Mehr IoT-Sicherheit: Effektive Geräteregistrierung in einer Public-Key-Infrastruktur

Maßnahmen zum Schutz vor Computerviren

Verwenden Sie nicht ein einziges Kennwort für mehrere Anmeldungen.

Ändern Sie regelmäßig die Kennwörter und nutzen Sie nur starke Kennwörter (Sonderzeichen, Groß- und Kleinschreibung, Ziffern).

Öffnen Sie keine E-Mails von unbekannten Absenderadressen. Denken Sie daran: Auch bekannte Absenderadressen können gefälscht sein. Nutzen Sie im Zweifelsfall vorhandene Online-Angebote Ihrer Anbieter z. B. zur Rechnungskontrolle. Führen Sie keine ausführbaren Dateianhänge in gesendeten ZIP-Archiven aus. Seriöse Anbieter versenden keine ausführbaren Dateien via E-Mail. Achten Sie darauf, ob Sie in der E-Mail direkt angesprochen werden. Dieses Merkmal kann nur sehr schwer von Spam-Erzeugern nachgebildet werden.

Prüfen Sie alle E-Mails, Dateien aus dem Internet und alle eingehenden Datenträger (z. B. USB-Sticks, DVDs etc.) vor der Nutzung auf Ihrem PC unter Verwendung der neuesten Virensignaturen. Verdächtige E-Mails können Sie zur Kontrolle auch kostenfrei an die E-Mail-Adresse spam@datev.de schicken. Dort wird die E-Mail überprüft und Sie erhalten innerhalb kurzer Zeit eine Rückmeldung, ob eine schädliche E-Mail vorliegt.

Sie alle E-Mails, Dateien aus dem Internet und alle eingehenden Datenträger (z. B. USB-Sticks, DVDs etc.) vor der Nutzung auf Ihrem PC unter Verwendung der neuesten Virensignaturen. Verdächtige E-Mails können Sie zur Kontrolle auch kostenfrei an die E-Mail-Adresse spam@datev.de schicken. Dort wird die E-Mail überprüft und Sie erhalten innerhalb kurzer Zeit eine Rückmeldung, ob eine schädliche E-Mail vorliegt. Vermeiden Sie Downloads aus dem Internet. Internetseiten können ebenfalls Viren enthalten oder so programmiert sein, dass sie Ihre geschäftlichen und persönlichen Daten auf Ihrem PC ausspionieren können (sog. Trojaner).

Führen Sie regelmäßige Datensicherungen durch und bewahren Sie mehrere Sicherungsstände auf. Um eine nachträgliche Infektion der Sicherungsmedien zum Beispiel durch Verschlüsselungstrojaner zu vermeiden, sollten die Sicherungsmedien bei einer lokalen Sicherung nicht dauerhaft mit dem Netzwerk / Computer verbunden sein. Mit dem Programm DATEV Datensicherung online liegen Ihre Daten geschützt im DATEV-Rechenzentrum (Dok.-Nr. 0903086).

Aktivieren Sie keine Inhalte in Microsoft Word oder Excel bei unbekannten Dokumenten.

Stellen Sie sicher, dass Ihre Makro-Sicherheitseinstellungen in Microsoft Word und Excel nicht auf der Stufe Alle Makros aktivieren stehen. Die Makro-Sicherheitseinstellungen prüfen Sie, abhängig von der Microsoft-Office-Version in Word und Excel unter: Microsoft Office 2007: Klicken Sie im jeweiligen Office-Programm auf die Microsoft-Office-Schaltfläche und wählen Sie -Optionen | Vertrauenstellencenter | Einstellungen für Vertrauensstellungscenter | Einstellungen für Makros . Microsoft Office 2010: Wählen Sie im Office-Programm Datei | Optionen | Sicherheitscenter | Einstellungen für das Sicherheitscenter | Einstellungen für Makros . Microsoft Office 2013: wählen Sie im Office-Programm Datei | Optionen | Trust Center | Einstellungen für den Trust Center | Makroeinstellungen.

auf der Stufe stehen. Die Makro-Sicherheitseinstellungen prüfen Sie, abhängig von der Microsoft-Office-Version in Word und Excel unter:

Virensignaturen können erst nach dem Bekanntwerden einer neuen Schadsoftware aktualisiert werden. Während dieses Zeitversatzes besteht die Möglichkeit, dass PCs trotz aktivem und regelmäßig aktualisiertem Virenscanner infiziert werden. Um Ihr Risiko zu minimieren, setzen Sie folgende Schutzmaßnahmen um: Verwenden Sie bei der täglichen ArbeitWindows-Benutzerkennungen mit, v.a. wenn Sie ins Internet gehen, Dateien aus dem Internet oder von eingehenden Datenträgern einspielen. Verwenden Sie die Administrator-Kennung oder Benutzerkennung mit Administrator-Recht nur, wenn Sie Programme neu installieren oder aktualisieren wollen.

