Lokale Netzwerkstrukturen wachsen immer weiter. Dies resultiert in einer komplexen Infrastruktur, was wiederum Schwachstellen erzeugt. Unter anderem sorgen IoT Gateways für dieses Wachstum und die Komplexität moderner Netzwerke. Der IoT Gateway befindet sich am Rand der Netzwerkstruktur. Dort bildet er die Schnittstelle zwischen der zentralen IT-Infrastruktur und dem Internet der Dinge.

Gerade hier wird die Sicherheit oft vernachlässigt. Das Gateway bildet jedoch das Tor zu kritischen IT-Strukturen wie der Cloud, zentralen Servern und Administrator-Accounts. Aus diesem Grund ist es wichtig, dass auch die Gateways in die Sicherheitsstrategie eingebunden sind. Dieser Artikel stellt dir fünf Massnahmen vor, mit denen du das Sicherheitsniveau deiner IoT Gateways verbesserst.

 

1. Datenverkehr des IoT Gateways verschlüsseln

Eine zentrale Funktion der IoT Gateways ist die Übertragung von Informationen. Dies geschieht nicht immer über Kabelverbindungen, sondern auch via WLAN oder Mobilfunk. Hier liegen potenzielle Gefahrenquellen, wenn die Übertragung unverschlüsselt stattfindet. Deshalb ist es wichtig, auf einen sicheren Übertragungsweg zu achten.

Daten sollten grundsätzlich mit einem starken Algorithmus verschlüsselt sein. Bereits bei der Wahl und Konfiguration der Plattform ist dies zu beachten. Es gibt verschiedene Konzepte, die eine sichere und verschlüsselte Datenübertragung gewährleisten. Microsoft Azure ist eine der Softwarelösungen, die in Zusammenhang mit IoT Gateways zum Einsatz kommt.

Die Software bringt eine interne Azure-Verschlüsselung mit. Azure ermöglicht sowohl eine Verschlüsselung auf Seiten des Kunden als auch auf dem Server. Ebenfalls erlaubt Azure die Verschlüsselung von Daten während der Übertragung. Daher ist mit Azure eine Verschlüsselung in Echtzeit auf dem Gateway möglich. Hier greift Azure auf das Transport Layer Security Protokol (TLS) zurück.

Mit TLS ist es sogar möglich, die Integrität der Daten zu kontrollieren. Auf diese Weise erkennt Azure, ob die Informationen unterwegs abgefangen, verfälscht oder sogar manipuliert wurden. Die Kommunikation zwischen Netzwerk und Gateway kann in diesem Fall auch über öffentliche Netzwerke stattfinden. Azure unterstützt VPN-Gateways inklusiver einer Datenverschlüsselung.

Die gespeicherten Daten auf dem IoT Gateway schützen

Die gespeicherten Daten auf dem IoT Gateway schützen

Hinzu kommt, dass die IoT Gateways oftmals an schlecht geschützten Orten positioniert sind. Bei zentralen Servern ist selbst der physikalische Zugriff durch Sicherheitsmassnahmen reguliert. IoT Devices hingegen stehen abseits dieser Infrastruktur. Dieser Fakt macht es umso wichtiger, dass die Daten auf dem System geschützt sind.

Auch hier gibt es verschiedene Lösungskonzepte. Es besteht die Möglichkeit, IoT Gateways mit einer internen Hardware-Verschlüsselung einzusetzen. Dies hat den Vorteil, dass selbst bei einem Diebstahl des kompletten Systems die Daten sicher vor unbefugten Zugriffen sind. Eine solche hardwareseitige Verschlüsselung löscht den Code, sobald jemand das Gehäuse öffnet.

Die gespeicherten Daten sind dann wertlos. Mit Microsoft Azure lässt sich ebenfalls eine Verschlüsselung der lokalen Daten umsetzen. Der Vorteil hierbei ist, dass der Schlüssel getrennt vom IoT Gateway gespeichert ist. Die Verwaltung der Verschlüsselungscodes findet mithilfe von Azure Key Vault statt. Diese Schlüssel sind sicher und getrennt von der eigentlichen Gateway-Infrastruktur gespeichert.

