Elektronische Zertifikate: integraler Bestandteil der IoT-Sicherheit

Unsplash | Su San Lee
Eine Technologie zum Vertrauen, nicht nur, weil das IoT verletzlich ist. (Bildnachweis: Unsplash | Su San Lee)

Ob Handys, Haushaltsgeräte, Gebäude, Fahrzeuge, Verkehrsleitstellen, Produktionsmaschinen oder komplette Infrastrukturen der Energieversorgung: Immer mehr Objekte und Systeme sind über das Internet of Things (IoT) vernetzt. Daraus ergeben sich zahlreiche Möglichkeiten für Privatanwender und Unternehmen (Öffnet sich in einem neuen Tab). Doch das IoT hat auch eine Schattenseite: Vernetzte Infrastrukturen bieten eine große Angriffsfläche für Cyber-Kriminelle.

Ein besonders beängstigendes Ausmaß können solche Attacken erreichen, wenn sie auf kritische Infrastrukturen wie Kraftwerke, Verkehrsleitsysteme, autonome Fahrzeuge oder ähnlich sensible Bereiche abzielen. So geschehen im Mai 2021 in den USA: Hier gelang es Cyber-Kriminellen (Öffnet sich in einem neuen Tab) die IT des Pipelinebetreibers Colonial Pipeline zu infiltrieren. Sie forderten ein Lösegeld in Millionenhöhe. In der Folge musste das Unternehme seine Systeme herunterfahren. Zeitweise wurde dadurch der Betrieb einer 8.800 Kilometer langen Pipeline, die den Osten der USA mit Treibstoff versorgt, beeinträchtigt. Dadurch kam es zu Benzinengpässen, so hatten in Washington zeitweise 88 Prozent aller Tankstellen keinen Sprit mehr.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält Cyber-Attacken auf kritische Infrastrukturen und industrielle Kontrollsysteme auch hierzulande für realistisch und sieht hierin eine ernsthafte Bedrohung. Entsprechend äußerte sich unlängst der BSI-Präsident Arne Schönbohm (Quelle: wiwo.de). In Summe ist somit klar, dass sowohl IoT-Devices als auch Industrial Control Systems (ICS) angemessen geschützt werden sollten. Andernfalls drohen Störungen, Verluste sensibler Daten, Produktions- und Versorgungsausfälle, Imageverluste, Umweltschäden oder sogar Personenschäden.

Public-Key-Infrastruktur (PKI) als optimale Schutzmaßnahme

Eine bedeutsame Maßnahme zur Absicherung von IoT-Umgebungen und Industrial Control Systems besteht darin, einen sicheren und vertraulichen Datenaustausch zu gewährleisten. Ein Dienstleister, der sich auf dieses Betätigungsfeld spezialisiert hat, ist achelos (Öffnet sich in einem neuen Tab) aus Paderborn. Das herstellerunabhängige Software-Entwicklungs- und -Beratungshaus unterstützt Unternehmen, staatliche Institutionen und Organisationen dabei, ihre vernetzten Lösungen und deren Datenverkehr vor Cyber-Bedrohungen zu schützen.

Für IoT- und ICS-Szenarien empfehlen die Experten den Einsatz einer Public-Key-Infrastruktur (PKI). Es handelt sich hierbei um eine Kryptotechnologie, mit der sich Daten in einem Netzwerk digital signieren und verschlüsseln lassen. Für den sicheren Datenaustausch sorgt ein Paar aus einem öffentlichen und einem privaten Schlüssel. Um eine Datenübertragung zu starten, benötigt der Sender den öffentlichen Schlüssel (Public Key) des Empfängers. Dieser kann beispielsweise von einer vertrauenswürdigen Website heruntergeladen werden. Die Authentizität des Public Key wird mithilfe einer Kette digitaler Zertifikate sichergestellt. In diesem „PKI-Pfad“ bestätigt jedes einzelne Zertifikat das seines Vorgängers.

