GlobalSign Blog

20 Mär 2015

Überlegungen zum FTC IoT-Report - Careful Connections

Es stimmt durchaus optimistisch, in der letzten Zeit eine Fülle von Diskussionen und Aktivitäten der Aufsichtsbehörden zu Cyber- und Informationssicherheit zu sehen. Insbesondere veröffentlichte die FTC im Januar einen Bericht unter dem Titel Careful Connections (Vorsichtige Verbindungen): Building Security in the Internet of Things (Sicherheit schaffen im Internet der Dinge (IoT)), der Unternehmen Orientierungshilfen geben sollte, wie sie im Internet of Things Mit dem Datenschutz umgehen sollten. Obwohl dieser Bericht sich an Verbraucher richtet und kein detailliertes technisches Anleitungsbuch ist, um Ihr IoT-Ökosystem  zu sichern, skizziert er doch zentrale Leitlinien zum Überdenken und Erstellen einer IoT-Lösung.

Im Folgenden behandeln wir die wichtigsten Punkte, die besonders mit dem GlobalSign- Ansatz übereinstimmen, wenn es um das Sichern von Identitäten im Internet of Things geht.

1. Sicherheit von Anfang an berücksichtigen

Die erste Idee, die möglicherweise die wichtigste für ein sicheres IoT sein könnte, ist die, mit den Grundlagen zu beginnen und Sicherheit von Anfang an zu implementieren. Dieser Punkt scheint offensichtlich zu sein, ist es aber nicht. Schaut man sich allgemein verbreitete Ansätze an und auch die Einschränkungen, mit denen sich zahlreiche IoT-fokussierte Lösungen konfrontiert sehen, steht Sicherheit nicht im Vordergrund des Interesses.

In den weitaus meisten Fällen ist ein potenzieller Mehrwert die treibende Kraft. Dabei wird wenig Rücksicht darauf genommen, einen sicheren Betrieb der Plattform zu gewährleisten. Denn mehr Sicherheit verspricht nicht unbedingt mehr oder wenn, dann nur marginalen Mehrwert für den Nutzer. Sicherheit zu ignorieren oder zu vernachlässigen ist jedoch allerdings für jeden IoT-Praktiker enorm kurzsichtig.

Es ist nämlich ziemlich schwierig, sich eine IoT-Lösung vorzustellen, die einen Mehrwert generiert, wenn die Nutzer ihr nicht vertrauen. Will man die Ressourcen priorisieren, die für IT-Sicherheit aufzuwenden sind, sollte man von einem risikobasierten Ansatz ausgehen. Das heißt, man sollte die sensibelsten Komponenten im System identifizieren und diesen Bereichen Ressourcen vorrangig zuweisen.

2. Existierende Technologien nutzen

Die nächste Empfehlung, die ich geben möchte, ist, das zu nutzen, was Experten bereits über Informationssicherheit gelernt haben. Das Beispiel der Standard-Verschlüsselungsverfahren ist besonders relevant für GlobalSigns PKI-Produktportfolio. Um dieses Konzept ein wenig weiter auszubauen, sollten wir dieses Konzept offensiv auf IoT-Sicherheit und -Vertrauen anwenden. Obwohl etliche der neuen IoT-fähigen Geräte in Bezug auf bestehende Internet-Sicherheitsprotokollen und Ansätze noch eingeschränkte Möglichkeiten haben, integrieren und übernehmen andere bestehende Standards und Best Practices. In diesem Bereich arbeiten wir derzeit mit IoT-Lösungsanbietern zusammen, um Vertrauen und Sicherheit mit Tools wie PKI, OAuth und SAML aufzubauen.

Darüber hinaus behandelt  der Bericht zwei unterschiedliche, aber auf jeden Fall zusammenhängende Gedanken.  Erstens: Ihr Produkt mit Blick auf Authentifizierung zu entwickeln. Zweitens: Zu bedenken wie man Berechtigungen limitiert - oder mit traditionelleren Begriffen bezeichnet: Authentifizierung und Autorisierung bereitstellen. Beiden Konzepte sind wichtige Säulen, die bei jeder IoT-Bereitstellung berücksichtigt werden sollten.

3. Sicherheit über Ihre Organisation hinaus

Der letzte Punkt, den ich hier zusammenfassen möchte, bezieht sich auf das Top-Thema des FTC-Committee: den Aufbau von profunden Sicherheitsgrundlagen und den einer entsprechenden Unternehmenskultur. Ein solcher Ansatz soll sicherstellen, dass externe Dritte und Dienstleister die geforderten Sicherheitskriterien erfüllen und gleichzeitig Ihr Unternehmen mit den bestehenden Ressourcen in der Lage ist, dies zu überprüfen.

Ein Bereich, in dem GlobalSign ganz praktisch unterstützen kann, ist das Bootstrapping von IoT-Sicherheitsanforderungen auf bereits vorhandene Sicherheitsmechanismen, wie ISO- oder WebTrust-Compliance. Es ist klar, dass das IoT eigene Gesetze entwickeln wird, aber existierende Zertifizierungen und Audits fungieren durchaus als intitialer Benchmark.

Zusammenfassend lässt sich sagen, dass der Bericht wichtige Themen und Meinungen zum Internet of Everything präsentiert. Unternehmen können daraus Rückschlüsse für die Sicherheitsmentalität ziehen und ein initiales Ökosystem entwickeln.

Möglichkeiten sind nicht selten mit Gefahren verbunden. Hoffentlich bewegen wir uns als Branche mit den richtigen Gesprächen und der richtigen Führung in die Richtung, IoT-Lösungen zu entwickeln, die nicht nur einen Mehrwert bieten, sondern gleichzeitig Sicherheit und Vertrauen.

Artikel teilen

Jetzt Blog abonnieren