Security-Produkte

Bild: TPM-Chip des Herstellers Infineon
TPM-Chip für IoT-Systeme
Hersteller
Produkt
Beschreibung Referenz
ForgeRock

Identity Platform

  • Dies ist eine "Identity and Access Management Platform" - also eine Software-Infrastruktur, um eindeutige Identitäten Menschen und Geräten eindeutige Identitäten zuzuweisen und diese zu prüfen sowie Rechte zu erteilen und zu entziehen.
  • Die Software lässt sich sich in unterschiedliche IoT-Systeme integrieren.
  • Auf diese Weise können vertrauenswürdige Netzwerke zwischen verschiedenen IoT-Systemen geschaffen werden, die vor Zugriff und Manipulation von aussen geschützt sind.
Beschreibung ForgeRock Identity Plattform
Infineon

OPTIGA TPM

  • Ein sogenanntes "Trusted Platform Module" (TPM) ist ein dedizierter Kryptoprozessor auf einem Gerät. Dieser wird dazu eingesetzt, private Schlüssel so zu erzeugen und zu speichern speichern, dass sie nicht durch bösartige Software ausgelesen werden können. Ferner ermöglicht das TPM zu prüfen, ob die Hard- und Software des Systems manipuliert wurde.
  • In Laptops und Desktops sind TPMs bei den meisten Herstellern standardmässig verbaut, um Ver-/Entschlüsselungsaufgaben wahrzunehmen und die Integrität des Geräts zu gewährleisten.
  • TPMs kommen zunehmend auch in IoT-Systemen zu Einsatz. Dies ermöglicht, dass auch in Embedded Systemen mit geringer Rechenleistung aktuelle Verschlüsselungs- und Authentifzierungsverahren eingesetzt werden können. Ferner kann die Internet-seitige Infrastruktur vor dem Eindringen durch bösartige oder manipulierte Geräte geschützt werden.
Website Infineon OPTIGA TPM
IEEE

802.1X

  • Eine der grössten Sicherheitslücken ist die mangelnde Authentifizierung von IoT-Systemen. Als Folge kann ein Angreifer leicht gefälschte Befehle auf ein IoT-System geben.
  • Der Standard IEEE 802.1X ist eine Erweiterung zum LAN-Protokoll, welche gewährleistet, dass nur authentifizierte Teilnehmer kommunizieren können.
  • Hierzu wird in jedem Netzwerkteilnehmer ein Zertifikat hinterlegt, welches durch einen Authentifizierung-Server - meist ein sogenannter RADIUS - Server - geprüft wird. Ist nach erfolgter Prüfung wird die Netzwerkverbindung freigeschaltet.
  • Es gibt mittlerweile IoT-Produkte wie Netzwerkvideokameras welche IEEE 802.1X unterstützen und somit zum Aufbau eines authentifizierten IoT-Netzwerks eingesetzt werden können.
IEEE 802.1X in AXIS Videokameras
Siemens

Scalance Security Module

  • Diese Firewalls und Router können eingesetzt werden, um eine IoT-Netzwerk im Produktionsumfeld zu segmentieren.
  • Im Gegensatz zu IT-Firewalls sind die Scalance-Module bezüglich Konfigurationsmöglichkeiten, Formfaktor und Verfügbarkeit auf die Anforderungen des Produktionsumfelds ausgelegt.
Website Siemens Scalance Security Module
Diverse

KVM Extender

  • In vielen Fällen werden leider öffentliche und unsichere Lösungen für die Übertragung von Informationen an entfernte Nutzer eingesetzt. Ist der Nutzer an einem entfernten aber fixen Standort, so ist dies gar nicht notwendig.
  • Statt das gesamte Netzwerk nach aussen zu öffnen, können lediglich Monitor-, Maus- und Tastatur-Signale übertragen werden. Das eigentliche IoT-System und seine Informationen bleiben vor Ort. Dadurch sind die Information viel schwerer abzuhören und die Angriffsfläche für Manipulation wird reduziert.
KVM-Extender der Fa. Black Box
ARM

mbed TLS

  • IoT-Geräte sind meist Embedded Systems - d.h. vom Hersteller komplett inklusive Hardware, Betriebssystem und Applikation entwickelte Rechner.
  • Herausfordernd sind für Hersteller meist die geringe Rechenleistung und der hohe Entwicklungsaufwand des Embedded Systems.
  • Der Prozessorhersteller ARM bietet für seine Prozessore auch eine Software-Entwicklungsplattform namens mbed für die IoT-Anbindung und Cloud-Applikation.
  • mbed beinhaltet bereits "out-of-the-box" eine Ende-zu-Ende Verschlüsselung und Authentifizierung vom IoT-Gerät in die Cloud.
Website ARM mbed Security Library
Secucloud

Home Security

  • Das Produkt ist auf IoT-Systeme im Heimbereich ausgerichtet, z.B. Smart TVs oder mit dem Internet verbundene Heizungsanlagen und Kühlschränke..
  • Hierzu wird der Netzwerkverkehr diese Geräte stets über die Cloud des Unternehmens geleitet. In der Cloud laufen verschiedene Sicherheitsfunktionen wie Firewall, Virenscanner oder Intrusion Detection System.
  • Auf diese Weise können praktisch beliebige IoT-Geräte ohne zusätzliche Hardware mit Sicherheitsfunktionen nachgerüstet werden.
Website Secucloud Home Security Lösung

Security-Konzepte

BSI in Bonn
BSI in Bonn
Organisation
Bezeichnung
Beschreibung Referenz
National Institute of Standards and Technology (NIST)

NIST Special Publication 800-82 Revision 2 - Guide to Industrial Control Systems (ICS) Security