PKI sichert vier essenzielle Anwendungsfälle ab

Im Detail betrachtet lassen sich mit einer Public-Key-Infrastruktur vier bedeutsame Use Cases von IoT-Geräten abdecken:

  • Sicherstellung der Geräteidentität
  • Update-Management
  • Sicherer Gerätestart
  • Sichere Inbetriebnahme

Für die sichere Geräteidentität erhalten alle Devices ein sogenanntes Birth Certificate, welche für die gesamte Gerätelebensdauer gültig bleibt. Genutzt wird dieses Zertifikat, um das Gerät im Netzwerk eindeutig zu identifizieren und zu authentifizieren. Bei seiner Bereitstellung werden deshalb automatisch ein Schlüssel und das zugehörige Zertifikat (Norm IEEE 802.1 AR) generiert.

Auch regelmäßige Software-Updates haben einen hohen Stellenwert in der IoT- und ICS-Sicherheit, denn sie schützen vor böswilligen Software-Manipulationen und Malware. Aktualisierungen erfolgen automatisch. Bevor sie jedoch starten, wird durch die PKI die Authentizität der Software überprüft und bestätigt. Weiterhin lassen sich mithilfe der hierzu genutzten Zertifikate unterschiedliche Autorisierungen festlegen - etwa zur Aktivierung definierter Funktionen oder zur Genehmigung von Drittanbieter-Software.

Außerdem ist die professionelle Schlüssel- und Identitätsverwaltung Voraussetzung für einen sicheren Gerätestart. Denn sie authentifiziert die Firmware der Devices vor jedem Boot-Vorgang. Somit ist gewährleistet, dass der Integritätscode sicher ist.

Nicht zuletzt unterstützt eine PKI das sogenannte Secure Device Commissioning, also die sichere Inbetriebnahme von IoT-Geräten. Bei diesem Vorgang wird die Sicherheitsverantwortung auf geschütztem Wege an den Betreiber übergeben.

Diese Punkte sind bei der PKI-Implementierung wichtig

Mit einer Public-Key-Inf (Öffnet sich in einem neuen Tab)rastruktur behalten Unternehmen und Organisationen stets die Kontrolle über ihre Systemsicherheit. Zusätzlich halten sie zuverlässig die geltenden Industriestandards für die Absicherung von IoT-Umgebungen ein. Allerdings ist die Einrichtung einer PKI nicht trivial. Dies beginnt bereits bei den zahlreichen Empfehlungen und Normen, die berücksichtigt werden müssen. Hierzu zählen etwa die IEEE 802.1 AR („Trust Model“) und die IEC 62443 (Cybersicherheit in ICS-Systemen).

Weiterhin müssen die Komponenten sowie die benötigten Sicherheitsebenen konzipiert werden. Auf dieser Basis kann dann eine geeignete Software ausgewählt werden. Diese muss hohen Ansprüchen in puncto Normen- und Gesetzeskonformität, Erweiterbarkeit und auch Skalierbarkeit genügen. Weiterhin ist es notwendig, das eigenen IT-Personal zu schulen, die Sicherheit im laufenden Betrieb jederzeit aufrechtzuerhalten und in regelmäßigen Abständen Audits durchzuführen.

Zahlreiche Unternehmen verfügen weder über das notwendige Know-how noch über ausreichend IT-Fachkräfte für die Einrichtung und den Betrieb einer PKI. In solchen Fällen bietet es sich an, die Planung, die Implementierung, den Betrieb und die Überwachung der Infrastruktur an einen professionellen PKI-Anbieter wie achelos auszulagern.

Fazit

Jedes Unternehmen, jede Organisation und jede Institution mit vernetzen Systemen kann Opfer von Datendiebstahl und Cyber-Attacken werden. Somit ist es notwendig, IoT-Umgebungen angemessen zu schützen. Eine Public-Key-Infrastruktur kann in diesem Kontext als optimale Maßnahme bezeichnet werden. Dies gilt vor allem bei der Zusammenarbeit mit dem richtigen PKI-Anbieter, der mit seiner Expertise für den zuverlässigen Schutz seiner Kunden und deren Assets sorgt.