Nur der IT-Administrator hat Zugang zum Key Vault und verwaltet die Zugangsschlüssel. Mit der Azure Disk Encryption verschlüsselst du komplette Systeme auf der Datenträgerebene. Mit der Volume-Verschlüsselung sind alle Daten, die das Gateway erreichen, sofort geschützt. Somit ist auch die Datenverarbeitung im Gateway sicher. Zum Einsatz kommt entweder die Windows BitLocker-Technologie oder Linux DM-Crypt.

 

2. Die richtige Hardware einsetzen

Ein IoT Gateway hat oft keine besonderen Anforderungen. Theoretisch lassen sich beliebige Systeme für diesen Zweck einsetzen. In der Praxis führt dies jedoch zu Problemen. Gerade die Sicherheit ist bedroht, wenn ungeeignete Hardware als IoT Gateway eingesetzt wird. Wichtig ist auch, dass die Hardware kompatibel mit der geplanten Software ist.

Im IoT-Bereich kommt häufig Microsoft Azure zum Einsatz. Azure erleichtert einerseits die zentrale Steuerung der Gateways. Andererseits bringt Azure auch essenzielle Sicherheitsmechanismen mit. Somit geht die Wahl der richtigen Plattform Hand in Hand mit der Sicherheit des IoT Gateways.

Ein IoT Gateway sollte ausserdem bestimmte Hardwareeigenschaften mitbringen. Für diesen Einsatzbereich sind kompakte Systeme besonders vorteilhaft. Zudem ist es wichtig, dass die Systeme energieeffizient sind. So bleiben die Betriebskosten auf einem überschaubaren Niveau, da Gateways in der Regel rund um die Uhr laufen. Für die Integration in verschiedenen Situationen benötigt ein Gateway ausserdem mehrere Netzwerkschnittstellen.

Lösungen von Prime Computer für die IoT-Infrastruktur

Lösungen von Prime Computer für die IoT-Infrastruktur

Speziell für die Bereiche Edge Computing und IoT hat Prime Computer den Prime Mini IoT entwickelt. Die Plattform bringt alles mit, was in diesem Segment benötigt wird. Beim Prime Mini IoT handelt es sich um einen extrem kompakten und lüfterlosen Mini-PC. Das System ist für den Dauerbetrieb ausgelegt. Für den Einsatz als Gateway im IoT-Segment eignet sich der Prime Mini IoT dank seiner dafür ausgelegten Schnittstellen.

So besitzt das System neben einem normalen Ethernet-Anschluss noch Dual-Band WLAN und Bluetooth. Weiterhin sind zwei schnelle USB-Anschlüsse im Standard 3.0 vorhanden und zwei Anschlüsse mit USB 2.0. Darüber hinaus gibt es zwei HDMI-Anschlüsse der Version 2.0a. Die Technik im Inneren ist durch die geschlossene Bauform des Gehäuses optimal vor Staub geschützt. Über die VESA-Halterung sind vielfältige Befestigungsoptionen gegeben.

Der Prozessor im Prime Mini IoT ist besonders energieeffizient. Somit benötigt das System im Betrieb selbst unter Last sehr wenig Strom. Einerseits prädestiniert dies den Prime Mini IoT für den Einsatz als IoT Gateway. Andererseits passt die Plattform damit perfekt in eine Green IT-Strategie. Die laufenden Betriebskosten bleiben niedrig, und die Plattform ist umweltfreundlich.

Die Vorteile von Mini-PCs von Prime Computer beim Einsatz als IoT Gateway:

  • hohe Zuverlässigkeit, da keine mechanischen Bauteile vorhanden sind
  • niedrige Betriebskosten durch sparsame Technik
  • geringer Wartungsaufwand
  • multifunktional einsetzbar durch kompakte Bauform
  • staub- und schmutzgeschützte Technik dank geschlossenem Gehäuse
  • schneller und fachkundiger Support durch Schweizer Experten
  • ideale Ergänzung zu einer Green IT-Strategie durch umweltfreundliche und energieeffiziente Technik

Systeme wie der PrimeMini IoT von Prime Computer wurden speziell für die Anwendung im IoT-Bereich entwickelt. So ist die Plattform PrimeMini IoT von Microsoft für den Einsatz im Bereich Azure IoT Edge zertifiziert. Weiterhin ist eine Citrix Ready Endpoint Zertifizierung vorhanden. Setze deshalb auf Systeme wie den PrimeMini IoT, wenn du Hardware für den Aufbau einer IoT-Infrastruktur benötigst.

