Zero Trust für IoT: Prinzipien, Tech-Strategien und Use Cases

Ein aktueller Bedrohungsbericht enthüllt eine schockierende Tatsache: 98 % des gesamten IoT-Datenverkehrs ist unverschlüsselt. Das bedeutet, dass mehr als 25 Milliarden Geräte dem Risiko eines Hackerangriffs ausgesetzt sind. Kein Grund zur Sorge: Hier kann ein Zero-Trust-Ansatz helfen. Diese Methode sieht vor, jedes vernetzte Gerät zu verifizieren, und bietet mehrere technische Strategien zur Sicherung des IoT. Außerdem können sich Unternehmen und Start-ups mit diesem Security-Framework einen Vorteil gegenüber ihren Konkurrenten verschaffen.

Warum scheitert die IoT-Sicherheit?

Der Schutz des IoT ist keine leichte Aufgabe, und traditionelle Sicherheitsmaßnahmen eignen sich für vernetzte Geräte nicht. Das Problem ist, dass IoT eine geringere Verarbeitungsleistung hat. Das erschwert es, Firewalls während der Entwicklung der IoT-Lösungen zu implementieren. Darüber hinaus entstehen aufgrund der Vielfalt der Netzwerke im IoT mehr Sicherheitslücken.

Die Anfälligkeit von IoT-Netzwerken öffnet die Tür für unbefugten Zugriff, Datenschutzverletzungen und DDoS-Angriffe. In die Cloud gesendete Daten und dort ausgeführte Vorgänge können auch Hackern in die Hände spielen. Besonders kritisch werden diese Schwachstellen bei sensiblen Lösungen im Gesundheitswesen.

Das OWASP Internet of Things Project, das Start-ups und großen Unternehmen hilft, die Sicherheit bei der Erstellung von IoT-Geräten zu verbessern, nennt die häufigsten Schwachstellen.

5 Schwachstellen von IoT-Geräten

  1. Schwache, leicht zu erratende oder fest codierte Passwörter. Diese Passwörter enthalten Daten, die öffentlich zugänglich, unveränderbar und durch Ausprobieren leicht zu ermitteln sind. Sie können auch Lücken in der Firmware oder Benutzersoftware enthalten.
  2. Unnötige oder unsichere Netzwerkdienste, die auf dem Gerät laufen und eine Internetverbindung herstellen.
  3. Unsichere Ökosystem-Schnittstellen. Dazu gehören leicht zu erfassende Backend-APIs, Cloud-Umgebungen und mobile Schnittstellen wie fehlende Tools zur Authentifizierung, Autorisierung oder Verschlüsselung)
  4. Keine sicheren Update-Mechanismen, z. B. fehlen eingebettete und mobile Software-Updates, Firmware-Validierung oder Anti-Rollback-Mechanismen.
  5. Unsichere Software-/Hardwarekomponenten von Drittanbietern oder veraltete Softwarekomponenten und Bibliotheken.
Um die Sicherheit der IoT-Lösungen zu gewährleisten, muss man Geräte, Gateways, Verbindungen, Cloud-Umgebungen und Nutzerzugriffe schützen. Genau zu diesem Zweck wurde das Zero-Trust-Sicherheitsmodell entwickelt.

Was steckt hinter einem Zero-Trust-Modell?

Zwei-Faktor-Authentifizierung und Smile-to-Pay-Gesichtsscanning sind zwei anschauliche Beispiele für das Zero-Trust-Sicherheitskonzept. Anders als bei der einmaligen Validierung geht es bei diesem Konzept um die kontinuierliche Überprüfung der Zugriffsrechte von Nutzern und Geräten, auch wenn sie bereits zuvor autorisiert wurden.

Während die traditionelle Netzwerksicherheit auf dem Prinzip „vertrauen, aber verifizieren“ beruht, bedeutet das Zero-Trust-Modell niemals vertrauen, immer verifizieren. Dieses Konzept wurde erstmals in einem Bericht von Forrester Research im Jahr 2010 erwähnt. Ein paar Jahre später setzte Google Zero Trust in seinem Netzwerk ein.

In der IoT-Welt regelt dieser Ansatz die Sicherheit jedes vernetzten Geräts. Da Zero Trust alle Interaktionen als böswillig betrachtet, fordert es jedes Mal einen Identitätsnachweis, wenn ein Gerät auf das Netzwerk zugreift. Das bedeutet, dass die richtigen Eigenschaften und Zugriffsrechte überprüft werden.

Insgesamt bedeutet die Implementierung von Zero Trust im IoT, ein weites Netz auszuwerfen. Es umfasst die Überprüfung der Identität von Nutzern, Geräten, virtueller Infrastruktur und der Cloud-Umgebung. Deshalb ist es wichtig, IoT-Geräte von Grund auf mit digitalen Sicherheitsdiensten auszustatten – vom Hardware-Typ über Patch-Levels bis hin zur App-Funktionalität.