  • Definiert grundsätzliche Ansätze der Risikobewertung und des Risikomanagements.
  • Beschreibt wie ein IoT-Sicherheitsprogramm in einer Organisation ausgerollt wird.
  • Detailliert technische Eigenschaften einer sicheren IoT-Systemarchitektur.
  • Der Standard wird vom US-amerikanischen National Institute of Standards and Technology (NIST) herausgegeben und ist im Gegensatz zu den meisten Standards kostenlos.
Download NIST SP 800-82 R2
National Institute of Standards and Technology (NIST)

NIST Special Publication 800-183 - Network of 'Things'

  • Definiert eine gemeinsame Sprache zur Beschreibung der Elemente des IoT. Auf Basis dieser Sprache können IoT-Schutzziele und -massnahmen hergeleitet werden. Elemente des IoT sind:
  • a) Sensor misst physikalische Werte wie Temperatur, Beschleunigung oder Position.
  • b) Aggregator kombiniert verschiedene Rohdaten mittels Rechenleistung miteinander.
  • c) Ein Communication Channel wie USB oder TCP/IP übermittelt Daten.
  • d) Die external Utility ist ein in der Ferne angeschlossener Service, Software oder Produkt, z.B. ein Cloud-Dienst oder ein physischer Aktuator.
  • e) Der Decision Trigger entscheidet schliesslich über zu treffende Massnahmen.
Download NIST SP 800-183
International Electrotechnical Commission IEC-62443 Industrial Network and System Security
  • Ist eine Normenreihe, die noch in Bearbeitung ist und alle Sicherheitsasspekte der Automatisierungstechnik berücksichtigen wird.
  • Technische Sicherheitsanforderungen für Komponenten und Gesamtsysteme werden aufgelistet. Daneben werden dem Hersteller verschiedene Sicherheitslevels angeboten, nach denen die Produkte auch extern zertifiziert werden können.
  • Daneben werden strategische (z.B. Management Framework) und operative (z.B. Patch Management) Prozessanforderungen dargelegt.
IEC 62443-3-3 (Systemanforderungen) im IEC-Webshop
Open Web Application Security Project (OWASP)

OWASP Internet of Things Project - Top 10 IoT Vulnerabilities

  • Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die sich zum Ziel gesetzt hat, die Sicherheit im Internet zu erhöhen.
  • Eine der Massnahmen der OWASP, um dieses Ziel zu erreichen ist die regelmässige aktualisierte Top 10. Diese beschreibt die zehn grössten Sicherheitslücken und wie diese behoben werden können.
  • Seit 2014 besteht eine Liste der zehn grössten Sicherheitslücken spezifisch für den Bereich IoT.
OWASP IoT Website
Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-Grundschutzkataloge

  • Die IT-Grunschutzkataloge beschreiben, wie ein sicheres IT-System aufgebaut wird. Die Methoden lassen sich grossteils auch auf IoT-Systeme übertragen.
  • Beinhaltet umfassende Listen menschlicher, technischer und sonstiger Gefährdungen. Von diesen werden dann strategische, operative und technische Lösungen hergeleitet.
  • Die Grundschutzkataloge sind umfassend mit Checklisten, Formularen und Beispielen dokumentiert und werden laufend durch das BSI aktualisiert.
Grundschutz-kataloge des BSI
Bundesamt für Sicherheit in der Informationstechnik (BSI)

ICS-Security-Kompendium

  • Das Kompendium ist für die Domaine industriellen Automatisierungssysteme, lässt sich jedoch auch auf andere IoT-Bereiche übertragen.
  • Es besteht aus zwei Teilen: Teil 1 beinhaltet Empfehlungen für Anwender, Teil 2 beinhaltet Empfehlungen für Hersteller.
Download ICS Security-Kompendium
IBM / Samsung

ADEPT

  • ADEPT ist ein Forschungsprojekt und kein kaufbares Produkt.
  • Klassischerweise basiert die Authentizierung in Netzwerken auf zentralisierten Strukturen. Im Fall des IoT ist dies problematisch, da alle Geräte laufend mit dem zentralen Authentifizierungsserver verbunden sein müssen.
  • Bit Coin löst dieses Problem durch die verteilte und dezentralisierte Block Chain Datenbank. IBM und Samsung haben das Konzept auf IoT-Geräte übertragen, so dass diese auch ohne einen zentralen Server untereinander sicher kommunizieren können.
Bericht über ADEPT bei CoinDesk

Security-Services

Dienstleistung für die IoT-Sicherheit von Industrieanlagen
Dienstleistung für die IoT-Sicherheit von Industrieanlagen
Organisation
Bezeichnung
Beschreibung Referenz
Siemens

Plant Security Services

  • Die Siemens AG hat ein Service-Portfolio für das Produktionsumfeld entwickelt. Dies beinhaltet die folgenden Leistungen:
  • Assessment des Sicherheitsniveaus der Anlage basierend auf Security Frameworks wie IEC 62443 oder ISO 27001.
  • Consulting und Schulung zur Erhöhung der IoT-Sicherheit im Unternehmen sowie Umsetzung technischer Massnahmen wie Firewalls, Antivirus und Backups.
  • Laufendes Monitoring und Aktualisierung der Anlage mittels eines 24h Cyber Security Operation Center in Europa und den USA.
Leistungsbeschreibung Plant Security Services
Pöyry

ICS Cybersecurity Services

  • Pöyry ist ein Engineering-Unternehmen, das in der Gebäudetechnik, der Industrieautomation und der Energieerzeugung tätig ist.
  • Die ICS Cybersecurity Services umfassen Security-Assessments und Verbesserungsmassnahmen spezifisch für den Anwendungsfall industrieller Steuerungsanlagen (ICS).
Leistungsbeschreibung ICS Cybersecurity Services