 

3. Überblick über das Netzwerk behalten

Die wachsenden Netzwerkstrukturen stellen Unternehmen vor Probleme. Selbst ein mittelgrosses, modernes Netzwerk auf Unternehmensebene verfügt mittlerweile über hunderte Geräte. Einige von ihnen verbinden sich nur temporär mit dem Netzwerk. Hierzu gehören mobile Geräte wie Tablets und Smartphones.

Durch IoT-Systeme wachsen die Strukturen weiter. IoT befindet sich am Rand der Netzwerkstruktur. Dies erschwert die Übersichtlichkeit zusätzlich. Abhilfe schafft hier Netzwerkmanagement-Software. Diese Programme erstellen eine grafische Übersicht aller vorhandenen Systeme. Ausserdem ist eine Auflistung der genutzten Geräte vorhanden.

Darüber sind der Status, die IP-Adresse sowie Warn- und Fehlermeldungen sichtbar. Mit einer Netzwerkmanagement-Software erhält deine IT-Verwaltung also einen detaillierten Überblick über das Netzwerk. Der Status der IoT Gateways ist in Echtzeit abrufbar, auch wenn sich diese weit entfernt befinden.

Bei Problemen kann die IT schnell handeln, was die Sicherheit deutlich verbessert. Auf diese Weise hilft Netzwerkmanagement-Software dabei, den Überblick zu behalten. Ebenso wichtig ist die Einführung eines Device/Zertifikat-Managements. Hierfür gibt es inzwischen ebenfalls automatische Systeme. Diese übernehmen die Verwaltung und Kontrolle sowie Ausstellung der Zertifikate.

Mit diesen Client-Zertifikaten wird die Authentizität der angeschlossenen Systeme sichergestellt. Jedes System im Netzwerk – wie ein IoT Gateway – erhält ein eigenes, eindeutiges Zertifikat. Über die Kontrolle des Zertifikats ist die Authentizität des Gateways gewährleistet. In der Praxis hat sich die Public-Key-Infrastruktur (PKI) bewährt. Diese digitalen Zertifikate signieren die Daten und gewährleisten so die Integrität der gesendeten Informationen.

Unbekannte Systeme im Netzwerk aufspüren

Sicherung und Identifizierung der eigenen Systeme sind nur zwei der Aufgaben der IT-Verwaltung. Ebenso wichtig ist es, aktiv nach unbekannten Geräten zu suchen, die sich ins Netzwerk einklinken.

Hierbei kann es sich sehr gut um Cyberkriminelle handeln, die sich ins Netzwerk eingeschlichen haben. Diese unsichtbaren Systeme, die etwa eine Schwachstelle an einem IoT-Gerät oder einem WLAN-Hotspot gefunden haben, spionieren beispielsweise den Datenverkehr aus.

Ohne spezielle Hilfsmittel bleiben sie unentdeckt. Mit Software wie Shodan scannen IT-Administratoren systematisch das eigene Netzwerk. Diese Programme funktionieren wie eine Suchmaschine. Sie finden alle im Netzwerk vorhandenen Systeme und entdecken so auch unbefugte Eindringlinge.

 

4. IoT Gateways vor physischen Zugriffen schützen

IoT Gateways vor physischen Zugriffen schützen

Gateways befinden sich oftmals in Bereichen, die ausserhalb der permanenten Kontrolle liegen. So besteht die Möglichkeit, dass sich Unbefugte Zugang zu den Geräten verschaffen. Dies gilt es unbedingt zu vermeiden, da Angreifer so Schadsoftware in das Netzwerk einspielen können.

Auch anderweitige Manipulationen am Gateway sind bei einem direkten Zugriff nicht ausgeschlossen. Hier gibt es verschiedene Methoden, um die Systeme zu schützen. Speziell für den physischen Schutz von Computern gibt es verschliessbare Käfige und Gehäuse. Diese verhindern einen direkten Zugriff auf das Gerät. Mit seinen kompakten Abmessungen eignet sich der PrimeMini IoT besonders für einen solchen Aufbau.