Hightech für IT-Sicherheit — Vernetzung und Sicherheit digitaler Systeme

Das Bundesministerium für Bildung und Forschung (BMBF) fördert auf Basis dieser Bekanntmachung Innovationen, die dem Bedarf nach Schutz und Wahrung von Integrität und Sicherheit von Daten in Gesellschaft und Wirtschaft dienen, die Hochtechnologiekompetenz und die Wettbewerbsposition des Standorts Deutschland im Bereich hardwarebasierter Sicherheitstechnologien stärken.

© Maksim Kabakou -

Zuwendungszweck

Das Bundesministerium für Bildung und Forschung (BMBF) fördert auf Basis dieser Bekanntmachung Innovationen, die dem Bedarf nach Schutz und Wahrung von Integrität und Sicherheit von Daten in Gesellschaft und Wirtschaft dienen, die Hochtechnologiekompetenz und die Wettbewerbsposition des Standorts Deutschland im Bereich hardwarebasierter Sicherheitstechnologien stärken.

Das Potenzial der Digitalisierung für Wirtschaft und Gesellschaft in Deutschland kann nur dann erfolgreich genutzt werden, wenn die Sicherheit von Daten, Datenübertragung und Datenverarbeitung von der Komponenten- bis zur Systemebene gewährleistet ist. Hardwarebasierte Sicherheitskomponenten bieten als Schlüsseltechnologie für Informations- und Kommunikationssysteme die Chance, eine sichere Digitalisierung zu gestalten und Gefährdungen durch Angriffe, Manipulation und Fälschungen schon auf Hardwareebene vorzubeugen. Hierzu können bereits bestehende Stärken in Forschung und Entwicklung in Deutschland genutzt und weiter ausgebaut werden.

Durch die hohe Vernetzungsdynamik in Anwendungsbereichen wie Industrie 4.0 sowie durch die steigende Verbreitung mobiler Endgeräte wird der Bedarf an sicheren Chips zukünftig weiter wachsen. Flankiert wird diese Entwicklung durch ein stetig wachsendes Aufkommen an Echtzeitdaten, die durch in immer mehr Geräten verbaute intelligente Sensorik bereitgestellt werden. Eine sichere und effiziente Nutzung des Internet der Dinge und der darauf basierenden Dienste wird in Deutschland dann erfolgreich sein, wenn die hohe Entwicklungskompetenz für hardwarebasierte Sicherheitstechnologien in Industrie und Forschung in Deutschland weiter ausgebaut wird, um einen breiten Einsatz sicherer Komponenten und eine Industrialisierung sicherer Chiptechnologien in Deutschland zu ermöglichen.

Die Herausforderungen steigen durch die entstehenden neuen Angriffsmöglichkeiten wie Sabotage, Spionage oder Datenmissbrauch. Sichere Hardwareanker sind heute eine Stärke der deutschen Mikroelektronikindustrie. Allerdings werden kontinuierlich neue Angriffsmethoden zum Umgehen existierender Schutzmechanismen entwickelt. Industrie 4.0-Anlagen, Smart Services, hochsichere elektronische Identitäts- und Authentifizierungsdokumente oder Automobile gelangen immer mehr ins Visier von Angreifern. In besonderem Maße sind auch mittelständische Unternehmen von Wirtschaftsspionage, Konkurrenzausspähung oder Erpressung betroffen. Nahezu täglich entstehen neue Angriffsmöglichkeiten auf die derzeit eingesetzten Technologien, wobei zunehmend eine Professionalisierung der Angreifer und eine damit gesteigerte Qualität der Angriffe zu beobachten ist.

