Kommentar: Authentifizierung
Passwortkiller IoT
Fortsetzung des Artikels von Teil 1
Weiter Weg zur IoT-Sicherheit
Niemand weiß im Moment, wie das alles funktionieren wird - geschweige denn, wie man die ganze IoT-Welt absichert. Sobald man über einen Identitätsverbund nachdenkt – einem Verbund von vielleicht Millionen von verbundenen Endpunkten – dann bewegt man sich auf schwammigen Neuland und alle Lösungen werden angezweifelt.
Heute ist der Markt der Online-Identität sehr zersplittert. Technologien und Identitätssysteme wie Security-Assertion-Markup-Language (SAML), die Initiative für eine Open-Authentication (OATH) und OpenID bieten bereits Möglichkeiten zur Verbindung zwischen Benutzer, Anwendungen und Ressourcen. Identitätssysteme wie beispielsweise von Facebook-Connect bieten eine populäre Möglichkeit zur Authentifizierung von Personen im Online-Bereich. Diese Systeme setzen jedoch voraus, dass das Authentifizierungs-Gerät "smart" agiert und hierfür permanent mit dem Internet verbunden ist, um den verarbeitungsintensiven Austausch der Informationen realisieren zu können. Diese Voraussetzungen werden jedoch nicht von vielen IoT-Endpunkten erfüllt, denn die Geräte verfügen meist nicht über genügend Leistung beziehungsweise sind nicht die gesamte Zeit mit dem Internet verbunden.
Da die Sicherheit wesentlich einfacher bei ständig mit dem Internet verbundenen Geräten zu gewährleisten ist, wird bei den neuartigen IoT-Geräten (ohne permanente Internet-Anbindung) die Sicherheit und die Identitäten von den Herstellern der Komponenten schlichtweg ignoriert.
Um die Sicherheit richtig umzusetzen, müssen sich die IoT-Gerätehersteller mit der gesamten Kommunikation von und zu dem jeweiligen Endpunkt beschäftigen. Im Idealfall wird diese Strecke mit Hilfe von TLS oder einer gleichwertige Technologie verschlüsselt. Darüber hinaus müssen die Software und Konfigurations-Updates entsprechende Funktionen besitzen, die es ermöglichen das Gerät auch im Ruhezustand zu sichern. Es muss dabei auch berücksichtigt werden, dass ein IoT-Gerät über mehrere Jahre kontinuierlich genutzt wird. Aus diesem Grund müssen die Geräte auch die langfristigen Sicherheitsanforderungen der Unternehmen berücksichtigen.
Da die Sicherheit eine hohe Hürde darstellt, verzichten viele Hersteller – besonders im Fall von Consumer-Anwendungen – vollständig auf Sicherheitsfunktionen. Man argumentiert damit, dass die Systeme sowieso nie aktualisiert werden können beziehungsweise die Sicherheit des Systems nicht gemanaged werden kann. Eine solche Vorgehensweise schafft bei den Nutzern ein falsches Gefühl der Sicherheit.
Langfristig werden sich auch IoT-Geräte ohne eine integrierte Sicherheit nicht durchsetzen. Das Risiko von Tausenden gefährdeter oder unsicherer Geräte in einer IT-Umgebung ist zu hoch.
Fazit
Das Sicherheitsproblem bei den IoT-Geräten wird uns die kommenden Jahre beschäftigen. Neue Standards wie beispielsweise OAuth2 und UMA (User-Managed-Access) zur Authentifizierung und Verteilung granularer Zugangsberechtigungen werden gerade für das Internet der Dinge geschaffen. Da die IoT-Komponenten und –Anwendungen sehr unterschiedlich aufgebaut sind, werden wir einen langen Atem auf dem Weg zu mehr IoT-Sicherheit benötigen. Doch eins steht fest, auf dem Weg dorthin wird das leidige Passwort mittelfristig verschwinden.
- Passwortkiller IoT
- Weiter Weg zur IoT-Sicherheit
Lesen Sie mehr zum Thema
