Sichere IoT-Ökosysteme
IoT-Sicherheit ja, aber welche?
Fortsetzung des Artikels von Teil 1
Vertrauenswürdigkeit einschätzen
Schauen wir uns das Szenario Gerätename/ Passwort verglichen mit digitalen Zertifikaten und PKI-Nutzung an. Folgende Fragestellungen sind grundlegend:
- Wie sind die Zugangsdaten generiert worden?
- Wie sind sie dem Gerät mitgeteilt worden?
- Wie sind sie auf dem Gerät gespeichert?
- Sind die Zugangsdaten jemals als Klartext versandt worden, sodass Dritte sie hätten abfangen können?
- Sind die Zugangsdaten nach der Zuteilung aktualisiert worden und falls ja, war diese Aktualisierung sicher?
Starke Identitäts- und Authentifizierungsmechanismen
In diesem Rahmen sprechen wir von einer „Best-Practice“ PKI-Implementierung und vergleichen sie mit dem traditionelleren Gerätenamen/Passwort-Szenario. Ziel soll es sein, das Risiko zu senken und gegenüber Thing-in-the-Middle-Attacken weniger angreifbar zu sein.
Einer der Vorteile von PKI im Kontext eines Gerätes ist, dass man sie einsetzen kann, ohne dass der empfangende Dienst einen Teil des Gerätegeheimnisses kennt. PKI besteht aus zwei Teilen: Einem öffentlichen, oft an ein Identitätszertifikat gebundenen Schlüssel, der öffentlich geteilt werden kann, und privaten Schlüsseln, die genau das auch bleiben sollten. In einer Geräteumgebung empfiehlt es sich, eine sichere Hardware für das Erzeugen und Speichern von privaten Keys zu nutzen, wie etwa ein Trusted-Plattform-Modul oder etwas gleichwertiges. Diese Hardwarecontainer bieten dahingehend einen hohen Sicherheitslevel, dass die privaten Keys nicht offengelegt wurden oder werden. Solche sicheren Hardwarekomponenten sind die Basis um vertrauenswürdige Identitäten aufzubauen.
Die Sicherheit des Key-Speichers erlaubt es dann innerhalb einer zertifikatbasierten PKI-Anwendung, ein digitales Zertifikat herauszugeben, das irgendeine Form von Identitätsinformation mit dem öffentlichen Key verbindet, der zu dem privaten Key passt.
Dieser Prozess wird häufig bei Geräten in Fertigungsstraßen angewandt. Dieses digitale Zertifikat kann nun in einer Reihe von Szenarien verwendet werden. Man kann das Gerät authentifizieren und man kann selbständige Verhandlungen ermöglichen, um die Kommunikation zwischen den empfangenden Diensten zu schützen. Dabei bleibt der private Schlüssel immer geheim.
Vergleicht man diese Herangehensweise mit dem klassischen Modell „Benutzername und Passwort“, werden dessen Nachteile bei der Vertrauenswürdigkeit nur zu schnell offensichtlich. Benutzername und Passwort müssen irgendwo erzeugt werden. Das kann vielleicht auf dem Gerät selbst stattfinden, fällt aber meist in den Bereich anderer Dienste. Sie teilen dann dem Gerät die entsprechenden Daten zu. Und gerade dabei gibt es etliche Stellen, an denen Zugangsdaten potenziell abgefangen werden können.
Schauen wir uns jetzt an wie diese Daten für die Authentifizierung bei Diensten genutzt werden. Idealerweise sollten Zugangsdaten über einen verschlüsselten Kanal transportiert werden, damit sie nicht abgefangen werden. Das Abfangen von Zugangsdaten mit Benutzername/Passwort ist ein erhebliches Risiko. In einem PKI-Szenario ist es deutlich geringer, denn ausgetauscht werden nur der öffentliche Schlüssel und das Zertifikat. Letzteres lässt sich wiederum ohne den entsprechenden privaten Schlüssel nicht nutzen. Und der liegt sicher im Speicher des Geräts.
Ein PKI-Szenario hat aber noch mehr Vorteile. Man kann sich zum Beispiel für einen Authentifizierungsansatz wie Mutual-TLS entscheiden. Dabei authentifiziert sich jede der beteiligten Parteien. Gleichzeitig wird durch den Handshake ein sicherer Kanal zwischen den beiden Punkten eingerichtet. Im Szenario Gerätenamen/Passwort wird der sichere Kanal in der Regel erst in einen separaten Vorgang eingerichtet.
Schauen wir uns zuletzt die Lebensdauer der Geräte an. Es ist ganz offensichtlich, dass man Mechanismen braucht, die Geräte zu aktualisieren, während sie im Einsatz sind. Das ist zweifelsohne nicht ganz einfach, sollte aber in jedem Fall machbar sein. Benutzt man eine PKI sollte das Gerät mit sicherer Hardware bei Bedarf neue Keys erzeugen und den Diensten Signieranfragen für aktualisierte Zertifikate zuschicken. Auch in diesem Szenario bleiben die privaten Komponenten privat. Werfen wir demgegenüber einen Blick auf Gerätenamen/Passwort ist gerade das Aktualisieren und Teilen neuer Zugangsdaten eine heikle Angelegenheit. Egal, ob es darum geht neue Zugangsdaten zu erzeugen, zu speichern oder an einen Dienst zu transportieren.
Nur die Spitze des Eisbergs
Identität ist ein riesiges Gebiet. Eine ganzheitliche Herangehensweise hilft dabei, eine sichere und vertrauliche Architektur für ein IoT-Ökosystem aufzubauen. Betreiber und Gerätehersteller sollten unbedingt Partner mit ins Boot nehmen, die erfahren sind und das nötige Fachwissen zu sicheren Kommunikationslösungen mitbringen. Eigenentwicklungen oder angepasste Lösungen erfüllen selten das Anforderungprofil. Sicherheit funktioniert nicht nach dem Baukastenprinzip. Vielmehr muss ein Unternehmen seine Ziele analysieren und diese dann mit den individuell akzeptablen Risiken ausbalancieren.
- IoT-Sicherheit ja, aber welche?
- Vertrauenswürdigkeit einschätzen
Lesen Sie mehr zum Thema