Um eine vertrauliche und integre Kommunikationsaustausch zwischen vernetzten Anlagen, Geräten und Sensoren in den unterschiedlichen Einsatzfeldern zu sichern, sind sicherheitskritische Daten wie kryptografische Schlüssel oder Zertifikate vor dem unberechtigten Auslesen oder der Veränderung durch Dritte zu schützen.

Insbesondere sicherheitskritische Plattformen und Anwendungen wie Smart Grids oder vernetzte Produktionsanlagen erfordern Lösungen, die auch über viele Jahre höchste Datensicherheit und Robustheit gegenüber Manipulationen gewährleisten.

In ungeschützten Umgebungen werden Hardwarekomponenten für IT-Sicherheitslösungen benötigt, die besonderen Schutz gegen das Auslesen und Verändern von Daten bieten und somit das Maß an Sicherheit gegenüber reinen Softwarelösungen deutlich erhöhen. Werden Hardwarekomponenten als Grundstein in Plattformen und Anwendungen eingesetzt, ist die Sicherheit des gesamten Systems oftmals von diesen Komponenten abhängig. Auch bewährte, bereits eingesetzte hardwarebasierte Schutzmechanismen sind daher einem permanenten technologischen Wettlauf mit den Angreifern unterworfen.

Das Bundesministerium für Bildung und Forschung beabsichtigt, die Erforschung neuer, innovativer und risikobehafteter Ansätze und die Entwicklung zukunftsfähiger hardwarebasierter IT-Sicherheitslösungen zu fördern, die sowohl langfristig Angriffen widerstehen als auch effizient und kostengünstig in IKT-Systeme integrierbar sind. Für den Einsatz in Sensoren mit beschränkten Ressourcen bis hin zu leistungsfähigen Netzwerkknoten sind sichere, optimal einsetzbare Hardwaretechnologien zum Schutz von Daten und Transaktionen zu entwickeln.

Ziel der Bekanntmachung ist, wirksame und effiziente hardwarebasierte IT-Sicherheitslösungen zu entwickeln, die in der industriellen Fertigung umgesetzt werden können und somit die Innovations- und Wettbewerbsfähigkeit Deutschlands zu erhalten und zu stärken. Bei der Förderung kommt der engen Zusammenarbeit von Unternehmen und Forschungseinrichtungen im universitären und außeruniversitären Bereich, der Einbindung kleiner und mittlerer Unternehmen (KMU) sowie der nachhaltigen Stärkung der Wertschöpfungsketten am Standort Deutschland eine besondere Bedeutung zu. Dabei wird den KMU eine wichtige Rolle beim Transfer von Forschungsergebnissen in wirtschaftliche Erfolge zugeschrieben. Damit leistet das BMBF einen wichtigen Beitrag zur technologischen Souveränität, um auch in einer vernetzten Welt sicher agieren zu können.

Die Bekanntmachung erfolgt im Rahmen der "Neuen Hightech-Strategie – Innovationen für Deutschland" der Bundesregierung. Bei der dort adressierten prioritären Zukunftsaufgabe "Digitale Wirtschaft und Gesellschaft" geht es um innovative Lösungen für die Herausforderungen der Digitalisierung.

Mit der Fördermaßnahme greift das Bundesministerium für Bildung und Forschung auch ein wesentliches Querschnittsthema der Digitalen Agenda 2014-2017 auf: "Ohne Vertrauen in die Sicherheit und Integrität der digitalen Welt wird es nicht gelingen, die wirtschaftlichen und gesellschaftlichen Potenziale des digitalen Wandels zu erschließen."

nach oben

Gegenstand der Förderung

Gegenstand der Förderung sind innovative und risikobehaftete Lösungskonzepte für hardwarebasierte, angriffsresistente Technologien zur Steigerung der Sicherheit von IKT-Systemen, die in der industriellen Fertigung umgesetzt werden können. Die Machbarkeit des technologischen Konzepts ist vorzugsweise in einem Demonstrator nachzuweisen. Die Lösungen und deren Umsetzbarkeit sind in einem konkreten Anwendungsbereich wie z.B. mobile Dienste, Medizintechnik, Automobil oder Industrie 4.0 darzustellen.

