Cybersicherheit von vernetzten Objekten, bewährte Praktiken und Entwicklungen ?

Angriffe auf IoT-Geräte sollen laut Juniper Research zwischen dem ersten Halbjahr 2018 und dem ersten Halbjahr 2019 um das Neunfache gestiegen sein, von 12 Millionen auf 105 Millionen. Um die Herausforderungen und Risiken von Cyberangriffen für Unternehmen, die vernetzte Objekte nutzen, besser zu verstehen, trafen wir uns mitHatem Oueslati, Mitbegründer der Firma IoTeropdie sich auf die Cybersicherheit von vernetzten Objekten spezialisiert hat. Wir werden mit ihm über die Herausforderungen, bewährten Verfahren und technologischen Fortschritte im Zusammenhang mit der Cybersicherheit im IoT diskutieren.

IoTerop, ein Unternehmen, das sich auf die Cybersicherheit von verbundenen Objekten spezialisiert hat

ELA INNOVATION: Herr OUESLATI, können Sie mehr über IoTerop sagen? ? Was ist mit der OMA?

Hatem Oueslati: “IoTerop mit Sitz in Montpellier wurde 2016 von drei ehemaligen Mitarbeitern von Intel gegründet. Ihre Software revolutioniert das Internet der Dinge, indem sie selbst den kostengünstigsten Geräten ein leistungsstarkes, sicheres und zuverlässiges Fernmanagement zur Verfügung stellt. IoTerop ermöglicht den nachhaltigen Einsatz von Millionen von vernetzten Objekten und benötigt dabei nur sehr geringe Hardware- und Energieressourcen. Diese Software basiert auf dem weltweiten Standard Lightweight M2M 1.1, bei dem IoTerop sowohl bei der Definition der Spezifikationen als auch bei der Implementierung eine führende Rolle spielt.

IoTerop ist kürzlich dem Lenkungsausschuss der internationalen Standardisierungsorganisation OMA SpecWorks (https://omaspecworks.org) beigetreten, die Standards für Sicherheit und Fernverwaltung für das Internet der Dinge definiert. Der OMA SpecWorks Lenkungsausschuss besteht aus IoTerop, AT&T, Ericsson, T-Mobile, ARM, Itron und Qualcomm. OMA drängt insbesondere auf die Einführung offener Standards wie OMA Lightweight M2M in der Industrie, die speziell entwickelt wurden, um das Hacken von verbundenen Objekten zu verhindern und die Möglichkeit zu bieten, den massiven Einsatz von verbundenen Geräten aus der Ferne zu verwalten.

Auswirkungen und Risiken der Cybersicherheit von vernetzten Objekten für Unternehmen

ELA : Was sind die Auswirkungen/Risiken für Unternehmen, die vernetzte Objekte verwenden?

Hatem Oueslati: “Die Sicherheit von vernetzten Objekten ist eine monumentale Herausforderung. Eine Sicherheitslücke in einem angeschlossenen Gerät kann schwerwiegende Folgen haben. Denn neben dem Verlust persönlicher Daten kann ein Angriff auf ein verbundenes Objekt für einen Hackerangriff in viel größerem Maßstab genutzt werden, indem es einfach ein Einfallstor für den Zugang zu einem Netzwerk von mehreren Millionen anderer Objekte ist. Im Jahr 2016 wurde der größte DDoS-Angriff (Denial of Service) auf die Dienstleister OVH und Dyn über ein IoT-Botnet gestartet. Der Zugang zu einem großen Teil des Internets, einschließlich Twitter, The Gardian, Netflix, Reddit und CNN, wurde dadurch unterbrochen. Dieses IoT-Botnet wurde durch die Verwendung einer Malware namens Mirai ermöglicht. Sobald die Computer mit Mirai infiziert waren, suchten sie im Internet nach verwundbaren IoT-Geräten (hauptsächlich Kameras und DVR-Player), um diese zu infizieren und für Angriffe auf die Zielseiten zu nutzen.

