Von Chip bis Cloud: End-to-End-Sicherheit für Ihre IoT-Lösung

Unternehmen erschließen neue Wege, um Waren und Dienstleistungen zu liefern. Dabei eröffnet das Internet der Dinge (IoT) neue Möglichkeiten, was gleichzeitig aber auch neue Herausforderungen für die Sicherheit mit sich bringt. Wenn es darum geht, Daten sicher zu erfassen, zu verarbeiten, speichern und zu transportieren, ist es von entscheidender Bedeutung, die entsprechenden Sicherheitsimplikationen zu verstehen. Dies gilt insbesondere in der Entwicklungsphase eines IoT-Projekts.

Wir haben Gary Alterson, VP of Security Services und Amir Kashani, VP of Cloud Native Development & IoT Solutions bei Rackspace Technology® zum Cloud-Talk-Podcast eingeladen. Sie sprachen mit dem Technologie-Evangelisten und Gastgeber Jeff DeVerter darüber, wie IoT-Lösungen gesichert werden können.

Folgende Themen werden im Podcast besprochen:

– Best Practices für den Schutz von IoT-Anwendungen in einer öffentlichen Cloud-Umgebung
– Die Bedeutung von Geräteauthentifizierung, Identitätsmanagement und Kommunikationsverschlüsselung
– Die Bedeutung der Schwachstellenerkennung und des Testens von Kommunikationswegen
– Sicherheitsüberlegungen, die während der gesamten Lebensdauer eines IoT-Projekts zu berücksichtigen sind
– Wie sich Hardware und Software in einer IoT-Initiative sichern lässt

„Organisationen müssen die IoT-Sicherheit auf zwei Arten berücksichtigen. Zunächst muss sichergestellt werden, dass die Gerätehersteller und die Anwendung angemessene Sicherheitsverfahren befolgen. Der zweite Aspekt ist die Kombination von Sicherheitskontrollen für einen Defense-in-Depth-Ansatz zum Schutz kritischer Technologien. Es muss eine Chip-to-Cloud-Sicherheitslösung sein, da jeder Schritt in der Wertschöpfungskette gefährdet sein kann“, erklärt Gary.

Teil dieser umfassenden End-to-End-Sicherheit ist die Sicherung der Kommunikation. Amir erklärt dazu: „Wir wollen keine offene Kommunikation, bei der jeder lauschen kann. Von daher ist eine End-to-End-Verschlüsselung entscheidend. Dies kann eine Herausforderung sein, da IoT-Geräte ressourcenbeschränkt sind. Traditionelle Verschlüsselungsmethoden für Anwendungen oder die Cloud sind nicht anwendbar. Für eine sichere Kommunikation ist Kreativität gefragt. Genau an dieser Kreativität mangelt es jedoch, was einer der Gründe ist, warum es so viele Sicherheitsverletzungen bei IoT-Geräten gibt. Im Laufe der Jahre wurde an allen Ecken und Enden gespart, weil die Sicherung der Kommunikation eine Herausforderung ist.“

Jedes Gerät erfordert Sicherheitsprotokolle – sogar Thermostatsteuerungen für einen Swimmingpool. Amir erklärt:„Es mag wie eine Aktivität mit geringem Risiko erscheinen. Es ist jedoch ein großes Problem, wenn jemand Ihre Gasrechnung in die Höhe treibt oder in Ihr Heimnetzwerk eindringt. Natürlich kann es etwas beängstigend sein. Wenn man jedoch von Anfang an die Sicherheit berücksichtigt, kann das Ganze relativ einfach behoben werden.“

Gary erläuterte ausführlich, wie ein Bedrohungsmodell verwendet werden kann, um die Sicherheit von Anfang an in ein Projekt einzubinden. „Es lohnt sich, die Sichtweise eines Gegners einzunehmen. So lassen sich alle Möglichkeiten in Betracht ziehen, wie externe Akteure Schaden anrichten könnten. Überlegen Sie, auf welche Weise Geräte potenziell missbraucht werden können.“

Sicherheitsschwachstellen können nach der Implementierung der IoT-Anwendung identifiziert werden. Gary führt aus: „Wir haben viele Organisationen angetroffen, die IoT-Geräte nicht aktualisieren können, wenn eine Schwachstelle gefunden wird. Dagegen können Organisationen mit einem guten Sicherheitskonzept die Gerätefirmware aktualisieren, um etwaige Schwachstellen zu beheben. Sie verfügen über strategische Sicherheitspraktiken, erkennen aber auch, dass etwas schief gehen kann.“

Amir erklärt, warum der Fernzugriff von entscheidender Bedeutung ist, wenn eine Sicherheitslücke erkannt wird: „Es mag kontraintuitiv erscheinen, aber wenn Sie die Kommunikation zwischen Ihrem Gerät und Ihrer Cloud gesichert haben, können Sie beide Enden zuverlässig authentifizieren, ohne böswillige Dritte hereinzulassen.“

Sicherheit war nicht das Einzige, was besprochen wurde. Amir erklärte, wie Rackspace Technology dem Beratungsunternehmen Century Engineering bei der Regulierung von Regenwasser und dem Schutz der lokalen Ökologie geholfen hat. Traditionell wurde das Wasser nach einem Regenschauer in Teiche abgelassen, um Überschwemmungen zu verhindern. Für die Tierwelt ist es jedoch besser, das Wasser zurückzuhalten, bis es abkühlt ist. So wurde ein Gerät konzipiert, das den Wasserstand des Teichs überwacht und mit den lokalen Wettervorhersagen gekoppelt ist. „Wir fügen diese zusätzliche Technologieebene hinzu, um die Umwelt zu schützen“, sagt Amir.

Zum Thema Geräte schloss Amir mit folgendem Ratschlag: „Haben Sie keine Angst, sich langsam und bedächtig zu bewegen. Wir leben in dieser agilen Welt, in der wir uns schnell bewegen wollen. Aber wenn Sie es mit Hardware zu tun haben, sollten Sie überlegt vorgehen. Denn wenn sie einmal draußen ist, ist es schwer, sie wieder zurückzubekommen. Testen Sie Ihre Geräte und stellen Sie sicher, dass Sie die Daten und den Wert erhalten, den Sie erwarten.“