Die Vorhaben müssen eines der folgenden technologischen Schwerpunktthemen adressieren:

Anwendungsoptimierte hardwarebasierte Sicherheitstechnologien

Vom eingebetteten Sensor bis hin zu Servern werden geeignete Komponenten benötigt, die in Verbindung mit vertrauenswürdiger Firmware sowohl den notwendigen Schutz vor Auslesen und Manipulation durch Dritte bieten, als auch sicher, kostengünstig, flexibel und energieeffizient in vernetzte Systeme - auch bestehende - integrierbar sind. Die Authentizität und Sicherheit dieser Komponenten muss entlang der gesamten Wertschöpfungskette sichergestellt sein. Je nach Anwendungsgebiet ergibt sich hieraus eine Vielzahl von Anforderungen, die nicht nur technologisch, sondern auch im Gesamtkontext einer umsetzbaren Lösung zu betrachten sind.

Sowohl Erforschung und Entwicklung von hardwareintrinsischen Sicherheitstechnologien – sogenannten Physikalischen Unklonbaren Funktionen (PUF) – als auch neuartige Prinzipien zur sicheren und zuverlässigen physikalischen Speicherung von Information werden gefördert.

In Anwendungsgebieten wie Industrie 4.0 sind die Langlebigkeit und Zukunftsfähigkeit der Sicherheit von besonderer Bedeutung und damit die Updatemöglichkeiten von Sicherheitsfunktionen.

Gegen Seitenkanalangriffe resistente Hardwareimplementierungen von Sicherheitsfunktionen

Aufgrund der immer günstigeren Verfügbarkeit von Analyse- und Angriffstechnologien nehmen die Angriffsmöglichkeiten auf Hardware und die darin integrierten Sicherheitsfunktionen an Anzahl und Raffinesse stetig zu. Entscheidend für die Qualität der Sicherheitsfunktionen ist die Resistenz insbesondere gegen Seitenkanal- und fehlerprovozierende Angriffe. Sowohl die Untersuchung neuartiger Angriffsszenarien als auch Forschung und Entwicklung zu wirksamen Gegenmaßnahmen in der Form schaltungstechnischer Maßnahmen zur Detektion und Abwehr solcher Angriffe und in Hardware implementierter Verschlüsselungsmöglichkeiten sollen gefördert werden.

Automatisierte Entwurfs-, Test- und Verifikationsmethoden zur frühzeitigen Identifizierung von Schwachstellen

Um die Angriffsresistenz von Komponenten bereits im Entwicklungsprozess bewerten und sicherstellen zu können, sind geeignete automatisierte Entwurfs-, Test- und Verifikationsmethoden und -werkzeuge zu entwickeln. Dies soll ermöglichen, den Entwurf sicherer Hardwarekomponenten zu optimieren und zu beschleunigen und sowohl Implementierungsschwächen auf funktionaler Ebene als auch Schwachstellen und Verwundbarkeiten der Sicherheitsfunktionen frühzeitig zu identifizieren. Insbesondere soll die Entwicklung von EDA (Electronic Design Automation)-Methoden und -Werkzeugen sowie IP-Blöcken unterstützt werden, die "Security by Design" ermöglichen.

Gefördert werden anwendungsorientierte Verbundvorhaben zu hardwarebasierten Sicherheitstechnologien, die konkrete Anwendungen adressieren und sich durch ein hohes wissenschaftlich-technisches und wirtschaftliches Risiko auszeichnen. Erwartet werden Lösungsvorschläge, die den Stand der Technik deutlich übertreffen.

Querschnittsthemen wie Normung, Standardisierung und Zertifizierung, die Implementierung von Schnittstellen, die Verringerung des Leistungsverbrauchs von sicheren Chips, und die Modularisierung von Sicherheitsfunktionen können in den Vorhaben ebenfalls berücksichtigt werden.

Weitere Informationen

Zur kompletten Bekanntmachung beim BMBF

nach oben

Mehr IoT-Sicherheit: Effektive Geräteregistrierung in einer Public-Key-Infrastruktur

Security Mehr IoT-Sicherheit: Effektive Geräteregistrierung in einer Public-Key-Infrastruktur

Die Menge der über das Internet of Things vernetzten Geräte steigt stetig weiter an und mit ihr die Notwendigkeit sicheren Identitätsmanagements. Hier kann eine Public-Key-Infrastruktur helfen, doch welche Herausforderungen warten hier und wie löst man sie?

