M2M-Kommunikation
Schutzschilde für das Industrial Internet of Things
Fortsetzung des Artikels von Teil 1
Sicherheit auf Netzwerkebene
Verbindungsart ist allerdings sehr anfällig für feindliche Angriffe und kann zu unbeabsichtigtem Datenverbrauch über das Mobilnetz führen. Alternativ zur Verbindung über das öffentliche Internet, kann die B2B-Datenübertragung allerdings auch mittels IP-Protokoll stattfinden. Private APNs (Access Point Name), die ein oder mehrere Mobilnetzbetreiber bereitstellen, agieren als Brücken zwischen dem Mobilfunknetz und dem paketbasierten Datennetz. Die APN-Konfiguration regelt dabei alle Aspekte der Interaktion des Mobilgeräts mit dem Internet. Sie funktioniert ähnlich wie ein VPN, indem sie ebenfalls eine sichere Verbindung bereitstellt.
Host-basierte VPNs verbinden einen oder mehrere Hosts mit einem M2M-/IIoT-Lösungsanbieter oder einem Mobilnetzbetreiber. Der Vorteil liegt darin, dass sie im Gegensatz zum gerätebasierten VPN üblicherweise den gesamten Datenverkehr von und zu allen über das Mobilnetz verbundenen Geräten eines bestimmten Subnetzes oder Kunden abdecken. Damit können die Daten übertragen werden, ohne dass diese Geräte direkt aus dem Internet erreichbar sind. Mobilnetzbetreiber stellen meist eingeschränkte VPN-Optionen in Verbindung mit privaten APNs bereit. Mehr Flexibilität bei VPN-Arten und Optionen bieten häufig M2M-Lösungsanbieter. Auch entfallen dann die Komplexität und die Kosten für das Einrichten eines privaten APN.
Private IP-Adressen sind nicht im Internet zugelassen. Damit ein Netzknoten mit entsprechender Adresse das Internet erreichen kann, muss seine Quelladresse aktiv in eine öffentliche Adresse übersetzt werden. Private Adressen tragen insofern zur Sicherheit bei, als eine dritte Komponente speziell konfiguriert werden muss, damit ein Knoten mit privater Adresse mit einem Rechner im Internet kommunizieren kann. Erst dann sind auch Angriffe von dort möglich.
Sicherheit auf Cloud-Ebene
Sogenannte AEPs (Application Enablement Platforms) stellen den technologischen Rahmen dar, mit dessen Hilfe die unterschiedlichen Daten auf der Cloud-Ebene zusammengeführt und verarbeitet werden. Über unterschiedliche Sicherheitsfunktionen können Entwickler einen fle-xiblen Zugriff auf die Daten in der Cloud gewähren oder einschränken.
Die erste Sicherheitsstufe innerhalb der Plattform bildet dabei die Organisation. Mandantenfähige Lösungen sichern die Anwenderdaten in der Cloud über die Or-ganisations-ID ab. Das bedeutet, Benutzer, Dinge und Anwendungen beziehen sich alle auf eine Organisation. Nur wer zu dieser Organisation gehört, hat Zugriff auf die Daten.
Das sogenannte Anwendungstoken stellt die nächste Sicherheitsstufe dar. Es dient der Authentifizierung von Einheiten, wie etwa Gateways oder einfacher IIoT-Geräte, gegenüber einer Anwendung und legt fest, welchen Zugriff diese auf die in der Cloud gespeicherten Daten haben. Einer Organisation können mehrere Anwendungstoken zugewiesen werden, wobei jedes Token nur zu einer Organisation gehört. Vernetzte Gegenstände nutzen Anwendungstoken, um beispielsweise festzustellen, wohin Daten gesendet werden sollen und sind Teil des Authentifizierungsprozesses. Wenn sich berechtigte IIoT-Anwendungen von Drittanbietern mit der Cloud verbinden, greift der gleiche Mechanismus.
Eine weitere integrierte Sicherheitsstufe ist die Identität der vernetzten Gegenstände, zum Beispiel von unabhängigen IIoT-Geräten oder Gateways. Dafür werden Schlüssel genutzt, die den im IIoT vernetzten Dingen zugeordnet sind. Der zugewiesene Schlüssel ist eine eindeutig identifizierbare Einheit, wie etwa die Datenquelle. Da vernetzte Gegenstände Daten an mehrere Ziele senden können, sind sie nicht mit Organisationen verbunden. Die Identität der an eine oder mehrere Organisationen übermittelten Daten wird über das Anwendungstoken kontrolliert. Gängige Schlüssel zur Absicherung der Daten von vernetzten Gegenständen sind beispielsweise die IMEI (International Mobile Station Equipment Identity) oder MAC-Adressen.
Plattformen nutzen Anwendungs-IDs zur Authentifizierung. Diese sind normalerweise nicht sichtbar, der Entwickler kann sie aber in der initialen Authentifizierungsanforderung integrieren, sodass alle nachfolgenden Aufrufe unter Nutzung des zugewiesen Schlüssels diese Anwendungs-ID enthalten müssen. Die Verwendung einer anderen Anwendungs-ID führt zu einem Authentifizierungsfehler. Die Eigenschaften der im IIoT vernetzten Dinge, die diesen Mechanismus nutzen, werden daraufhin gesperrt.
Bei der Übermittlung von Daten an die Plattform kommen im Authentifizierungsprozess also drei Elemente zum Einsatz: Erstens Anwendungstoken, zweitens die Schlüssel des vernetzten Gegenstands und drittens die Anwendungs-ID.
Alexander Bufalino ist CMO bei Telit
- Schutzschilde für das Industrial Internet of Things
- Sicherheit auf Netzwerkebene
- Expertenkommentar: Sicherheitsrisiken im IIoT effektiv begegnen
Lesen Sie mehr zum Thema
