Verschlüsselung und Authentifizierung
Security by Design und die Rolle von Standards
Geräte-Hersteller und -Anbieter sind dazu übergegangen, bereits in den ersten Design- und Entwicklungsstufen Sicherheitsfunktionen in die Produkte und Lösungen einzubauen
Von Lila Kee, Chief Product Officer bei GlobalSign
(16.12.15) - Wenn es um Sicherheit im Internet der Dinge (Internet of Things, kurz IoT) geht, stehen untereinander verbundene und vernetzte Geräte im Fokus des Medieninteresses. Typische Szenarien, die diskutiert werden, sind beispielsweise "Was genau passiert, wenn ein mit dem Internet und gegebenenfalls einem anderen Gerät verbundenes Thermostat, ein Kühlschrank oder ein Fitnessgerät ins Visier eines Angriffs geraten?". In diesen Fällen ist die Privatsphäre des Konsumenten ebenso bedroht wie die Datensicherheit als solche. Und das sehr direkt, unter Umständen verbunden mit einem nicht unerheblichen finanziellen Schaden.
Noch schlimmer könnte es kommen, wenn industrielle Komponenten, Geräte oder mit dem Internet verbundene kritische Infrastrukturen gehackt werden. Allerdings versprechen Unternehmen sich gerade von IIoT-Geräten (Geräten im sogenannten "Industriellen Internet der Dinge") weniger Kostenaufwand und mehr Effizienz. Genau das treibt den Markt an. Trotzdem bleibt die technische und betriebliche Sicherheit mit ganz realen Problemen verbunden.
Genau deshalb sind die Hersteller und Anbieter von Geräten inzwischen dazu übergegangen, bereits in den ersten Design- und Entwicklungsstufen die entsprechenden Sicherheitsfunktionen in die Produkte und Lösungen einzubauen.
Eine zentrale Rolle spielt die Public Key Infrastruktur. Es handelt sich dabei um einen altbewährten Standard, der die Verbindungen zwischen Servern, Rechnern und Geräten sichert, und augenscheinlich eignet er sich ausgezeichnet für die erforderlichen Sicherheitsmaßnahmen im IoT. Darin sind sich Analysten, Branchenexperten sowie Organisationen, die IIOT-Sicherheitsstandards unterstützen und vorantreiben weitgehend einig. Alle prognostizieren, dass es im kommenden Jahr ein weiter steigendes Interesse an PKI für den IoT-Markt geben wird.
Eine dieser Organisationen ist das Industrial Internet Consortium (IIC) in dem auch GlobalSign vertreten ist. Das IIC ist eine partnerschaftliche Vereinigung von Industrie, öffentlichen Einrichtungen und Forschungsinstituten. Ziel der gemeinsamen Anstrengungen ist es, Best Practices für das Industrial Internet einzuführen. Das Industrial Internet (II) ist der Teil des IoT, der komplexe physikalische Maschinen mit vernetzten Sensoren und Software-Anwendungen verbindet. IAM- und PKI-Lösungen richten sich direkt an den Bedürfnissen des Industrial Internet aus.
Gleichzeitig werden Fragen in den Mittelpunkt rücken, wie PKI sich weiterentwickeln und an veränderte Bedingungen anpassen muss. Schließlich geht es um potenziell Milliarden von mit dem Internet verbundenen Geräten beziehungsweise Dingen. Keine ganz triviale Aufgabe diese in einem vernetzten Umfeld sicher zu verwalten.
Drei Kernthemen 2016 und drei Empfehlungen an Sicherheitsverantwortliche/CSOs
Im Wesentlichen werden aus Sicht eines Sicherheitsanbieters wie GlobalSign drei Themen 2016 besonders wichtig werden:
Verschlüsselung und gegenseitige Authentifizierung werden innerhalb des geschützten Netzwerk-Perimeters eines Unternehmens dazu dienen Bedrohungen und Sicherheitsverletzungen abzuwehren. Im Einklang mit den traditionellen IT-Sicherheitskonzepten ist die vorrangige Aufgabe einer PKI die starke Authentifizierung. Authentifizierung, um Geräte für Cloud-Services zu authentifizieren, zwischen Anwender und Gerät aber auch von Gerät zu Gerät. Was viele Experten schon betont haben: PKI wird schon jahrzehntelang erfolgreich eingesetzt, um Rechner und Server zu authentifizieren. Da immer mehr Geräte online verbunden sind, wie zum Beispiel intelligente Stromnetze, kritische Infrastruktureinrichtungen, Monitore im Gesundheitswesen und so weiter, ist der Datenschutz an dieser Stelle eine der großen Sorgen. Es ist essentiell, dass die Kommunikation zwischen den Geräten verschlüsselt ist. Mit PKI werden grundlegende und notwendige Mechanismen implementiert, um sensible Daten zu verschlüsseln und wirksam zu schützen.