Die Geräteregistrierung ist ein sicherheitskritischer Schritt auf dem Weg ins Internet of Things. (Bild: gemeinfrei / Pixabay

Die Anzahl der IoT-Geräte hat eine kritische Masse erreicht. Derzeit gibt es auf der Welt rund 27 Milliarden vernetzte Geräte. Statista schätzt, dass bis 2025 38,6 Milliarden Geräte angeschlossen sein werden und die Zahl bis 2030 auf etwa 50 Milliarden steigt. Das sind ziemlich viele Geräte.

Dabei ist das Verbinden von Geräten im Internet der Dinge nur die erste von weiteren Herausforderungen. Die Geräte entsprechend zu sichern, wird entscheidend für eine nachhaltige und langfristige Entwicklung und Verwendung im Internet of Things sein. Der Stellenwert von Sicherheit kann hier nicht hoch genug angesetzt werden.

Wenn IoT-Geräte eine Verbindung zum Internet herstellen, teilen sie Informationen. Der Schutz der Integrität der von ihnen freigegebenen Daten und der Privatsphäre der Personen, mit denen sie geteilt werden, entscheidet darüber, ob ein vertrauensvoller Betrieb stattfindet oder man unrechtmäßig auf Geräte, Daten und Systeme zugreifen kann. Dies gilt insbesondere für hochwertige Geräte oder Netzwerke wie medizinische Geräte, den Automobilsektor oder für kritische IoT-Infrastrukturen wie intelligente Versorgungsunternehmen.

IoT-Security beginnt mit der Public-Key-Infrastruktur (PKI)

Benutzernamen und Passwörter zu verwenden ist veraltet und unsicher. Laut der Global PKI and IoT Trends Study des Ponemon Institute aus dem Jahr 2019 ist die Abhängigkeit von Benutzernamen und Passwörtern allerdings zurückgegangen. Dieselbe Studie hat ergeben, dass PKI wichtige Kernauthentifizierungstechnologien für das Internet of Things bereitstellen. Das sehen viele Unternehmen in der IoT-Branche ganz ähnlich.

PKI-Herausforderungen

Eine PKI erlaubt es IdD-Endpunkten/-Geräten in einem zertifikatsbasierten Geräteauthentifizierungsprozess Zertifikate von einer Zertifizierungsstelle über einen Registrierungsserver/-dienst anzufordern, um eindeutige, starke und sichere Geräteidentitäten zu erstellen. (Bild: Global Sign)

Zu wissen, welche Technologie die richtige ist, heißt leider nicht automatisch, dass sie auch einfach zu implementieren ist. Selbst bei einem scheinbar klar definierten Plan für die IoT-Security, bleibt eine PKI für viele eine Herausforderung. Das betrifft insbesondere Funktionen zur Geräteregistrierung. Und die sind ganz entscheidend, wenn man eindeutige, starke und sichere Geräteidentitäten bereitstellen will.

Eine PKI ist ein System, das ein eindeutiges digitales Zertifikat, ausgestellt von einer Zertifizierungsstelle, mit jedem einzelnen Gerät verbindet, damit die Geräte sicher authentifiziert werden können. Mit einer einzigartigen starken Geräteidentität authentifizieren sich IdD-Geräte (oder -Dinge), sobald sie online gehen. Das gewährleistet eine sichere Kommunikation zwischen Geräten, Diensten sowie Benutzern und weist zusätzlich deren Integrität nach.

Empfehlenswerte Zertifizierungsstellen bieten die Registrierung der IoT-Geräteidentität als Bestandteil eines umfassenderen Registrierungsprozesses für entsprechende Geräte an. Bei der Registrierung der Geräteidentität werden die betreffenden Geräte in die PKI integriert. Das passiert normalerweise über einen Registrierungsserver oder -dienst, der zuweilen auch als Registrierungsstelle bezeichnet wird. Der Registrierungsdienst ist hinsichtlich von Richtlinien und Prüfprotokollen so konfiguriert, dass er jedes Gerät überprüfen kann und bestätigt, dass es berechtigt ist, Teil der PKI zu sein. Gleichzeitig wird in diesem Prozess verifiziert, dass das Gerät wirklich das Gerät ist, als das es sich ausgibt.

