Schutz für Ihr Internet der Dinge von Grund...
Transcript of Schutz für Ihr Internet der Dinge von Grund...
Schutz für Ihr
Internet der Dinge
von Grund auf
Umfassende, integrierte Sicherheitsfeatures
der Microsoft Azure IoT Suite
Schutz für Ihr Internet der Dinge von Grund auf
Kurzfassung Das Internet der Dinge (Internet of Things, IoT) stellt Unternehmen auf der ganzen
Welt in den Bereichen Sicherheit, Datenschutz und Compliance vor besondere
Herausforderungen. Im Gegensatz zu herkömmlicher Cybertechnologie, bei der
diese Themen auf die Software und deren Implementierung beschränkt sind, kommt
es beim IoT zu einer Verschmelzung von Cyberwelt und physischer Welt. Der Schutz
von IoT-Lösungen erfordert eine sichere Gerätebereitstellung, sichere Verbindungen
zwischen den Geräten und der Cloud sowie einen erstklassigen Schutz der in der Cloud
verarbeiteten oder gespeicherten Daten. Demgegenüber stehen Geräte mit begrenzten
Ressourcen, der geographisch verteilte Einsatz und eine hohe Anzahl von Geräten
innerhalb einer Lösung.
In diesem Dokument erfahren Sie, wie die Microsoft Azure IoT Suite eine sichere
und private IoT-Cloudlösung bereitstellt. Die Azure IoT Suite bietet eine umfassende
End-to-End-Lösung mit integrierten Sicherheitsfeatures für jede einzelne Phase.
Sicherheit ist bei Microsoft fester Bestandteil des Softwareentwicklungsprozesses. Dies
verdanken wir nicht zuletzt unserer jahrzehntelangen Erfahrung in der Entwicklung von
sicherer Software. Der als Entwicklungsgrundlage fungierende Security Development
Lifecycle (SDL) wird daher mit einer ganzen Reihe von Sicherheitsdiensten auf
Infrastrukturebene kombiniert. Hierzu zählen etwa OSA (Operational Security Assurance)
und die Microsoft Digital Crimes Unit sowie das Microsoft Security Response Center
und das Microsoft-Center zum Schutz vor Malware.
Die einzigartigen Features der Azure IoT Suite machen die Bereitstellung,
Verbindungsherstellung und Datenspeicherung über IoT-Geräte einfach, transparent
und vor allem sicher. In diesem Dokument gehen wir auf die Sicherheitsfeatures der
Azure IoT Suite sowie auf Bereitstellungsstrategien zur Bewältigung von Sicherheits-,
Datenschutz- und Complianceherausforderungen ein.
Das Dokument ist wie folgt strukturiert:
Einführung. Enthält Informationen zu den wesentlichen Sicherheitsproblemen
jeder IoT-Lösung sowie Punkte, die bei der Suche nach einem IoT-
Lösungsanbieter zu beachten sind.
Vorteile der vertrauenswürdigen Cloud von Microsoft. Eine Besprechung
der Rolle von Microsoft als etablierter vertrauenswürdiger Cloudanbieter sowie
der Cloudfeatures, die bei allen Software- und Clouddiensten von Microsoft
für Sicherheit sorgen.
Die umfassenden Komponenten, die die Azure IoT Suite so besonders
machen. Wir beschäftigen uns mit Azure als vertrauenswürdige Plattform
mit integrierten Sicherheits-, Compliance-, Datenschutz-, Transparenz- und
Steuerungsfeatures. Im Anschluss gehen wir darauf ein, wie die Kombination
einzelner Plattformkomponenten das Fundament für die Azure IoT Suite
bildet. Und wir beschäftigen uns ausführlicher damit, wie diese einzelnen
Komponenten eine sichere Gerätebereitstellung, Konnektivität, Verarbeitung
und Speicherung gewährleisten.
Schutz Ihrer Cloud-Infrastruktur. Auf der Grundlage der Azure IoT Suite und
Technologien von Microsoft stellen wir wichtige Tipps und bewährte Methoden
zum Schutz von IoT-Bereitstellungen vor.