Identitäten für Dinge werden die Identitäten für Benutzer zahlenmäßig hinter sich lassen. Im Internet of Everything sind Identitäten ein Wegbereiter für bessere Zusammenarbeit. Das ist die eine Seite. Die andere sind wachsende Sicherheitsanforderungen. Das schafft neue Geschäfts-modelle für Hersteller, Dienstleister, Entwickler und Unternehmen. Man braucht also Identitäten, die in ganz verschiedenen Ökosystemen und Branchen einsetzbar sind. Menschen, Geräte, Transaktionen und Geschäftsprozesse sind in großer Zahl betroffen. Für ein sicheres Internet of Everything sind Standards, Identity Federation und vertrauenswürdige Identitäten zentrale Bausteine.
Mehr nationale ID-Programme und -Banken werden zu vertrauenswürdigen Identitätsanbietern (IDPs) mit einem hohen Sicherheitsniveau. In einer Sharing Economy, in der Unternehmen wie Uber und Airbnb Menschen weltweit miteinander verbinden, wird die Verifizierung von Identitäten zunehmend schwierig. Die einzige Möglichkeit, eine Online-Identität zuverlässig nachzuweisen, besteht darin, eine amtliche elektronische Identität oder notfalls eine von einer Bank ausgestellte elektronische Identität, zu verwenden. Diese Identitäten erfordern eine persönliche Registrierung. Ein weiteres Ausweisdokument, wie beispielsweise der Reisepass, wird verwendet, um die Identität zu verifizieren, bevor die elektronische Identität ausgestellt wird. Im Hintergrund werden offizielle Datenbanken und andere Ressourcen abgefragt um die Identität einer Person zusätzlich zu verifizieren.
Was CSOs weltweit empfohlen wird
Einen Sicherheitsanbieter auswählen, der flexible und skalierbare Lösungen anbietet. Lösungen, die auch wechselnden und vor allem wachsenden Anforderungen gerecht werden.
Verfolgen Sie aktiv wie Industriestandards sich weiter entwickeln. Vor allem, wenn es um IoT-Sicherheitsstandards und die entsprechenden Rahmenbedingungen geht. Hier finden Sie quasi eine Blaupause um Sicherheitsrichtlinien angemessen zu implementieren.
Führen Sie sich die jüngsten hochkarätigen Angriffe vor Augen, erinnern Sie sich, wo diese Angriffe ihren Ursprung genommen haben. Versuchen Sie die Natur von Schwachstellen, sowohl von internen als auch von externen, im Detail nachzuvollziehen. Auf dieser Basis sollten Sie die erforderlichen Maßnahmen ergreifen, um das Sicherheitsniveau zu gewährleisten, das Ihr Unternehmen braucht.
Kurzbiografie Lila Kee Als Chief Product Officer (Vorstand Produktmanagement) bei GlobalSign, konzentriert sich Lila Kee auf die Vision im Hinblick auf GlobalSign-Produkte und das Produktmarketing des weltweit agierenden Unternehmens. Lila Kee kam bereits mit mehr als 20 Jahren PKI-Erfahrung zu GlobalSign. Zuletzt war sie bei GeoTrust beschäftigt (einem Unternehmen der VeriSign-Gruppe), wohin sie 2003 als Senior Product Manager wechselte. Weitere Karrierestationen waren die Position als Strategic Account Manager bei RSA (heute die Sicherheitsabteilung von EMC), über 14 Jahre war Kee im Produktmanagement von CyberTrust tätig, einem Ableger von GTE Government Systems, der später von Baltimore Technologies übernommen wurde. Lila hat einen B.S. Abschluss in Betriebswirtschaftslehre mit Schwerpunkt Finanzen mit Nebenfach Politikwissenschaft; Magna Cum Laude von der Northeastern University und einen MBA-Abschluss vom Bentley College.
(GMO GlobalSign: ra)
GMO GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