Wir bedauern, dass die derzeit eingesetzten Lösungen für vernetzte Objekte wenig oder gar keine Sicherheit bieten. In einigen Fällen werden die Daten unverschlüsselt gesendet und können daher sehr leicht von Dritten abgefangen, verfälscht oder missbraucht werden. Verbundene Systeme und ihre Daten müssen durchgehend gesichert werden, indem robuste, zuverlässige und regelmäßig aktualisierte Mechanismen verwendet werden.”

Gute Praktiken zur Vermeidung von Sicherheitsproblemen

ELA: Was sind die besten Praktiken, um sich zu schützen und Cybersicherheitsprobleme zu vermeiden?

Hatem Oueslati: “Sicherheit, Datensammlung und -analyse werden im Zusammenhang mit der zunehmenden Bedeutung des IIoT (Internet of Industrial Objects) zu einer grundlegenden Herausforderung. Die Industrie muss Sicherheitselemente in ihre vernetzten Objekte einbauen, wenn diese entworfen werden. Es ist wichtig, dass diese Sicherheitselemente auf internationalen Standards basieren, um die Offenheit und Interoperabilität der gesamten Lösung und ihrer Wertschöpfungskette zu erhalten. Es ist auch wichtig, einen Sicherheitsmechanismus zu verwenden, der an die Natur des verbundenen Objekts und die Umgebung, in der es sich bewegt, angepasst ist. Man kann ein verbundenes Objekt nicht wie einen PC sichern, sondern muss seine Einschränkungen in Bezug auf Rechenleistung, Speicher, Energieverfügbarkeit und Belegung der Netzwerkbandbreite berücksichtigen. Diese Sicherheitselemente müssen sich im Laufe des Lebenszyklus des Geräts weiterentwickeln können. Neue Schwachstellen werden natürlich auch nach der Einführung gefunden werden, daher muss die Industrie bei der Entwicklung ihrer Objekte Mechanismen für Software-Updates ein planen, um im Laufe der Zeit Sicherheitspatches zu installieren.

Andererseits muss man von Anfang an an eine dynamische und nicht statische Sicherheit des angeschlossenen Objekts denken, indem man sich auf Logiken stützt, die es beispielsweise ermöglichen, die Sicherheitsschlüssel eines Geräts zu ändern, wenn diese kompromittiert wurden, ein Gerät zu widerrufen, wenn es gestohlen wurde, etc. Da der massive Einsatz von vernetzten Objekten in der Industrie relativ neu ist, wenden nur wenige Hersteller diese Methoden an und implementieren die richtigen Lösungen, die für den massiven Einsatz von vernetzten Objekten unerlässlich sind. Dennoch ist dies Teil der Forschungs- und Entwicklungsthemen vieler Unternehmen.

Welche Technologie sollte gewählt werden, um verbundene Objekte zu sichern?

ELA : Was sind Ihrer Meinung nach die am meisten empfohlenen Sicherheitstechnologien für verbundene Objekte?

Hatem Oueslati: “Die Sicherheitsstandards sind ein wichtiges Thema und es gibt heute noch eine Unkenntnis über diese Standards. Ihre Annahme ist jedoch eine Voraussetzung für die Entstehung von vernetzten Objekten in großen Mengen. Die Industrie muss offene Sicherheitsstandards einführen, die es ihr ermöglichen, die Sicherheit der vernetzten Objekte von Anfang bis Ende zu gewährleisten, insbesondere im Hinblick auf die Authentifizierung und die Verschlüsselung der Kommunikation.