Schutz für Ihr Internet der Dinge von Grund auf
Einführung ............................................................................................................................................................. 1
Microsoft – eine von Grund auf sichere Infrastruktur ......................................................................... 2
Microsoft Azure – eine sichere IoT-Infrastruktur für Ihr Unternehmen ....................................... 2
Sichere Gerätebereitstellung und -authentifizierung ..................................................................... 3
Sichere Verbindungen ................................................................................................................................. 4
Sichere Verarbeitung und Speicherung in der Cloud ..................................................................... 5
Schützen einer IoT-Infrastruktur .................................................................................................................. 6
IoT-Hardwarehersteller/-integrator ....................................................................................................... 7
IoT-Lösungsentwickler ................................................................................................................................. 7
IoT-Lösungsbereitsteller ............................................................................................................................. 8
IoT-Lösungsbetreiber ................................................................................................................................... 8
Fazit .......................................................................................................................................................................... 9
Anhang ................................................................................................................................................................. 10
1 Schutz für Ihr Internet der Dinge von Grund auf
Einführung Das Internet der Dinge (Internet of Things, IoT) der Trend der Zukunft und bietet
Unternehmen unmittelbare und greifbare Chancen zur Kostensenkung,
Umsatzsteigerung und geschäftlichen Entwicklung. Aufgrund von Sicherheits-,
Datenschutz- und Compliancebedenken stehen jedoch viele Unternehmen der
Bereitstellung von IoT skeptisch gegenüber. Dies ist nicht zuletzt auf die Besonderheit
der IoT-Infrastruktur zurückzuführen, die nicht nur die Cyberwelt mit der physischen
Welt verbindet, sondern auch die individuellen Risiken der beiden Welten mit sich
bringt. Die Gewährleistung der IoT-Sicherheit erfordert die Wahrung der Integrität
des auf den Geräten ausgeführten Codes, die Bereitstellung einer Geräte- und
Benutzerauthentifizierung, die eindeutige Definition der Besitzverhältnisse für
Geräte (und die Daten, die auf diesen Geräten generiert werden) sowie die Abwehr
von Cyberangriffen und physischen Angriffen.
Damit kommen wir zum Datenschutz: Unternehmen benötigen eine transparente
Datensammlung. Sie möchten also unter anderem wissen, was warum gesammelt wird,
wer darauf Zugriff hat und wer den Zugriff steuert. Und schließlich müssen auch
allgemeine Sicherheitsaspekte in Verbindung mit den Geräten und ihren Benutzern
sowie die Einhaltung branchenüblicher Compliancestandards berücksichtigt werden.
Die Bedenken in puncto Sicherheit, Datenschutz, Transparenz und Compliance machen
die Wahl eines geeigneten IoT-Lösungsanbieters zu einer echten Herausforderung.
Die Nutzung einzelner IoT-Software- und -Dienstkomponenten von verschiedenen
Anbietern führt zu Lücken bei Sicherheit, Datenschutz, Transparenz und Compliance,
die nur schwer zu erkennen und noch schwerer zu schließen sind. Ein geeigneter IoT-
Software- und -Dienstanbieter verfügt über eingehende Erfahrung im Betrieb von
Diensten, die sich über mehrere vertikale Märkte und geografische Regionen erstrecken
und sich sicher und transparent skalieren lassen. Und natürlich schadet es auch nicht,
wenn der gewählte Anbieter jahrzehntelange Erfahrungen in der Entwicklung sicherer
Software vorweisen kann, die auf unzähligen Computern auf der ganzen Welt zum
Einsatz kommt, und bestens mit der Bedrohungslage der neuen Welt des Internets
der Dinge vertraut ist.
2 Schutz für Ihr Internet der Dinge von Grund auf
Microsoft –
eine von Grund auf
sichere Infrastruktur Die Infrastruktur der Microsoft Cloud unterstützt über eine Milliarde Kunden in
127 Ländern. Auf der Grundlage unserer jahrzehntelangen Erfahrung in der Entwicklung
von Unternehmenssoftware und im Betrieb der umfangreichsten Onlinedienste der Welt
bieten wir ein höheres Maß an erweiterter Sicherheit, Datenschutz, Compliance und
Bedrohungsabwehr als die meisten Kunden für sich selbst erreichen können.
Bei unserem Security Development Lifecycle (SDL) handelt es sich um einen
obligatorischen, unternehmensweiten Entwicklungsprozess, der dafür sorgt, dass
Sicherheitsaspekte in den gesamten Softwarelebenszyklus einfließen. Durch die strikten
Sicherheitsrichtlinien unseres OSA-Prozesses (Operational Security Assurance) wird bei
allen betrieblichen Aktivitäten ein konstant hohes Sicherheitsniveau erreicht. Darüber
hinaus arbeiten wir mit externen Prüfungsgesellschaften zusammen, die sich regelmäßig
davon überzeugen, dass wir unseren Compliancepflichten nachkommen, und setzen uns
durch die Einrichtung von Kompetenzzentren wie der Microsoft Digital Crimes Unit, dem
Microsoft Security Response Center und dem Microsoft-Center zum Schutz vor Malware
auf breiter Front für Sicherheit ein.
