Sicherheitstestprogramm und die Zertifizierung von IoT-Geräten. Laut seinen Entwicklern ist es eines der ersten seiner Art und testet Komponenten wie Benachrichtigung / Protokollierung, Kryptografie, Authentifizierung, Kommunikation, physische Sicherheit und Plattformsicherheit. Zertifizierte Geräte werden mit einem speziellen ICSA Labs-Zulassungszeichen gekennzeichnet, das angibt, dass sie getestet und die entdeckten Schwachstellen behoben wurden. Auch zertifizierte Geräte werden während ihres gesamten Lebenszyklus überwacht und regelmäßig getestet, um ihre Sicherheit zu gewährleisten.
Das
Test- und Zertifizierungsprogramm der UL Cybersecurity Assurance (CAP) zielt
wiederum darauf ab, die Sicherheit von Produkten und Systemen zu gewährleisten. Die CAP-Zertifizierung bestätigt, dass ein Produkt oder System einen angemessenen Schutz gegen Risiken bietet, die zu unbeabsichtigtem oder nicht autorisiertem Zugriff, Änderung oder Ausfall führen können. Darüber hinaus bestätigt CAP, dass zukünftige Patches, Updates oder neue Softwareversionen für ein zertifiziertes Produkt oder System das zum Zeitpunkt der Evaluierung bestehende Schutzniveau nicht verringern.
Viele IoT-Sicherheitsexperten glauben jedoch, dass der größte Vorteil solcher Zertifizierungsprogramme darin besteht, nicht nur ein bestimmtes Gerät, sondern das gesamte Ökosystem zu testen: seine Infrastruktur, Anwendungen usw. Schließlich kann ein getestetes und sicheres IoT-Gerät auch während der Interaktion innerhalb des Systems ausfallen.
Zertifizierungsprogramme haben unbestreitbare Vorteile für die Entwicklung des Internet der Dinge und haben einen Nachteil. Die bloße Tatsache, dass das Testgerät bestanden wurde und ein Zertifikat verfügbar ist, kann keine 100% ige Garantie für seine Sicherheit sein, da es höchstwahrscheinlich immer noch bestimmte Mängel aufweist. Übermäßiges Vertrauen in ein Sicherheitszertifikat kann Benutzern mit individuellen Anforderungen und verschiedenen Anwendungen für ihre Geräte einen Streich spielen, was ihre eigenen Risiken und Bedrohungen bedeutet. Und natürlich ist die Möglichkeit eines Missbrauchs nicht ausgeschlossen. Sicherlich gibt es Hersteller, die für die "Quasi-Zertifizierung" bezahlen und rein kommerzielle Ziele verfolgen.
Es scheint, dass eine globale Lösung des Sicherheitsproblems durch Zertifizierung eine einheitliche Lösung erfordert, ein gemeinsamer Anreiz für alle Hersteller, sichere Geräte herzustellen, und für Verbraucher, keine Geräte zu kaufen, deren Sicherheit durch nichts bestätigt wird. Was es sein sollte - gesetzgeberisch, wirtschaftlich oder strafend - muss noch entschieden werden. Letztendlich sollte das Ergebnis die Sicherheit des globalen IoT-Systems sein.
Blockchain-Technologie
Die Sicherheit des Internet der Dinge war einer der ersten Einsatzbereiche der Blockchain-Technologie. Dank der Technologie der verteilten Registrierung wurde es möglich, ein hohes Maß an Sicherheit für IoT-Geräte im Netzwerk zu gewährleisten und die bestehenden Einschränkungen und Risiken für das IoT im Zusammenhang mit der Zentralisierung zu beseitigen.
Sie können die Austauschprotokolle und die Ergebnisse der Interaktion verschiedener IoT-Geräte in einem dezentralen System schnell und sicher speichern. Es ist die verteilte Architektur der Blockchain, die die ausreichend hohe Sicherheit des gesamten IoT-Systems garantiert. Wenn jedoch einige der Netzwerkgeräte im Allgemeinen immer noch gehackt werden, hat dies keine Auswirkungen auf den Gesamtbetrieb des Systems. Die erwähnte Verwendung von „intelligenten“ Geräten, die in IoT-Systemen arbeiten, durch Botnets ist aufgrund ihrer schwachen Sicherheit möglich geworden. Die verteilte Art des Vertrauens ermöglicht es Ihnen, ein gehacktes Gerät loszuwerden, ohne das gesamte Modell der Interaktion zwischen "gesunden" Objekten merklich zu beschädigen.
Im Sicherheitskontext kann Blockchain heute in einer Reihe von Bereichen eingesetzt werden, in denen sich das Internet der Dinge am intensivsten entwickelt. Dies ist beispielsweise das Authentifizierungsmanagement, das Überprüfen des Zustands verschiedener Dienste, das Sicherstellen der Unteilbarkeit von Informationen und anderen. Anfang des Jahres gründeten eine Reihe führender Unternehmen, darunter Cisco, BNY Mellon, Bosch, Foxconn und einige andere, ein
Konsortium , das Lösungen für die Verwendung der Blockchain zur Erhöhung der Sicherheit und zur Verbesserung der Interaktion von IoT-Produkten finden wird. Die Hauptaufgabe, die sich die Mitglieder stellen, ist die Entwicklung einer verteilten Datenbank und eines Protokolls für den Informationsaustausch zwischen IoT-Geräten auf Basis der Blockchain-Technologie.
Beachten Sie, dass das DHS USA seit Januar 2017 die Blockchain-Technologie einsetzt, um Daten zu schützen, zu übertragen und zu speichern, die von der Abteilung von Videoüberwachungskameras und verschiedenen Überwachungssensoren erfasst wurden. Die Technologie wird auch von DARPA getestet, einer Abteilung des US-Verteidigungsministeriums, die die Entwicklung neuer Technologien für die Armee überwacht. Darüber hinaus unterzeichnete eine der Agenturen, die unter dem Dach des Pentagon forschten, einen Vertrag im Wert von mehreren Millionen Dollar mit dem Softwareunternehmen Galois, das Sicherheit im Bereich Blockchain entwickelt.
Bereits heute ist klar, dass es schwierig sein wird, alle Möglichkeiten des IoT-Konzepts für Benutzer zu realisieren, ohne Sicherheits- und Datenschutzprobleme zu lösen. Die oben genannten Methoden zum Schutz des Internet der Dinge sind natürlich nicht erschöpfend. Viele Gruppen, Unternehmen und Enthusiasten arbeiten an einer Lösung des Problems. Vor allem aber sollte ein hohes Maß an Sicherheit für IoT-Geräte das Hauptanliegen ihrer Hersteller sein. Zuverlässiger Schutz sollte zunächst Teil der Produktfunktionen sein und sowohl für Hersteller als auch für Lieferanten komplexer IoT-Lösungen zu einem neuen Wettbewerbsvorteil werden.