Die Identität der Dinge

IoT erfordert ein neues Identity Management

Jochen Adler hat in verschiedenen Kulturen gearbeitet – vom Start-Up bis zum globalen Großkonzern und als Grenzgänger zwischen streng hierarchischer, bürokratisch geprägter Unternehmensführung und der Generation Y der Digital Natives. Seit 20 Jahren befasst er sich damit, wie sich Kunden- und Konsumentenerwartungen wandeln, wie aus losen Informationen richtungsweisende Erkenntnisse werden, und wie Digitaltechnologie unser Leben verändert.

Die rasante Zunahme vernetzter Geräte sorgt für neue Herausforderungen im Identitätsmanagement. Security-Experten müssen die Möglichkeit haben, alle Einheiten in einem IoT-Netzwerk und die Beziehungen zwischen ihnen effektiv zu verwalten und zu steuern.

Laut Forrester soll es bis 2022 weltweit bis zu 100 Mal mehr IoT-Geräte als Handys und Notebooks geben. In dieser durchweg vernetzten digitalen Welt sind Sicherheit und Zugänglichkeit ein absolutes Muss. Um das zu gewährleisten, braucht es jedoch integrierte Identitätsplattformen, die alle Arten von Komponenten und Sensoren steuern können. Sie sollten deshalb zukünftig Teil jeder IoT-Strategie sein.

Identitätsplattformen sollten Teil jeder IoT-Strategie sein
Identitätsplattformen sollten Teil jeder IoT-Strategie sein
Foto: LeoWolfert - shutterstock.com

Wie extrem die Zahl vernetzter Geräte zukünftig steigen wird und welche Herausforderungen damit verbunden sind, zeigen Studien vieler Branchenexperten: So prognostiziert Gartner 215 Billionen stabile IoT-Verbindungen bis 2020. Vodafone wiederum fand in seinem IoT-Barometer 2017/18 heraus, dass Unternehmen deutliche Geschäftsvorteile haben, je mehr vernetzte Geräte sie implementieren – beispielsweise wenn die smarte Ferndiagnostik den Kundenservice erheblich effizienter macht. Folglich hat Vodafone auch festgestellt, dass Unternehmen ihre IoT-Strategie eng in ihre Geschäftsprozesse integrieren: 46 Prozent der Befragten gaben an, IoT-Projekte mit ihren Kernsystemen wie ERP und CRM zu verbinden.

Da die Vernetzung von Komponenten in einer Vielzahl von Industriezweigen immer wichtiger wird, benötigen Unternehmen einen neuen Ansatz für das Identitätsmanagement. Er muss über die Erfassung von Benutzern hinausgehen und alle Anwendungs-, System- und Geräte-IDs integrieren.

Allein dieser Satz zeigt, mit welchen komplexen Herausforderungen jedes Unternehmen konfrontiert ist, wenn es die Einführung von IoT-Technologien vorantreibt. Die Herausforderung beginnt nämlich bei den Geräten selbst.

IoT-Geräte: Das schwächste Glied?

Alles was online ist, wird irgendwann Ziel von Hacker-Angriffen: sei es ein vernetztes Fahrzeug, ein Kopierer oder sogar ein medizinisches Gerät. Es steht viel auf dem Spiel und der Schutz eines ständig aktiven IoT-Netzwerks ist unerlässlich. Meistens gibt beim Einkauf, allein schon wegen der schieren Anzahl an Geräten, vor allem ein günstiger Preis den Ausschlag; Forrester jedenfalls weist darauf hin, dass nur wenige IoT-Geräte auf Sicherheit ausgelegt sind. Dies macht Unternehmen anfällig, da diese Geräte als "Hintertür" zum Unternehmensnetzwerk fungieren können. Über die mit dem Netzwerk verbundenen Geräte ist es Hackern möglich, einen größeren Angriff auf die Infrastruktur des Unternehmens starten. Sobald eine Schwachstelle identifiziert und ausgenutzt wurde, können Cyber-Kriminelle Botnets von IoT-Geräten für Denial-of-Service-Angriffe erstellen.

Mangel an ausgefeilten Betriebssystemen

Doch obwohl die Gefahrenlage durchaus bekannt ist, verfügen die meisten Geräte nicht über ein ausreichend gesichertes Betriebssystem beziehungsweise eine immune Firmware. IoT-Geräte und Sensoren sind vielmehr von Natur aus so konzipiert, dass sie eine bestimmte, klar definierte Aufgabe ausführen, so dass das Betriebssystem so schlank wie möglich gehalten wird – oft ohne konkrete Sicherheitsfunktionen wie Authentifizierung und Kryptographie – eine regelrechte Einladung für Hacker.

Keine Eingabemechanismen für komplexe Passwörter

Laptop, Smartphone oder Tablet lassen sich durch Passwörter vor unbefugtem Zugriff schützen – bei den meisten IoT-Geräten gibt es diese Möglichkeit nicht. Selbst wenn es sie gäbe, wäre der Einsatz nicht praktikabel: Nutzt ein Unternehmen beispielsweise tausend oder gar hunderttausend IoT-Geräte, ist diese Form der Identitätsprüfung schlichtweg nicht machbar. Firmen benötigen skalierbare, automatisierte Authentifizierungslösungen. Das aber ist eine große Herausforderung, da sich traditionelle Technologien und Methoden des Identitäts- und Zugriffsmanagements (IAM) nicht einfach auf die IoT-Umgebung übertragen lassen. Ein neuer Ansatz zur Bereitstellung, Authentifizierung, Autorisierung und Prüfung der Identität von IoT-Geräten muss her. Noch wichtiger ist, dass Unternehmen die Beziehungen zwischen diesen Geräten, ihren Systemen und Anwendungen sowie den Mitarbeitern verwalten können.