Microsoft Azure –
eine sichere IoT-
Infrastruktur für Ihr
Unternehmen Microsoft Azure bietet eine umfassende Cloudlösung, die eine stetig wachsende Anzahl
integrierter Clouddienste (Analyse, Machine Learning, Speicherung, Sicherheit, Netzwerk
und Web) mit einem branchenführenden Engagement für Datensicherheit und
Datenschutz kombiniert. Unsere Strategie der angenommenen Sicherheitsverletzung
(Assume Breach) basiert auf einem speziellen Expertenteam aus dem Bereich
Softwaresicherheit, das durch simulierte Angriffe ermittelt, wie gut Azure für die
Erkennung und Abwehr neuer Bedrohungen sowie für die Überwindung von
Sicherheitsverletzungen gewappnet ist. Unser globales Sicherheitsteam arbeitet rund um
die Uhr an der Kompensierung der Auswirkungen von Angriffen und böswilligen
Aktivitäten. Dabei folgt das Team bewährten Prozeduren für Vorfallsmanagement,
3 Schutz für Ihr Internet der Dinge von Grund auf
Kommunikation und Wiederherstellung und verwendet auffind- und berechenbare
Schnittstellen mit internen und externen Partnern.
Unsere Systeme bieten kontinuierliche Angriffserkennung und -abwehr, Abwehr
von Angriffen auf Dienste, regelmäßige Eindringtests sowie forensische Tools zur
Bedrohungserkennung und -kompensierung. Die mehrstufige Authentifizierung bietet
ein zusätzliches Maß an Sicherheit für Endbenutzer, die auf das Netzwerk zugreifen.
Und für den Anwendungs- und Hostanbieter bieten wir Zugriffssteuerung,
Überwachung, Antischadsoftware, Überprüfung auf Sicherheitslücken, Patches
und Konfigurationsverwaltung.
Die Microsoft Azure IoT Suite profitiert von den integrierten Sicherheits- und
Datenschutzfeatures der Azure-Plattform sowie von unseren SDL- und OSA-Prozessen
zur sicheren Entwicklung und Verwendung sämtlicher Microsoft-Software. Diese
Verfahren gewährleisten den Schutz der Infrastruktur und des Netzwerks und bieten
Identitäts- und Verwaltungsfeatures, die für die Sicherheit jeder Lösung unverzichtbar
sind.
Der in der IoT Suite enthaltene Azure IoT Hub bietet einen vollständig verwalteten
Dienst für die zuverlässige und sichere, bidirektionale Kommunikation zwischen IoT-
Geräten und Azure-Diensten wie Azure Machine Learning und Azure Stream Analytics
auf der Grundlage von gerätespezifischen Sicherheitsanmeldeinformationen und
entsprechender Zugriffssteuerung.
Zur optimalen Nachvollziehbarkeit der integrierten Sicherheits- und Datenschutzfeatures
der Azure IoT Suite haben wir die Suite in die drei wesentlichen Sicherheitsbereiche
unterteilt.
Sichere Gerätebereitstellung und -authentifizierung
Die Azure IoT Suite schützt Geräte im Außendienst mithilfe eines eindeutigen,
gerätespezifischen Identitätsschlüssels, den die IoT-Infrastruktur während der
Nutzung des Geräts verwenden kann, um mit dem Gerät zu kommunizieren. Der
Prozess lässt sich schnell und einfach einrichten. Der generierte Schlüssel mit einer
vom Benutzer gewählten Geräte-ID bildet die Grundlage für ein Token, das bei jeglicher
Kommunikation zwischen dem Gerät und dem Azure IoT Hub verwendet wird.
4 Schutz für Ihr Internet der Dinge von Grund auf
Geräte-IDs können einem Gerät bei der Herstellung zugeordnet (also auf ein
Hardwaremodul geschrieben) werden oder eine vorhandene feste Identität als Proxy
verwenden (beispielsweise CPU-Seriennummern). Da sich diese Geräteidentifizierung
nicht so ohne Weiteres ändern lässt, empfiehlt sich die Einführung logischer Geräte-IDs
für den Fall, dass sich die zugrunde liegende Gerätehardware ändert, das logische Gerät
aber unverändert bleibt. In bestimmten Fällen kann die Zuordnung einer Geräteidentität
bei der Bereitstellung des Geräts erfolgen. Hierbei konfiguriert ein authentifizierter
Außendiensttechniker während der Kommunikation mit dem Back-End der IoT-Lösung
physisch ein neues Gerät. Die Azure IoT Hub-Identitätsregistrierung ermöglicht die
sichere Speicherung von Geräteidentitäten und Sicherheitsschlüsseln für eine Lösung.
Zur umfassenden Steuerung des Gerätezugriffs können Geräteidentitäten einzeln oder
gruppenweise einer Liste mit zugelassenen oder blockierten Identitäten hinzugefügt
werden.
