Die Krise der Maschinenidentitäten im IoT

Zertifikats- und Schlüssel-Management benötigen intelligente Lösungen

19.02.2018
Von 
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich.
In den nächsten vier Jahren wird der IP-Verkehr jährlich um 24 Prozent steigen, so der Cisco-Report "Visual Networking Index: Forecast and Methodology 2016-2021 ". Die Kommunikation zwischen den Maschinen wird mit über 13.7 Milliarden Verbindungen den größten Anteil dieses Wachstums ausmachen - was entsprechende Schutzmaßnahmen erfordert.
Mit über 13,7 Milliarden Verbindungen wird die M2M-Kommunikation künftig das Gros des Netzverkehrs liefern.
Mit über 13,7 Milliarden Verbindungen wird die M2M-Kommunikation künftig das Gros des Netzverkehrs liefern.
Foto: agsandrew - shutterstock.com

Im Jahr 2017 stieg die Anzahl vernetzter IoT-Geräte laut Gartner bereits um 31 Prozent im Vergleich zum Vorjahr. 8,4 Milliarden Geräte sind es aktuell und bis 2020 könnte sich die Zahl auf 20,5 Milliarden erhöhen, so prophezeien es die Analysten.

Bereits 2021 dürften 92 Prozent des Workloads in den Rechenzentren von Cloud-Anbietern geleistet werden. Cloud-Angebote und XaaS-Lösungen sind attraktiv, weil die bereitgestellten Ressourcen schnell und flexibel dem tatsächlichen Bedarf angepasst werden können. Allerdings stellen die meisten Cloud-Anbieter ihren Kunden keine exklusive, physische Infrastruktur zur Verfügung: Die physischen Ressourcen werden vielmehr unter den Kunden aufgeteilt, indem die angebotenen Maschinen auf ihnen emuliert werden. Das ist kosteneffizient und nachvollziehbar, bedeutet aber ebenfalls, dass jede emulierte Maschine genau wie physische Maschinen eine eigene Identität benötigt und je nach Bedarf schnell erstellt, konfiguriert und wieder gelöscht werden muss.

Angesichts der rasant wachsenden Zhal an IoT-fähigen Maschinen wächst die Bedeutung des Identity Management.
Angesichts der rasant wachsenden Zhal an IoT-fähigen Maschinen wächst die Bedeutung des Identity Management.
Foto: Tashatuvango - shutterstock.com

Darüber hinaus müssen wir neben mobilen Devices und IoT-Geräten, der Cloud, Netzkomponenten sowie emulierte Maschinen auch Software und Applikationen wie virtuelle Maschinen, Container-Lösungen oder Web-Applikationen zu den Maschinen zählen, für die eigene Identitäten angelegt werden müssen. Die heutigen Herausforderungen entstehen in diesem Bereich durch DevOps und ähnliche Paradigmen, die die Produktion neuer Software und Applikationen sowie Aktualisierungen, Patches und Updates beschleunigen.

In der Cloud und der DevOps-Entwicklung nutzen viele Programmierer sogenannte Self-contained Runtime Environments, die als Container bekannt sind. Die Container erlauben es, Anwendungen in einzelnen Modulen laufen zu lassen und so Microservices anzubieten - hierbei handelt es sich ebenfalls um Maschinen. Wenn wir all diese Punkte bedenken, ist eindeutig, dass Unternehmen in Zukunft umfangreiche IT-Netzwerke mit einer unüberschaubaren Menge einzelner Maschinen managen müssen.

Was sind maschinelle Identitäten

Maschinelle Identitäten sind wie beim Menschen bestimmte Merkmale, die sie voneinander unterscheiden und unterscheidbar machen. Eine Maschine benötigt eine Identität, um ihr relativ schnell und unbürokratisch Zugriff auf bestimmte Systeme, Daten, Verzeichnisse etc. zu geben. Hierbei gilt jedoch der Grundsatz, so viel Zugriff wie nötig und so wenig Zugriff wie möglich.

Diese Steuerung des Zugriffs wird über die Identität einer Maschine bestimmt. Informationen, die in einer maschinellen Identität gespeichert und von einer anderen Maschine erkannt werden, sind beispielsweise was dieses Gerät macht, wo es sich IP-technisch befindet und ob ihr vertraut, sprich der Zugriff erlaubt werden kann oder nicht. Die Basis der maschinellen Identitäten sind dann digitale Zertifikate und kryptografische Schlüssel, in denen diese Informationen gespeichert werden und die sich gegenseitig dadurch erkennen und das Vertrauen aufbauen, das für eine fehlerfreie Kommunikation und den Zugang zu wichtigen Informationen wichtig ist.