So bleibt die Grösse des Gesamtgebildes weiterhin überschaubar. Auch der PrimeMini 5 eignet sich hier sehr gut, da zusätzlich dual-LAN konfiguriert werden kann. Gerade wenn noch mehr Leistung an der “Edge” gebraucht wird. Die Schnittstellen der Gateways lassen sich mit eigens für den Einsatz in der IT konzipierten Schlössern sichern. Solche Port-Schlösser gibt es für alle Schnittstellen wie USB, Netzwerk oder HDMI.

Auf diese Weise ist gewährleistet, dass Unbefugte keinen Zugriff auf die Schnittstellen des Systems haben. Eine weitere Möglichkeit ist, nicht benötigte Schnittstellen bei der Installation der Gateways zu deaktivieren. Dies geschieht über das BIOS des Systems. Selbstverständlich wird auch das BIOS dann mit einem Passwort gesichert. Benötigt das Gateway beispielsweise das WLAN oder die USB-Schnittstellen nicht, deaktiviert der IT-Administrator diese hardwareseitig.

 

5. Zwei-Faktor-Authentifizierung einführen

Eine Herausforderung bei IoT Devices und Gateways ist es, Sicherheitsverletzungen aktiv zu verhindern. Durch die Positionierung am Rand des Netzwerks ist dies eine besonders schwere Aufgabe. Wichtig ist weiterhin, versuchtes Eindringen in die Systeme schnellstmöglich zu erkennen.

Sicherheitslücken sind vor allem dann ein Problem, wenn sie lange Zeit unentdeckt bleiben. Die klassische Sicherung mittels Account und Passwort ist deshalb für IoT Gateways und die angeschlossenen IoT-Systeme vergleichsweise unsicher. Schafft ein Angreifer es, sich Zugang zum System zu verschaffen, bleibt dies meist unbemerkt. Diese Situation kann über Wochen oder gar Monate andauern.

Mit einer Zwei-Faktor-Authentifizierung (2FA) hingegen sind unbefugte Zugriffe erschwert. Bei 2FA wird eine zusätzliche Authentifizierung bei einem Login-Versuch abgefragt. Diese Methode ist strikt von der Passwort-Abfrage getrennt. Es gibt verschiedene Optionen für eine Zwei-Faktor-Authentifizierung. Beliebt ist eine Kopplung an ein SMS-System. Dann wird eine einmal gültige PIN an eine Mobilnummer geschickt.

Diese muss die Person am Gateway bestätigen. Dieser zusätzliche Layer hat gleich zwei Vorteile. Zum einen verhindert 2FA, dass Unbefugte in das System eindringen können, selbst wenn sie das Passwort des Gateways kennen. Zum anderen alarmiert die SMS die IT-Administratoren, dass soeben ein Login-Versuch stattfand. So erhalten die zuständigen Personen faktisch eine Meldung in Echtzeit, dass jemand versucht, Zugang zum Gateway zu erhalten.

Nachhaltigkeit

Zum Nachhaltigkeits­rechner

Cookie-Hinweis

Diese Seite nutzt Cookies und Technologien von Dritten, um ihre Dienste anzubieten und zu verbessern. Bitte bestätige, dass du mit der Nutzung dieser Technologien und der Verarbeitung deiner personenbezogenen Daten für diese Zwecke einverstanden bist.

Cookies akzeptieren Einstellungen / Datenschutzhinweise
Einstellungen

Die von dieser Webseite verwendeten Cookies sind in zwei verschiedene Kategorien eingeteilt. Notwendige Cookies sind essentiell für die Funktionalität dieser Webseite, während optionale Cookies uns dabei helfen, das Benutzererlebnis durch zusätzliche Funktionen und durch Analyse des Nutzerverhaltens zu verbessern. Du kannst der Verwendung optionaler Cookies widersprechen, was allergins zu einer eingesschränkten Funktionalität dieser Webseite führen kann.

Cookies akzeptieren Nur notwendige Cookies akzeptieren Weitere Infos zu Cookies