Mithilfe der Azure IoT Hub-Zugriffssteuerungsrichtlinien in der Cloud lässt sich jede
beliebige Geräteidentität aktivieren oder deaktivieren, um bei Bedarf die Zuordnung
eines Geräts zu einer IoT-Bereitstellung aufzuheben. Diese Zuordnung und Trennung
von Geräten basiert jeweils auf der Geräteidentität.
Im Anschluss folgen einige weitere Gerätesicherheitsfeatures:
Geräte akzeptieren keine nicht angeforderten Netzwerkverbindungen. Alle
Verbindungen und Routen sind ausschließlich ausgangsorientiert. Für den
Empfang eines Back-End-Befehls muss das Gerät aktiv eine Verbindung
herstellen und prüfen, ob ein zu verarbeitender Befehl vorhanden ist. Sobald
zwischen dem Gerät und dem IoT Hub eine sichere Verbindung hergestellt
wurde, können Nachrichten transparent zwischen Cloud und Gerät
ausgetauscht werden.
Geräteverbindungen oder -routen werden ausschließlich mit bekannten
Partnerdiensten (etwa mit einem Azure IoT Hub) hergestellt bzw. eingerichtet.
Die Autorisierung und Authentifizierung auf Systemebene basiert auf
gerätespezifischen Identitäten. Dadurch können Zugriffsanmeldeinformationen
und -berechtigungen nahezu umgehend widerrufen werden.
Sichere Verbindungen
Eine robuste Nachrichtenübermittlung (durable messaging) ist ein wichtiges Feature
jeder IoT-Lösung. Die Notwendigkeit einer verlässlichen Übermittlung von Befehlen
und/oder eines entsprechenden Empfangs von Gerätedaten wird durch die Tatsache
verstärkt, dass IoT-Geräte über das Internet oder ähnliche, ggf. unzuverlässige
Netzwerke verbunden sind. Der Azure IoT Hub bietet eine robuste, bestätigungsbasierte
Nachrichtenübermittlung zwischen Cloud und Geräten. Durch die Zwischenspeicherung
von Nachrichten im IoT Hub für bis zu sieben Tage (Telemetrie) bzw. zwei Tage (Befehle)
werden Datenverluste und Inkonsistenzen vermieden.
Effizienz ist wichtig, um in einer Umgebung mit begrenzten Ressourcen einen
ressourcenschonenden Betrieb zu ermöglichen. Der Azure IoT Hub unterstützt
HTTPS (HTTP Secure) – die sichere, branchenübliche Version des beliebten HTTP – für
eine effiziente Kommunikation. AMQP (Advanced Message Queuing-Protokoll) und
MQTT (Message Queuing Telemetry Transport) werden ebenfalls vom Azure IoT Hub
unterstützt und sind neben der effizienten Ressourcennutzung für eine zuverlässige
Nachrichtenübermittlung konzipiert.
5 Schutz für Ihr Internet der Dinge von Grund auf
Die Skalierbarkeit setzt eine sichere Interoperabilität mit vielen verschiedenen
Geräten voraus. Der Azure IoT Hub ermöglicht sichere Verbindungen mit IP-fähigen und
nicht IP-fähigen Geräten. IP-fähige Geräte können direkt eine sichere Verbindung mit
dem Azure IoT Hub herstellen und über diese kommunizieren. Nicht IP-fähige Geräte
verfügen nur über eingeschränkte Ressourcen und können Verbindungen nur über
Kommunikationsprotokolle mit geringer Reichweite (wie Zwave, ZigBee und Bluetooth)
herstellen. Entsprechende Geräte werden mithilfe eines Bereichsgateways aggregiert,
das auch die Protokollübersetzung übernimmt und so eine sichere, bidirektionale
Kommunikation mit der Cloud ermöglicht.
Im Anschluss folgen einige weitere Verbindungssicherheitsfeatures:
Der Kommunikationspfad zwischen Geräten und dem Azure IoT Hub (oder
zwischen Gateways und dem Azure IoT Hub) wird durch die branchenübliche
TLS (Transport Layer Security) geschützt, wobei die Authentifizierung des
Azure IoT Hubs mithilfe des X.509-Protokolls erfolgt.
Zum Schutz von Geräten vor nicht angeforderten, eingehenden Verbindungen
stellt der Azure IoT Hub keinerlei Verbindung mit dem Gerät her. Die
Verbindungsherstellung wird immer vom Gerät initiiert.
Der Azure IoT Hub speichert dauerhaft Nachrichten für Geräte und wartet, bis
ein Gerät eine Verbindung herstellt. Befehle werden zwei Tage lang gespeichert,
sodass auch Geräte, die aufgrund von Energie- oder Verbindungsproblemen
nur unregelmäßig eine Verbindung herstellen, ihre Befehle erhalten. Der
Azure IoT Hub pflegt für jedes Gerät eine eigene Warteschlange.