Weg zur sicheren Vernetzung

Ohne kryptografische Schlüssel und digitale Zertifikate lässt sich eine sichere Maschinenkommunikation nicht realisieren.
Ohne kryptografische Schlüssel und digitale Zertifikate lässt sich eine sichere Maschinenkommunikation nicht realisieren.
Foto: wk1003mike - shutterstock.com

Bei der Kommunikation zwischen den Maschinen gibt es zwei Schlüsseltechnologien, die unbedingt notwendig sind: Einerseits müssen alle Verbindungen verschlüsselt werden, um den Datenverkehr gegen einen unbefugten Zugriff von außen abzusichern und andererseits benötigen wir eindeutige und zuverlässige Zertifikate, um die Maschinenidentitäten eindeutig festzulegen und um uns auf die Identitäten der verbundenen Maschinen verlassen zu können.

Kryptografische Schlüssel und digitale Zertifikate sind die Voraussetzung für eine sichere Maschinenkommunikation. Leider gibt es bei vielen Unternehmen einen massiven Missstand im Zertifikate- und Schlüssel-Management. Aufgrund der schieren Masse an Maschinen und den Nutzern, die natürlich auch digitale Identitäten benötigen, fehlt häufig ein Überblick über die im Unternehmen im Umlauf befindlichen Schlüssel und Zertifikate. Und statt konkrete Management-Lösungen zu nutzen, führen die Verantwortlichen häufig manuelle Listen. In solchen Listen werden bei dem steigenden Zuwachs neuer Maschinen oft Zertifikate und Schlüssel vergessen, die Ablauftermine der Zertifikate verpasst oder einzelne Schlüssel gleich für mehrere Zertifikate verwendet.

Eine spezialisierte Management-Lösung sollte einen Überblick über alle Zertifikate und Schlüssel bieten, Erinnerungen an den Austausch senden und Routineaufgaben automatisieren. Die Pflege der eigenen Schlüssel und Zertifikate ist ein aufwendiger Prozess und bei über 20 Milliarden Maschinen zahlt sich jede Einsparung bei Routineaufgaben aus.

Vertrauen in die maschinellen Identitäten kann es nur geben, wenn jeder Schlüssel einmal zugeteilt wurde.
Vertrauen in die maschinellen Identitäten kann es nur geben, wenn jeder Schlüssel einmal zugeteilt wurde.
Foto: WHYFRAME - shutterstock.com

Vor allem das Vertrauen in maschinelle Identitäten ist ein wichtiger Faktor. Leider häufen sich in den letzten Jahren die Vorfälle, bei denen dieses Vertrauen missbraucht wurde. Bei vielen Unternehmen wurden die Arbeitsabläufe durch abgelaufene und nicht erneuerte Zertifikate beeinträchtigt. Im schlimmsten Fall können kritische Arbeiten betroffen sein, die die Produktivität des Unternehmens senken, wodurch hohe wirtschaftliche Schäden entstehen, die zu echten Problemen erwachsen können. In einer Studie aus dem Jahr 2016 kam es bei einem Drittel der untersuchten Unternehmen mehr als sechsmal zu solchen Vorfällen, obwohl sie durch ein vorausschauendes Zertifikats- und Schlüssel-Management leicht zu vermeiden gewesen wären.

Fazit

Der erhebliche Anstieg von physischen und virtuellen Maschinen ist für das Zertifikate- und Schlüssel-Management eine Herausforderung - eine Aufgabe, für die spezialisierte Lösungs-Tools unumgänglich sind. Diese müssen einen zuverlässigen Überblick über alle Schlüssel und Zertifikate bieten, die im eigenen Unternehmen eingesetzt werden. Ebenso sollten sie mehrmals verwendete Schlüssel finden und drüber informieren, wann Zertifikate ablaufen. Ferner sollten die Tools bei Routineaufgaben unterstützen. Wie die Erfahrung zeigt, besteht hier viel Nachholbedarf. Unternehmen sollten jetzt handeln, um gute Chancen zu haben, einer Krise der Maschinenidentitäten vorzubeugen.