Es ist nicht ganz einfach, die für eine sichere Registrierung erforderlichen Hardware- und Softwaresysteme und -protokolle intern zu entwickeln. Das liegt an einer Reihe von Faktoren.

Professionell entwickelte, weltweit anerkannte kommerzielle Registrierungsdienste folgen den neuesten Sicherheitsstandards, um eine ordnungsgemäße Registrierung von PKI-Geräten sicherzustellen, Personalprobleme in den Griff zu bekommen, Herausforderungen bei der CapEx-Entwicklung zu bewältigen und zusätzliche Verwaltungsfunktionen bereitzustellen. (Bild: Global Sign)

Derzeit haben wir einen Mangel an ausgebildeten PKI- und Registrierungsspezialisten. Das macht eine präzise Einrichtung und Verwaltung innerhalb eines Unternehmens problematisch. Auch wenn es finanziell attraktiv sein mag, die PKI-Verantwortung einem Junior-Manager zu übertragen, der möglicherweise nicht ausschließlich für das PKI-Management verantwortlich ist, kann am Ende teuer werden. Denn das führt dazu, dass man Sicherheitsnuancen übersehen kann - was wiederum eine effektive IoT-Sicherheit insgesamt beeinträchtigt. Zudem fehlen oftmals einheitliche IoT-Sicherheitsrichtlinien, -standards oder -vorschriften, was wiederum die Unsicherheit und Fehleranfälligkeit erhöht. Es ist keine leichte Aufgabe, eine PKI einzurichten. Der Prozess kann sich als umständlich und teuer erweisen, insbesondere wenn man digitale Identitäten braucht, die weltweit anerkannt und vertrauenswürdig sind. In vielen Fällen bieten lokale oder kostenlose Public Key Infrastrukturen nicht die nötige Sicherheit, um Geräteidentitäten in einer globalen Umgebung ordnungsgemäß zu sichern.

Jetzt Newsletter abonnieren Verpassen Sie nicht unsere besten Inhalte Geschäftliche E-Mail Bitte geben Sie eine gültige E-Mailadresse ein. Newsletter abonnieren Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Aufklappen für Details zu Ihrer Einwilligung Stand vom 15.04.2021 Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Einwilligung in die Verwendung von Daten zu Werbezwecken Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden. Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden. Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Recht auf Widerruf Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Glücklicherweise gibt es zahlreiche Unternehmen, die keine PKI-Probleme haben. Sie arbeiten mit Organisationen zusammen, die PKI-Plattformen und voll funktionsfähige IoT-Registrierungsdienste für Geräteidentitäten bereitstellen.

Managed Services haben an dieser Stelle einige Vorteile. Sie kombinieren bewährte Technologien mit der Kompetenz erfahrener PKI-Experten, die mit aktuellen Praktiken und Standards ausreichend vertraut sind. Statt kostspieliger Investitionen in eine vor Ort eingerichtete PKI, profitieren Unternehmen von planbaren monatlichen Betriebskosten.

Vereinfachte, optimierte und gehärtete Geräteregistrierung

Hersteller von IoT-Geräten wie auch Betreiber kritischer Infrastrukturen erhoffen sich im Wesentlichen drei Resultate von einem Identitätsregistrierungsdienst: Sie wünschen sich eine vereinfachte Konfiguration, Einrichtung und Registrierung der Geräteidentität, einen optimierten Betrieb mit einer optimierten Registrierung innerhalb der PKI-Plattform sowie gehärtete Registrierungsprotokolle und Gerätesicherheit.

Im Folgenden betrachten wie diese drei Faktoren etwas genauer:

1. Vereinfachte Konfiguration, Einrichtung und Registrierung der Geräteidentität:

Public-Key-Infrastrukturen und die Registrierungsfunktion für die Geräteidentität stellen für Unternehmen nicht selten eine Herausforderung dar. Wer eine verwaltete PKI und einen Identitätsregistrierungsdienst verwendet, der beseitigt kostspielige interne Entwicklungs-, Implementierungsrisiken und Verwaltungsprobleme. Das setzt wertvolle Ressourcen frei, und Unternehmen können sich auf ihre Kernkompetenzen konzentrieren. Nicht wenige Firmen greifen immer noch auf unterschiedliche Anbieter zurück, um sämtliche Schritte der PKI- und Geräteregistrierung abzudecken. Eine konsolidierte Plattform, die auf einem integrierten Framework basiert, eliminiert Sicherheitslücken und gewährleistet die ordnungsgemäße Einrichtung.