Sichere Verarbeitung und Speicherung in der Cloud
Mit der Azure IoT Suite sind Ihre Daten sicher – von der verschlüsselten Kommunikation
bis zur Verarbeitung in der Cloud. Außerdem können Sie flexibel eine zusätzliche
Verschlüsselung und Sicherheitsschlüsselverwaltung implementieren.
Die Azure IoT Suite nutzt Azure Active Directory (AAD) für die Benutzerauthentifizierung
und -autorisierung, was die Verwendung eines richtlinienbasierten
Autorisierungsmodells für Daten in der Cloud sowie eine komfortable und überprüfbare
Zugriffsverwaltung ermöglicht. Des Weiteren ermöglicht dieses Modell den nahezu
sofortigen Widerruf des Zugriffs auf Daten in der Cloud sowie von Geräten, die mit
der Azure IoT Suite verbunden sind.
Sobald sich Daten in der Cloud befinden, können sie in einem beliebigen,
benutzerdefinierten Workflow verarbeitet und gespeichert werden. Der Zugriff auf die
einzelnen Teile der Daten wird abhängig vom verwendeten Speicherdienst über Azure
Active Directory gesteuert.
Alle von der IoT-Infrastruktur verwendeten Schlüssel werden in einem sicheren Speicher
in der Cloud gespeichert. Falls Schlüssel neu bereitgestellt werden müssen, kann ein
Rollover durchgeführt werden. Daten können in DocumentDB oder in SQL-Datenbanken
gespeichert werden. Dies ermöglicht die Definition des gewünschten Sicherheitsgrads.
Darüber hinaus bietet Azure die Möglichkeit zur Überwachung sämtlicher Zugriffe auf
Ihre Daten und macht Sie auf Eindringungen und nicht autorisierte Zugriffe aufmerksam.
6 Schutz für Ihr Internet der Dinge von Grund auf
Schützen einer IoT-
Infrastruktur Der Schutz einer IoT-Infrastruktur erfordert eine konsequente und umfassende
Sicherheitsstrategie. Vom Schutz der Daten in der Cloud über den Schutz der
Datenintegrität bei der Datenübertragung über das öffentliche Internet bis hin zu einer
sicheren Gerätebereitstellung sorgt jede einzelne Schicht für ein zusätzliches Maß an
Sicherheit in der Gesamtstruktur. Diese umfassende Sicherheitsstrategie kann unter
aktiver Mitwirkung verschiedener Akteure entwickelt und umgesetzt werden, die in
die Herstellung, Entwicklung und Bereitstellung von IoT-Geräten und -Infrastruktur
eingebunden sind. Im Anschluss folgt eine allgemeine Beschreibung dieser Akteure.
IoT-Hardwarehersteller/-integrator: Hierbei handelt es sich üblicherweise
um die Hersteller der bereitzustellenden IoT-Hardware, um den
Hardwareintegrator, der Hardware von verschiedenen Herstellern
zusammenstellt, oder um den Hardwarelieferanten, der Hardware für eine von
anderen Lieferanten hergestellte oder integrierte IoT-Bereitstellung bereitstellt.
IoT-Lösungsentwickler: Die Entwicklung einer IoT-Lösung übernimmt in der
Regel ein Lösungsentwickler. Dabei kann es sich um ein Mitglied eines internen
Teams oder um einen auf diese Arbeit spezialisierten Systemintegrator (SI)
handeln. Der IoT-Lösungsentwickler kann verschiedene Komponenten
der IoT-Lösung von Grund auf neu entwickeln, verschiedene Standard- oder
Open Source-Komponenten integrieren oder vorkonfigurierte Lösungen mit
geringfügigen Anpassungen übernehmen.
IoT-Lösungsbereitsteller: Die entwickelte IoT-Lösung muss für den Betrieb
bereitgestellt werden. Dieser Prozess beinhaltet die Bereitstellung der
Hardware, die Verbindung der Geräte und die Bereitstellung von Lösungen
in Hardwaregeräten oder in der Cloud.
IoT-Lösungsbetreiber: Die bereitgestellte IoT-Lösung muss langfristig
betrieben, überwacht, auf dem neuesten Stand gehalten und gewartet
werden. Diese Aufgaben können von internen Spezialisten aus den Bereichen
Informatik, Hardwarebetrieb/-wartung und Domänen übernommen werden, die
den ordnungsgemäßen Betrieb der gesamten IoT-Infrastruktur überwachen.
Im Anschluss folgen einige bewährte Methoden, auf deren Grundlage die jeweiligen
Akteure eine sichere IoT-Infrastruktur entwickeln, bereitstellen und betreiben können.