Zero Trust im IoT: die wichtigsten Taktiken und Technologien

Es gibt keine Einheitslösung für den Schutz jedes vernetzten Geräts. Das liegt einerseits an der großen Vielfalt der IoT-Produkte, von  intelligenter Kleidung und Accessoires bis hin zu Krankenhausmonitoren und Industrierobotern. Andererseits umfasst das IoT Hardware, Firmware, Konnektivitätstechnologien und nutzerorientierte Apps. Die vorrangige Aufgabe besteht also darin, jede dieser Komponenten mit einem Cybersicherheit- und einem Zero-Trust-Ansatz zu entwickeln.

Im Gespräch mit Bill Kleyman von Switch nannte IoT World Today fünf Hauptprinzipien des Zero-Trust-Modells für den Einsatz im IoT:

  1. Identifizierung und Schutz aller Arten von Datenflüssen und Diensten, die Geräte nutzen
  2. Kartierung des Datenflusses, Segmentierung des IoT-Datenverkehrs und Überwachung auf verdächtiges Verhalten
  3. Aufbau einer Zero-Trust-Architektur, d. h. Es wird sichergestellt, dass das Gerät immer den Zugriff verifiziert und auf mögliche Datenverletzungen prüft
  4. Entwicklung von Richtlinien für Nutzer und Geräte, z. B. Sperren von Ports und Maschinen, Schulung von Nutzern und Nachverfolgung sensibler Geräte unter der Belegschaft
  5. Überwachung und Unterstützung von Geräten und Testen von Systemen, um jegliche bösartige Aktivität zu verhindern

Im Wesentlichen geht es beim Zero-Trust-Modell um mehr als nur die Überprüfung der Identität von Nutzern und Geräten, die versuchen, auf das Netzwerk zuzugreifen. Denn um verdächtige Aktivitäten aufzudecken, sollten Unternehmen verfolgen, welche Informationen jedes vernetzte Gerät verarbeitet und welche Dienste es nutzt.

Diese Prinzipien des „Null-Vertrauens“ erfordern von Unternehmen den Einsatz zusätzlicher Taktiken und Technologien. Einige Beispiele:

  • Implementierung von Identitäts- und Zugriffsmanagement (IAM), d. h. Einsatz von Tools und Technologien, die bei der Verwaltung des Zugriffs auf verschiedene Datentypen helfen, einschließlich Gerätedaten, sensibler und nicht sensibler Daten. Vorrangig geht es dabei um die Nutzung von Diensten wie Asset- und kryptografische Schlüsselverwaltung. Unternehmen sollten Zertifikate wie Online Certificate Status Protocol (OCSP) oder DNS-based Authentication of Named Entities (DANE) einsetzen, um die Sicherheit zu verbessern.
  • Mikro-Segmentierung. Diese Praxis der Aufteilung von Sicherheitsbereichen in kleine Zonen gewährleistet einen separaten Zugriff auf Teile des Netzwerks. Im Falle eines Angriffs greift der Hacker auf das einzelne Mikrosegment zu, nicht auf das gesamte Netzwerk.
  • Multi-Faktor-Authentifizierung (MFA), die mehr als eine Art der Zugriffsverifizierung kombiniert. Zu den Optionen, die in IoT-Anwendungen eingesetzt werden können, gehören Passwortvalidierung, Security-Tokens, Retina-Scans, Fingerabdrücke sowie Sprach-, Gesichts- und Gestenerkennung.
  • Techniken der künstlichen Intelligenz. ML-Algorithmen und Datenanalysetechniken helfen Unternehmen, Sicherheitsrisiken zu erkennen und Systeme vor Cyberangriffen zu schützen.

So hilft der Zero-Trust-Ansatz, Lösungen zu implementieren, die von Grund auf gegen Hackerangriffe geschützt sind. Mehrere Taktiken und Technologien schützen das IoT, indem sie unterschiedliche Zugriffsebenen auf verschiedene Datentypen bieten und mehrere Arten der Verifizierung unterstützen.

Wie profitieren IoT-Lösungen von Zero Trust?

Unternehmen aus verschiedenen Branchen können Zero-Trust-Ansätze implementieren, um ihre IoT-Lösungen abzusichern und sich so einen Vorteil gegenüber ihren Mitbewerbern zu verschaffen. Hier nur ein paar Beispiele, wie das Zero-Trust-Modell für IoT in Privathaushalten und Geschäftseinrichtungen von Nutzen sein kann:

Smart Homes

Ein typisches modernes Haus ist heute voller IoT-Geräte mit Sicherheitsrisiken. Intelligente Türöffner, CCTV-Außenkameras, HLK-Systeme und Glühbirnen können über ein einziges mobiles Gerät aus der Ferne gesteuert werden. Mit Zero Trust können Security-Tokens das IoT auf der Hardware-Seite schützen. Auf der Benutzerseite verbessert die Multi-Faktor-Authentifizierung die Sicherheit der Geräte: Nutzer können eine PIN eingeben, um sich zu autorisieren, und Gesichts- oder Fingerabdruckerkennung verwenden, um den Zugriff zu verifizieren.