IoTerop hat sich zum Ziel gesetzt, Milliarden von vernetzten Objekten zu sichern und fernzusteuern, indem es sich auf Standards stützt, die von internationalen Standardisierungskonsortien festgelegt wurden, insbesondere von der OMA (Open Mobile Alliance), die hinter dem LightWeight M2M-Protokoll steht, und der IETF (Internet Engineering Task Force), die Internetstandards entwickelt und fördert, insbesondere die Standards, die die Internetprotokollsuite (TCP/IP) bilden. Dies sind die erfolgreichsten internationalen Standardisierungsgremien der Industrie. Wir sind in diesen Standardisierungsgremien vertreten und können Vorschläge für die Definition dieser Standards machen.

Die IETF-Standards DTLS, TLS und vor kurzem OSCORE ermöglichen eine effiziente und angemessene Authentifizierung und Verschlüsselung der Kommunikation in vernetzten Objekten. Ein kleiner Nachteil von TLS (über TCP) ist seine Schwerfälligkeit, die insbesondere in begrenzten Netzwerken wie NBIoT von Nachteil ist. Im letzteren Fall ist DTLS (über UDP) oder OSCORE zu bevorzugen, das eine sehr interessante Alternative insbesondere für Nicht-IP-Netzwerke sein kann, die perfekt für LPWAN geeignet ist. Die Sicherheit muss dynamisch gestaltet werden, d.h. Aktualisierungen oder Änderungen der Verschlüsselungsschlüssel müssen aus der Ferne erfolgen können. Dies ist das Interesse der standardisierten COAP- und LwM2M-Schichten, die es verbundenen Objekten ermöglichen, standardisierte Verwaltungsfunktionen wie Bootstrap oder Provisioning von Parametern, Konfigurationen und anderen Sicherheitsschlüsseln zu integrieren (automatische Autokonfiguration und/oder Neukonfiguration bestimmter Parameter, Konfigurationen und Sicherheitsschlüssel auf dynamische Weise beim ersten Start des Geräts).

In dem Maße, wie wir Sicherheitslücken entdecken, müssen wir die Software der Geräte anpassen, um Hacker auszuschließen. Genau dies wird durch LwM2M ermöglicht, ein sehr effizientes End-to-End-Management von Software-Updates für vernetzte Objekte. Dies ist ein wichtiger Punkt, der den Fortbestand und die wirtschaftliche Lebensfähigkeit der eingesetzten Lösungen sicherstellt.

LwM2M von OMA, OSCORE von IETF sind das Beste, was der Stand der Technik im Bereich des Fernmanagements von verbundenen Objekten zu bieten hat, und diese Technologien befinden sich in der Phase der Masseneinführung durch die großen Akteure der Industrie.

Die Zukunft der Sicherheit im IoT

ELA : Wie sieht die Zukunft der Sicherheit von vernetzten Objekten aus?

Hatem Oueslati: “Die großen Telekommunikationsbetreiber, die großen Industrieunternehmen und die Regierungen werden natürlich Regulierungen auferlegen und insbesondere die Verwendung internationaler Standards für Sicherheit und Fernverwaltung für die Hersteller von vernetzten Objekten vorschreiben. Es sind dieselben Akteure, große globale Betreiber, führende Hersteller von Konnektivitätschips und große Anbieter von vernetzten Zählern, die heute an den Technologien arbeiten, die für die Masseneinführung und die Sicherheit vernetzter Objekte am besten geeignet sind. Es gibt immer noch zu viele Fragmentierungen in diesem Bereich und zu viele proprietäre oder nicht ausreichend sichere Lösungen auf dem Markt.

Die Interoperabilität, Fernverwaltung und Sicherheit unserer Smartphones und Internetanwendungen scheint heute eine Selbstverständlichkeit zu sein. Sie sind jedoch nur durch die Annahme offener Standards möglich, die oft von denselben Konsortien initiiert werden.

Über die Verschlüsselung von Daten aus verbundenen Objekten hinaus wird sich der Markt für das Internet der Dinge daher in Richtung mehr Fernverwaltung und mehr Dynamik bei der Sicherung von End-zu-End-Elementen entwickeln.”