7 Schutz für Ihr Internet der Dinge von Grund auf
IoT-Hardwarehersteller/-integrator
Auslegung der Hardware auf die Mindestanforderungen: Es reicht, wenn
das Hardwaredesign die Mindestanforderungen für den Hardwarebetrieb
erfüllt. Fügen Sie also beispielsweise nur dann USB-Anschlüsse hinzu, wenn
diese für den Betrieb des Geräts erforderlich sind. Jedes zusätzliche Feature
macht das Gerät anfällig für unerwünschte Angriffsvektoren. Dies gilt es
zu vermeiden.
Manipulationssichere Hardware: Integrieren Sie Mechanismen zur Erkennung
physischer Hardwaremanipulationen (etwa das Öffnen einer Geräteabdeckung
oder das Entfernen eines Geräteteils). Diese Manipulationssignale können in
den an die Cloud hochgeladenen Datenstrom eingebettet werden, um die
Betreiber auf solche Vorfälle aufmerksam zu machen.
Sichere Hardware als Grundlage: Integrieren Sie Sicherheitsfeatures wie
sichere und verschlüsselte Speicherung und TPM-basierten Systemstart
(sofern kostenseitig möglich). Diese Features erhöhen die Gerätesicherheit
und tragen zum Schutz der gesamten IoT-Infrastruktur bei.
Sichere Upgrades: Im Laufe der Zeit ist ein Upgrade der Gerätefirmware
unvermeidlich. Geräte müssen daher mit sicheren Upgradepfaden und einer
kryptografisch geschützten Firmwareversion ausgestattet werden, damit sie
sowohl während eines Upgrades als auch danach geschützt sind.
IoT-Lösungsentwickler
Methodik für die Entwicklung sicherer Software: Der Sicherheitsaspekt
muss in jeder Entwicklungsphase der Software berücksichtigt werden – vom
ersten Projektkonzept bis zur Implementierung, Testphase und Bereitstellung.
Diese Methodik beeinflusst die Wahl der Plattformen, Sprachen und Tools.
Der Microsoft Security Development Lifecycle ermöglicht eine strukturierte
Herangehensweise an die Entwicklung sicherer Software.
Vorsicht bei der Wahl der Open Source-Software: Open Source-Software
ermöglicht eine schnelle Lösungsentwicklung. Achten Sie bei der Wahl von
Open Source-Software darauf, wie aktiv die Community für die jeweilige
Open Source-Komponente ist. Eine aktive Community bedeutet, dass die
Software unterstützt wird und Probleme erkannt und behandelt werden. Eine
intransparente, inaktive Open Source-Software wird dagegen nicht unterstützt,
und mögliche Probleme werden wahrscheinlich nicht erkannt.
Vorsicht bei der Integration: Viele der Sicherheitsschwachstellen von
Software befinden sich am Rand von Bibliotheken und APIs. Funktionen,
die für die aktuelle Bereitstellung gar nicht benötigt werden, sind unter
Umständen weiterhin über eine API-Schicht verfügbar. Überprüfen Sie daher
die Sicherheit aller Schnittstellen der integrierten Komponenten, um den Schutz
des gesamten Systems zu gewährleisten.
8 Schutz für Ihr Internet der Dinge von Grund auf
IoT-Lösungsbereitsteller
Sichere Hardwarebereitstellung: Bei IoT-Bereitstellungen muss Hardware
möglicherweise an unsicheren Orten (etwa in öffentlich zugänglichen
oder nicht überwachten Bereichen) bereitgestellt werden. Stellen Sie
in solchen Fällen sicher, dass die Hardwarebereitstellung bestmöglich vor
Manipulationsversuchen geschützt ist. Achten Sie bei Hardware, die über USB-
Ports oder andere Anschlüsse verfügt, darauf, dass diese sicher abgedeckt sind.
Diese Anschlüsse fungieren bei vielen Angriffsvektoren als Einstiegspunkt.
Geschützte Authentifizierungsschlüssel: Im Zuge der Bereitstellung
muss der Clouddienst für jedes Gerät Geräte-IDs und dazugehörige
Authentifizierungsschlüssel generieren. Diese Schlüssel müssen auch
nach erfolgter Bereitstellung physisch geschützt werden. Mit einem
kompromittierten Schlüssel kann ein böswilliger Benutzer ein anderes
Gerät als vorhandenes Gerät ausgeben.
IoT-Lösungsbetreiber
Konsequente Aktualisierung des Systems: Stellen Sie sicher, dass die
Gerätebetriebssysteme sowie sämtliche Gerätetreiber stets auf die jeweils
neueste Version aktualisiert werden. Windows 10 (IoT oder andere SKUs)
wird bei aktivierten automatischen Updates von Microsoft auf dem neuesten
Stand gehalten, sodass Ihnen ein sicheres Betriebssystem für IoT-Geräte zur
Verfügung steht. Andere Betriebssysteme (wie etwa Linux) müssen ebenfalls
auf dem aktuellen Stand gehalten werden, um sie vor Angriffen zu schützen.