2. Optimierter Betrieb mit einer optimierten Registrierung an der PKI:

Eine cloudbasierte, gebündelte Identitätsregistrierungslösung gewährleistet die Zuverlässigkeit, Verfügbarkeit und Skalierbarkeit einer gut konzipierten kommerziellen Registrierungsstelle - zu einem Bruchteil der internen Kosten. Sie stellt einen sicheren, kommerziellen Identitätsverwaltungsservice für Geräte zur Verfügung, entlastet die betrieblich Verantwortlichen und adressiert Bedenken. Als Funktion wird die Zertifikatsverwaltung immer wichtiger. Ein Identitätsregistrierungsdienst ermöglicht genau diese Verwaltung, und ist deshalb zwingend erforderlich. Die Ausstellung von Zertifikaten erfolgt besonders sicher und direkt, wenn eine PKI-basierte IoT-Identitätsplattform auch von einer WebTrust-geprüften Zertifizierungsstelle unterstützt wird.

3. Gehärtete Protokolle zur Identitätsregistrierung und Gerätesicherheit:

Jedes IoT-Ökosystem legt das Sicherheitsniveau anhand seiner eigenen Kriterien und eines akzeptablen Risikos fest. Je höher der Wert eines IoT-Geräts, Gateways, Netzwerks oder Ökosystems, desto strenger muss das Protokoll zur Identitätsregistrierung sein. Hier profitiert man von einem PKI- und Identitätsregistrierungsdienst, der einen mehrschichtigen Sicherheitsansatz verfolgt. Ein solcher Ansatz erlaubt verschiedene Optionen für die Richtliniendefinition und die Protokolle zur Identitätsregistrierung und kann unterschiedliche Sicherheitsstufen berücksichtigen. Anpassbare Richtlinien zur Identitätsprüfung ermöglichen es, Sicherheitsstufen anhand der jeweiligen spezifischen Kriterien zu definieren, festzulegen und zu verwalten. Dazu zählt so gut wie alles, was die Sicherheit der Identitätsregistrierung maximiert - von einfachen White Lists bis hin zur TPM-Bescheinigung (Trusted Platform Module). IoT-Security ist eine individuelle Entscheidung, deshalb sollte man die Sicherheitsstufen entsprechend anpassen können und nicht auf voreingestellte Lösungen zurückgreifen müssen.

IoT-Geräte- und Halbleiterhersteller sowie Betreiber kritischer Infrastrukturen erhoffen sich weitgehend die gleichen Ergebnisse von ihrer PKI und einem Identitätsregistrierungsdienst. Trotzdem haben sie ihre ganz eigenen Anforderungen. Und diese Anforderungen sind eindeutig an ihre Funktion und ihren Platz innerhalb der Lieferkette gebunden.

IoT-Anbieter

IoT-Anbieter stehen am Anfang oder in der Mitte der Lieferkette. Sie sind entweder Original Equipment Manufacturers (OEMs), Original Design Manufacturers (ODMs) oder bieten Electronics Manufacturing Services (EMSs). Oder sie sind Halbleiterhersteller von Smart Chips oder TPMs, die in Gerätekomponenten verbaut werden.

Es kann sich aber auch um die Komponenten selbst handeln, die wiederum in Geräte eingebaut werden, oder um ein IoT-Gerät, das für den Verkauf programmiert wird. Am Anfang der Lieferkette befasst man sich mit den Auswirkungen der nachgelagerten Geräteidentität. Das Einbeziehen der Chip-, Komponenten- oder Geräteidentität in dieser Phase ist das beste Beispiel für Security by Design. Dabei wird die Identität bereits während der Entwicklung und Produktion berücksichtigt, um sie später im Lebenszyklus zu gewährleisten und abzusichern. Für Hersteller, die ihren Händlern, Verkäufern oder sogar dem Endverbraucher einen nachgelagerten Mehrwert bieten wollen, ist das ein nicht zu unterschätzender Wettbewerbsvorteil.