Laut Dr. Zahid Anwar von der Fontbonne University sind die anfälligsten Smart-Home-Lösungen Outdoor-Geräte mit eingebetteten Computern, die nur wenige oder gar keine Sicherheitsprotokolle unterstützen. Ein Hacker kann solche drahtlosen Türklingeln oder Garagentoröffner mit einem WLAN-Sender kompromittieren.

Es ist möglich, solche Sicherheitsprobleme in der Fertigungsphase zu verhindern. Die Verwendung von Sicherheitsprotokollen und die Freigabe von Firmware-Updates sind ein Muss. Zusätzlich ist es wichtig, den Endnutzern zu helfen, sichere Passwörter zu erstellen und das Netzwerk zu „verstecken“. Entwickler können verhindern, dass Nutzer kurze, leicht zu hackende Passwörter erstellen und eine zusätzliche Passwortverschlüsselung hinzufügen.

Newsletter
 

Smart Offices

Büros sind heute vernetzte IoT-Umgebungen. Es gibt Sicherheitskameras, Verkaufsautomaten, Bewegungssensorsysteme, Glühbirnen und Drucker, die miteinander kommunizieren und auf WLAN, Bluetooth und das Internet angewiesen sind.

Die aktuelle Büroinfrastruktur ist nicht gut gegen Hackerangriffe geschützt und daher anfällig für DDoS-Angriffe, Datenschutzverletzungen und Betrug. Im IoT kann dies zu „lustigen“, aber folgenschweren Sicherheitsvorfällen führen. Vor ein paar Jahren hackten Cyberkriminelle das Netzwerk eines Casinos, indem sie sensible Daten über ein mit dem Internet verbundenes Thermometer im Aquarium stahlen.

Früher war biometrische Authentifizierung wie Fingerabdruck-, Retina- oder Gesichtserkennung nur für Sperrbereiche in Banken oder militärischen Einrichtungen Standard. Heute gehört es jedoch zum guten Ton in allen smarten Arbeitsumgebungen.

Mit Zero Trust können Unternehmen ihre Mitarbeiter mit RFID für den Gebäudeeintritt versorgen, den Zugang zu bestimmten Büros über Fingerabdrücke gewähren und für die Nutzung des virtuellen privaten Netzwerks eine PIN verlangen. Und selbst bei pandemiebedingtem Home-Office helfen Zero-Trust-Prinzipien, das Unternehmensnetzwerk zu schützen und alle Verbindungen zu sichern.

Was sind die wichtigsten Gefahren im Jahr 2021?

Für IoT-Unternehmen, die Gesundheitslösungen entwickeln, sind die Corona-Pandemie und der rasante Anstieg von Cyberangriffen die Hauptrisiken im Jahr 2021. Diese Tendenz geht auf das  Jahr 2020 zurück: IoT-Botnet-Angriffe (wie Dark Nexus oder Mukashi) und Angriffe mit Pandemie-Thematik gehörten zu den Hauptbedrohungen. In Deutschland wurden bereits zwei Drittel aller Kliniken Ziel von Hackerangriffen, so eine Studie des Beratungsunternehmens Roland Berger. Zu den am häufigsten gehackten Lösungen gehören Infusionspumpen, implantierbare Geräte und drahtlose Vitalmonitore.

Zum Schluss

Ein Zero-Trust-Sicherheits-Framework hilft Unternehmen und Start-ups, viele Sicherheitsverletzungen und Schwachstellen zu verhindern. Um es erfolgreich zu implementieren, ist es wichtig zu wissen, was zum Anstieg von Malware-Bedrohungen im IoT beiträgt. Hier sind nur einige der wichtigsten Faktoren:

  • Die exponentiell wachsende Anzahl von IoT-Geräten auf dem Markt und die zunehmende Anzahl von Endpunkten (Laptops, Mobiltelefone, IoT-Geräte), die mit demselben Netzwerk verbunden sind. Alle Netzwerktypen von 2G bis WLAN weisen Schwachstellen und Sicherheitsprobleme auf.
  • Die unsichere Entwicklung von vernetzten Geräten, die über das Internet zugänglich sind.
  • Das Fehlen von ordnungsgemäßen Sicherheitsupdates für IoT-Geräte. Eine wichtige Aufgabe eines Entwicklungsunternehmens ist es, Updates von eingebetteter und mobiler Software zu veröffentlichen, veraltete Komponenten und unsichere Update-Mechanismen zu vermeiden, die Cloud-Infrastruktur regelmäßig zu modernisieren und Sicherheitspatches zu erstellen.
  • Die Lösungen entsprechen nicht den Cybersicherheitsstandards und -anforderungen, wie HIPAA, HL7, FDA, PCI DSS, GDPR, and FedRAMP.

IoT-Unternehmen, die erfolgreiche Lösungen anbieten wollen, stellen heute die Cybersicherheit in den Vordergrund. Die Hauptaufgabe besteht hier darin, digitale Sicherheit von Grund auf zu implementieren und dabei alle Stufen der Produktentwicklung zu berücksichtigen – von den Hardwaretypen über die App-Funktionalität bis hin zu den Richtlinien für die Nutzer.