Schutz vor böswilligen Aktivitäten: Statten Sie nach Möglichkeit
jedes Gerätebetriebssystem mit den neuesten Antiviren- und
Antischadsoftwarefunktionen aus. Dadurch lässt sich der Großteil der externen
Bedrohungen abwenden. Die meisten modernen Betriebssysteme (wie etwa
Windows 10 IoT und Linux) können durch geeignete Maßnahmen vor dieser
Bedrohung geschützt werden.
Häufige Überprüfung: Im Zuge der Reaktion auf Sicherheitsvorfälle ist eine
Überprüfung der IoT-Infrastruktur auf Sicherheitsprobleme unverzichtbar. Die
meisten Betriebssysteme wie etwa Windows 10 (IoT und andere SKUs) verfügen
über integrierte Ereignisprotokolle, die regelmäßig auf Sicherheitsverletzungen
geprüft werden müssen. Überwachungsinformationen können als separater
Telemetriedatenstrom an den Clouddienst gesendet und analysiert werden.
Physischer Schutz der IoT-Infrastruktur: Die schwersten Angriffe auf die
Sicherheit der IoT-Infrastruktur erfolgen über physischen Gerätezugriff.
Das macht den Schutz vor Missbrauch von USB-Anschlüssen und anderen
physischen Zugriffsformen zu einer wichtigen Sicherheitsmaßnahme. Eine
Schlüsselrolle bei der Aufdeckung einer möglichen Sicherheitsverletzung
spielt die Protokollierung des physischen Zugriffs (etwa die Verwendung
eines USB-Anschlusses). Auch in diesem Bereich bietet Windows 10
(IoT und andere SKUs) eine ausführliche Protokollierung solcher Ereignisse.
Schutz der Cloudanmeldeinformationen: Der einfachste Weg, um sich
Zugriff auf ein IoT-System zu verschaffen und es zu schädigen, führt über die
Cloudanmeldeinformationen zur Authentifizierung, die für die Konfiguration
und den Betrieb einer IoT-Bereitstellung verwendet werden. Schützen Sie die
Anmeldeinformationen durch häufige Kennwortänderungen, und verwenden
Sie die Anmeldeinformationen nicht auf öffentlich zugänglichen Computern.
9 Schutz für Ihr Internet der Dinge von Grund auf
Beachten Sie, dass sich die Funktionen von IoT-Gerät zu IoT-Gerät unterscheiden.
Einige Geräte sind möglicherweise vollwertige Computer mit einem gängigen
Desktopbetriebssystem, andere sind dagegen womöglich nur mit einem abgespeckten
Betriebssystem ausgestattet. Die oben beschriebenen Sicherheitsempfehlungen lassen
sich möglicherweise nicht immer in vollem Umfang auf diese Geräte anwenden. Halten
Sie sich daher an die zusätzlichen Sicherheits- und Bereitstellungsempfehlungen des
jeweiligen Geräteherstellers (sofern vorhanden).
Einige ältere und eingeschränkte Geräte wurden möglicherweise nicht speziell für die
IoT-Bereitstellung konzipiert. Diesen Geräten mangelt es unter Umständen an einer
Funktion zur Datenverschlüsselung, Herstellung einer Internetverbindung, erweiterten
Überwachung oder Ähnlichem. In diesen Fällen empfiehlt sich ggf. der Einsatz eines
modernen und sicheren Bereichsgateways, das die Daten älterer Geräte aggregiert
und für die nötige Sicherheit sorgt, um für diese Geräte eine Internetverbindung
herzustellen. Das Bereichsgateway übernimmt in diesem Fall die sichere
Authentifizierung, die Aushandlung verschlüsselter Sitzungen, den Empfang
von Befehlen aus der Cloud und viele weitere Sicherheitsaufgaben.
Fazit Das Internet der Dinge beginnt mit den Dingen, die für Ihr Unternehmen am wichtigsten
sind. Durch Möglichkeiten zur Kostensenkung, Umsatzsteigerung und geschäftlichen
Entwicklung können Unternehmen in erheblichem Umfang vom IoT profitieren. Der
Erfolg dieses Prozesses hängt sehr stark von der Wahl des richtigen IoT-Software-
und -Dienstanbieters ab. Dieser muss nicht nur den Prozess durch sein Verständnis
der geschäftlichen Anforderungen unterstützen, sondern auch Dienste und Software
bereitstellen, die mit einem besonderen Augenmerk auf Sicherheit, Datenschutz,
Transparenz und Compliance konzipiert wurden. Microsoft verfügt über eingehende
Erfahrung in der Entwicklung und Bereitstellung sicherer Software und Dienste und wird
seiner Führungsrolle auch im Zeitalter des Internets der Dinge gerecht.