Da überrascht es nicht, dass sich die Hersteller vor allem mit Funktionen zur Bereitstellung von Identitäten oder den ersten Schritten der Registrierung einer PKI-Geräteidentität befassen. Für Hersteller ist die Einrichtung von PKI und Identitätsregistrierung ein wichtiges Anliegen, denn sie müssen für jeden einzelnen Anwendungsfall oder Produktionslauf eindeutig konfiguriert werden. Die Automatisierung dieser Funktion oder die automatische Registrierung der Identität sind ebenfalls wichtige Gesichtspunkte. Anbieter von IoT-Lösungen brauchen schnellere Vorgehensweisen und eine taugliche Anleitung. Gleichzeitig müssen sie ihre eng getakteten Produktionspläne einhalten - ansonsten verzögert sich die Markteinführung der Produkte.

An dieser Stelle bieten Anleitungen von Expertinnen und Experten dazu, wie man Zertifikatsprofile am besten konfiguriert, und Vorlagen für das Identitätsmanagement einen erheblichen Mehrwert. Bei der Registrierung der IoT-Geräteidentität werden auch zertifikatsbasierte Geräteauthentifizierungsprotokolle definiert, um angemessene Sicherheitsstufen festzulegen.

Kritische IoT-Infrastrukturbetreiber

Betreiber von kritischen IoT-Infrastrukturen sind in der Lieferkette etwas weiter hinten angesiedelt. Dazu zählt jede Organisation, die mehrere Geräte verwaltet, einen IoT-Dienst anbietet oder über eine IoT-Plattform oder -Anwendung verfügt. Das können Netzbetreiber, Regierungseinrichtungen/Kommunen, Smart-Grid- und Smart-Building-Betreiber oder auch Transportunternehmen sein.

Während IoT-Hersteller Geräteidentitäten mit PKI und Identitätsregistrierung bereitstellen, sind kritische Infrastrukturbetreiber die Hauptnutzer dieser Identitäten. Für sie ist Interoperabilität entscheidend. Das heißt, sie müssen sicherstellen, dass jedes Gerät, unabhängig vom Hersteller, angeschlossen werden kann – also, dass unterschiedliche Geräte ordnungsgemäß identifiziert, authentifiziert und sicher online geschaltet werden können. Sie befassen sich mit Datenintegrität, Datenschutz und sicherer Kommunikation. Ihre Netzwerke sind weiterhin gegen Eindringlinge von außen gesichert, die beispielsweise Unternehmensspionage betreiben, einen Angriff planen, um Geräte zu übernehmen oder nach Hintertüren fahnden, um so das komplette Netzwerk zu infiltrieren. Für kritische IoT- Infrastrukturbetreiber bedeutet das Sichern einer vernetzten Lieferkette, dass die Produkte, die sie von einem OEM, ODM oder EMS erhalten haben, nachweislich echt sind und zu keinem Zeitpunkt manipuliert wurden. Bei der Verwaltung von Geräteidentitäten, die von Herstellern bereitgestellt wurden, profitieren sie am stärksten von einer PKI.

Die IoT-Geräteidentität ist der erste Schritt bei der Registrierung von PKI und Identität

PKI sind die De-facto-Plattformen für Anmeldeinformationen im Bereich IoT-Security. Darüber hinaus werden sie von den meisten der führenden IoT-Plattformen unterstützt. Halbleiterhersteller, OEMs, ODMs, EMSs und kritische IoT-Infrastrukturbetreiber verlassen sich auf IoT-Geräteidentitäten und die PKI, um ihre Geräte, Netzwerke und Ökosysteme abzusichern.

PKI-Experten, die einen sicheren, skalierbaren und interoperablen Dienst zur Registrierung von Geräteidentitäten bereitstellen, der auf einer einzigen, leistungsstarken Identitäts-Cloud-Plattform basiert, eröffnen einen bewährten Weg, um Geräteidentitäten bereitzustellen und zu verwalten.

Damit lassen sich Zertifikatsidentitäten über den gesamten Lebenszyklus hinweg verwalten, man überwindet innerbetriebliche Probleme mit einer PKI oder bei der Identitätsregistrierung und man räumt potenzielle Hindernisse bei der Geräteidentität aus dem Weg.

* Lancen LaChance arbeitet als Vice President für Produktmanagement, IoT-Lösungen und ist verantwortlich für die Steuerung der gesamten IoT-Produktstrategie, Partnerschaften und die Roadmap bei Global Sign.

(ID:47138465)

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels