Security-by-Design

Chip-basierte Sicherheit für IoT-Geräte

| Autor / Redakteur: Nisarg Desai / Peter Schmitz

IoT-Sicherheit auf Chip-Ebene bietet einige nicht zu unterschätzende Vorteile.
IoT-Sicherheit auf Chip-Ebene bietet einige nicht zu unterschätzende Vorteile. (Bild: gemeinfrei / Pixabay)

Das Internet of Things (IoT) ist an einem Punkt angekommen, an dem Unternehmen beginnen frühzeitig über Sicherheit nachzudenken. Das ist eine tiefgreifende Veränderung gegenüber den Jahren zuvor als man Sicherheit im Wesentlichen nachgelagert betrachtete. Firmen haben inzwischen erkannt, dass sie Sicherheit bereits im Prozess der Geräteherstellung berücksichtigen müssen.

Der nächste logische Schritt ist folglich, dass sich die Beteiligten überlegen, wie genau so ein Sicherheitsdesign aussehen sollte. Hier kommen Entwickler und Lösungsanbieter ins Boot. Den derzeitig meist verwendeten Ansatz innerhalb der Branche bezeichnet man gemeinhin als „Security-by-Design“. Security-by-Design ist als solches kein neues Konzept: Dahinter steckt der Gedanke, Sicherheitsbedenken, -überlegungen und Best Practices so früh wie möglich in der IoT-Produkt-, Applikations- oder Netzwerkentwicklung zu berücksichtigen um Schwachstellen im nachgelagerten Bereich zu minimieren. Über Security-by-Design soll die Geräteidentität ermittelt und die Datenintegrität sowie die Vertraulichkeit der Kommunikation geschützt werden. Davon profitieren alle. IoT-Benutzer, Geräte, Systeme und Netzwerke.

Bei einem IoT-Gerät berücksichtigen die meisten Fachleute für Security-by-Design potenzielle Gefahren über den gesamten Lebenszyklus des Gerätes hinweg. Das heißt also vom Zeitpunkt der Produktion über die Bereitstellung und schließlich der Außerbetriebnahme. Ein weiterer Vorteil liegt für versierte Entwickler von IoT-Geräten im Wettbewerbsvorteil. Verbraucher und Unternehmen profitieren gleichermaßen von integrierter Sicherheit und haben vor allem die Möglichkeit sich aktiv für solche Geräte zu entscheiden, die Security-by-Design für sich beanspruchen können. Man kann aber noch einen Schritt weitergehen und bereits vor der Montage der Geräte auf der Ebene der Gerätekomponente ansetzen. Oder besser noch, ganz am Anfang einer Lieferkette, auf Chip-Ebene.

Neue Risiken durch IoT in Industriesystemen

Sicherheit und IoT

Neue Risiken durch IoT in Industriesystemen

21.10.19 - Das Internet der Dinge ist insbesondere im Industrieumfeld eine noch junge Technologie. Daher steht bei der Entwicklung von IoT-Komponenten und OT-Lösungen (Operational Technologies) für viele Unternehmen noch immer die Funktionalität im Vordergrund. lesen

Sicherheit für IoT-Geräte: Auf Chip-Ebene

Man kann die Identität eines integrierten Schaltkreises, eines Chips, mit einem digitalen Zertifikat sichern, das von einer PKI-basierten IoT-Zertifizierungsstelle kommt. Damit schafft man eine zweckgebundene IoT-Identitätskette, die tatsächlich am Ausgangspunkt beginnt. Dieser Ansatz sichert IoT-Geräte nicht nur während ihrer gesamten Lebensdauer, sondern schon, bevor ein Gerät montiert oder bereitgestellt wird.

IoT-Sicherheit auf Chip-Ebene bietet einige nicht zu unterschätzende Vorteile. Jetzt kommt es nicht mehr allein auf eine schnelle Produktentwicklung zur Marktreife an sondern gleichermaßen auf Sicherheit bei der Geräteentwicklung. Bei diesem Ansatz müssen Entwickler sich nicht für eine der beiden Optionen entscheiden. Die schnelle Markteinführung geht nicht auf Kosten der Sicherheit und Sicherheit nicht auf Kosten des Time to Market. Entwickler haben vielmehr die Möglichkeit, die Geräteidentität als Teil des ursprünglichen Produktdesigns mit einzubeziehen. Dazu verwenden sie Chips, die Initial Device Identifier, IDevID, eingebetten. IDevID können während der gesamten Lebensdauer authentifiziert oder gegen einen Locally Significant Device Identifier (LDevID) ausgetauscht werden, wenn das Gerät in der Praxis eingesetzt wird.