Die Azure IoT Suite von Microsoft ist standardmäßig mit integrierten
Sicherheitsmaßnahmen ausgestattet. Diese ermöglichen Effizienzsteigerungen
durch sichere Ressourcenüberwachung, Innovationsförderung durch gesteigerte
Betriebsleistung und geschäftliche Entwicklungen durch innovative Datenanalysen.
Das schichtbasierte Sicherheitskonzept und die verschiedenen Sicherheitsfeatures
und Entwurfsmuster der Azure IoT Suite ermöglichen die Bereitstellung einer
vertrauenswürdigen Infrastruktur, mit der sich jedes Unternehmen umgestalten lässt.
10 Schutz für Ihr Internet der Dinge von Grund auf
Anhang Jede vorkonfigurierte Lösung der Azure IoT Suite erstellt Instanzen von Azure-Diensten.
Hierzu zählen beispielsweise folgende:
Azure IoT Hub: Das Gateway, das die Cloud mit Dingen verbindet. Dabei
können pro Hub mehrere Millionen Verbindungen genutzt und immense
Datenmengen verarbeitet werden (mit gerätespezifischen Authentifizierung
zum Schutz Ihrer Lösung).
Azure DocumentDB: Ein skalierbarer, vollständig indizierter Datenbankdienst
für halbstrukturierte Daten zur Verwaltung der Metadaten bereitgestellter
Geräte (wie etwa Attribute, Konfigurationen und Sicherheitseigenschaften).
DocumentDB zeichnet sich durch eine leistungs- und durchsatzstarke
Verarbeitung, schemaunabhängige Datenindizierung und vielseitige
SQL-Abfrageschnittstelle aus.
Azure Stream Analytics: Echtzeit-Datenstromverarbeitung in der Cloud, mit
der Sie im Handumdrehen eine kostengünstige Analyselösung entwickeln und
bereitstellen können, um in Echtzeit Einblicke in Geräte, Sensoren, Infrastruktur
und Anwendungen zu gewinnen. Die Daten aus diesem vollständig verwalteten
Dienst können ohne Kompromisse bei Durchsatz, Latenz und Resilienz auf ein
beliebiges Maß skaliert werden.
Azure App Services: Eine Cloudplattform zur Erstellung leistungsstarker
Web-Apps und mobiler Apps mit ortsunabhängigem Datenzugriff – ob in der
Cloud oder lokal. Erstellen Sie interessante mobile Apps für iOS, Android
und Windows. Profitieren Sie von der Integration in Ihre Software-as-a-
Service (SaaS)- und Unternehmensanwendungen mit unmittelbarem Zugriff
auf zahlreiche cloudbasierte Dienste und Unternehmensanwendungen.
Erstellen Sie Web-Apps und APIs noch schneller – mit Ihrer bevorzugten
Programmiersprache und IDE (.NET, NodeJS, PHP, Python oder Java).
Logik-Apps: Das Logik-Apps-Feature von Azure App Service vereinfacht die
Integration Ihrer IoT-Lösung in Ihre vorhandenen Branchensysteme sowie die
Automatisierung von Workflowprozessen. Mit Logik-Apps können Entwickler
Workflows entwerfen, die nach ihrer Auslösung eine Reihe von Schritten
(Regeln und Aktionen mit leistungsstarken Konnektoren zur Integration in Ihre
geschäftlichen Prozesse) durchführen. Logik-Apps ermöglicht den umgehenden
Zugriff auf ein umfangreiches Ökosystem mit SaaS-Anwendungen sowie mit
cloudbasierten und lokalen Anwendungen.
Blob Storage: Zuverlässiger, wirtschaftlicher Cloudspeicher für die Daten,
die Ihre Geräte an die Cloud senden.
11 Schutz für Ihr Internet der Dinge von Grund auf
© 2016 Microsoft Corporation. Alle Rechte vorbehalten.
Dieses Dokument wird in der vorliegenden Form zur Verfügung gestellt. Die in diesem Dokument enthaltenen
Ansichten und Informationen (einschließlich URLs und andere Verweise auf Websites) können ohne vorherige
Ankündigung geändert werden. Sie tragen das Risiko der Nutzung.
Einige Beispiele sind fiktiv und dienen lediglich zur Veranschaulichung. Es ist keine tatsächliche Assoziierung
beabsichtigt oder zu entnehmen.
Durch dieses Dokument werden Ihnen keinerlei geistige Eigentumsrechte an Microsoft-Produkten gewährt.
Dieses Dokument darf zur internen Verwendung kopiert werden.