Geräteanbieter sichern so ihre Lieferketten deutlich besser ab. Viele IoT-Gerätehersteller verlassen sich bei Herstellung, Montage oder Programmierung ihrer Geräte auf Electronic Manufacturing Services (EMS) von Fremdfirmen. Die meisten EMS-Anbieter sind seriös, und sie produzieren und liefern nur, was der Gerätehersteller bestellt. Manchmal führt eine Überproduktion allerdings dazu, dass nicht autorisierte Geräte auf dem „Grey Market“ in Umlauf geraten. Solche Ware bleibt vielfach unerkannt. Eine bei der Herstellung eingebettete Chip-Identität erlaubt eine genaue Nachverfolgung während der Produktion, im Regal und wenn die Geräte schlussendlich eingesetzt werden.

Diese präzise Nachvollziehbarkeit senkt finanzielle Risiken, schützt aber auch die Reputation einer Marke. IoT-Geräte auf Chip-Ebene zu sichern, bietet Firmen aber auch einen erheblichen Wettbewerbsvorteil. Inzwischen fordern die Nutzer von IoT-Geräten nämlich zunehmend ein höheres Sicherheitsniveau. IoT-Sicherheit auf Chip-Ebene entspricht dieser Nachfrage.

PKI: Maßgeblicher Teil der Lösung

Die digitalen Zertifikate, die dem Chip seine Identität geben, werden von einer PKI-Plattform (Public Key Infrastructure) oder einer IoT-Geräte-Identity-Plattform unterstützt und verwaltet. PKI-basierte Zertifikate haben sich zum de-facto-Standard für IoT-Sicherheit entwickelt und sind ein idealer Identitätsmechanismus für die Bereitstellung und Verwaltung aller Arten von Geräteidentitäten inklusive von Mikrochips.

Die Technologie selbst ermöglicht es Benutzern, Daten sicher über das Internet auszutauschen und eine Identität zu überprüfen. Ohne PKI lassen sich entscheidende Informationen wie die Identität einer anderen Partei nicht garantieren. Jedes Gerät/jeder Endpunkt mit einer eindeutigen Identität erlaubt es, dass Geräte sich authentifizieren können, sobald sie online gehen. Weiterhin sind sie über den gesamten Lebenszyklus hinweg in der Lage ihre Integrität nachzuweisen und sicher mit anderen Geräten, Diensten und Benutzern zu kommunizieren.

Auf Chips eingebettete Geräteidentitäten sind eine Errungenschaft des Security-by-Designs und sie schützen ein IoT-Gerät buchstäblich vom Chip bis in die Cloud. Darin liegt eine große Chance. Deshalb schließen sich Unternehmen, die Geräteidentitäten verwalten mit Halbleiterherstellern zusammen

um die Geräteidentität auf Chip-Ebene umzusetzen. Eine solche Partnerschaft besteht beispielsweise zwischen einer globalen IoT-Zertifizierungsstelle (CA) und einem in Taiwan ansässigen globalen Anbieter von integrierten Schaltkreisen. Die CA liefert die PKI-basierte Identitätsbereitstellung, die speziell für das Lebenszyklusmanagement von IoT-Geräteidentitäten entwickelt wurde. Sie stellt für jede integrierte Schaltung ein digitales Zertifikat bereit. Der Hersteller von integrierten Schaltkreisen hat die Hardware entwickelt - einen Chipbrenner, um das digitale Zertifikat in die Chips einzubetten. So lassen sich Identitäten in der frühesten Phase eines Produkts direkt auf dem Chip zuweisen.

Der Chiphersteller kann einen digital identifizierten Chip auf drei unterschiedliche Arten verwenden. Erstens, um die Identität der eigenen Smart-Home-Geräte zu sichern. Zweitens kann er Chips mit eingebettetem Zertifikat generieren und an andere Hersteller verkaufen, die IoT-spezifische Chips anstelle von generischen Mikrochips in Produktdesign und -fertigung integrieren wollen. Drittens hat er die Möglichkeit diese Entwicklung als OEM-Angebot anzubieten.

IoT und IIoT sind erwachsen geworden, die Anwendungsgebiete und Anwendungsfälle sind breit gefächert. Damit einher geht die Weiterentwicklung und sichere Verwendung von Geräteidentitäten. Eine Geräteidentität, eingeführt zum frühestmöglichen Zeitpunkt der Produktentwicklung – nämlich auf Chip-Ebene - schafft eine zweckgebundene IoT-Identitätskette, die direkt am Ausgangspunkt beginnt und für die Lebensdauer des Produkts gilt.

Über den Autor: Nisarg Desai ist Director of Product Management bei GlobalSign.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46256322 / Blockchain, Schlüssel und Zertifikate)