IoT Sicherheit Neuer FIDO-Standard zum sicheren Onboarding von IoT-Geräten

Autor / Redakteur: Rolf Lindemann* / Stefan Guggenberger

Der neue Industriestandard der FIDO Alliance verspricht, das Onboarding von IoT-Geräten in der Industrie effektiver zu gestalten. So soll der Prozess schneller, sicherer und günstiger werden. Wie das Onboarding der der Geräte das IoT vorantreiben kann.

Nicht nur neue Mitarbeitende müssen in Unternehmen integriert werden, auch bei IoT-Geräten ist der Onboarding-Prozess von großer Bedeutung.
Nicht nur neue Mitarbeitende müssen in Unternehmen integriert werden, auch bei IoT-Geräten ist der Onboarding-Prozess von großer Bedeutung.
(Bild: gemeinfrei // Pexels)

Die Welt des Internet of Things (IoT) wächst rasant und bietet Unternehmen enorme Möglichkeiten, um die Anforderungen der Verbraucher durch intelligente sowie vernetzte Geräte zu erfüllen. Das Marktforschungsunternehmen IDC geht davon aus, dass der IoT-Markt weiterhin jedes Jahr zweistellig wächst und bis 2022 einen Wert von mehr als einer Billion US-Dollar erreichen wird.

Doch um dieses bedeutende Potenzial in die Tat umzusetzen, gilt es noch eine große Hürde zu überwinden: die Sicherheit. Eine kürzlich von Omdia durchgeführte Umfrage ergab sowohl bei Anbietern als auch bei Anwendern in Unternehmen ernsthafte Bedenken. Von den 170 befragten IoT-Führungskräften gaben 85 Prozent an, dass Sicherheitsbedenken nach wie vor ein großes Hindernis für die IoT-Einführung darstellen. Für fast zwei Drittel (64 %) der Befragten hat die Ende-zu-Ende-Sicherheit von IoT-Geräten die höchste kurzfristige Priorität.

'Onboarding' der Geräte erfolgt oft noch manuell

Eine große Herausforderung für die IoT-Branche liegt nicht nur in der Sicherheit, sondern auch in den Kosten und der Komplexität, die mit dem großflächigen Einsatz von IoT-Geräten verbunden sind. Denn um die Geräte in Industrie-, Unternehmens- oder auch Verbraucheranwendungen nutzen zu können, ist zunächst ein ‚Onboarding‘ erforderlich – das heißt sie müssen installiert und eingerichtet werden, um mit ihrer Ziel-Cloud oder -Plattform kommunizieren zu können.

Bislang erfolgt dieser Onboarding-Prozess in der Regel manuell durch eine Fachkraft, was jedoch langsam, teuer und unsicher ist. Brancheninsider merken an, dass die Kosten für das Onboarding nicht selten die Kosten für das Gerät selbst übersteigen. Im schlimmsten Fall reicht zudem ein Passwort, um ein Gerät in einem Netzwerk zu authentifizieren. Das ist höchst unsicher – sollten Kriminelle das Passwort herausfinden, könnten sie das Gerät kapern oder auf das Netzwerk zugreifen.

Als Alternative setzen IoT-Hersteller teilweise auf vorkonfigurierte Geräte, die direkt für das Zielnetzwerk konfiguriert werden. Hierzu müssen die Hersteller jedoch bereits zum Zeitpunkt der Produktion wissen, wer der Endkunde sein wird – der Aufwand lohnt sich zwar, wenn der Kunde große Mengen abnimmt, aber die Lieferkette wird dadurch wesentlich komplexer.

Die Lösung? Ein neuer Industriestandard

Die eleganteste Lösung für dieses Problem ist ein automatisiertes Onboarding, das die Effizienz und Sicherheit erhöht und zudem schneller und kostengünstiger ist als ein manueller Prozess. In der Vergangenheit haben bereits mehrere Unternehmen daran gearbeitet, aber bisher gab es noch keinen allgemein akzeptierten Industriestandard.

Automatisiertes Onboarding ist effizienter und sicherer als ein manueller Prozess.
Automatisiertes Onboarding ist effizienter und sicherer als ein manueller Prozess.
(Bild: FIDO Alliance)

Die FIDO Alliance hat sich daher zur Aufgabe gemacht, einen neuen Industriestandard für das Onboarding zu entwickeln. 2019 hat die FIDO Alliance eine Arbeitsgruppe gebildet, die Vertreter der führenden Technologieunternehmen und Zulieferer des IoT-Ökosystems zusammenbrachte, unter anderem Arm, Amazon Web Services, Microsoft, Google, Intel und Qualcomm.

Nach fast zweijähriger Arbeit stellte die FIDO Alliance kürzlich das FIDO Device Onboard (FDO)-Protokoll vor. Dabei handelt es sich um einen neuen, offenen IoT-Standard, mit dem sich Geräte einfach und sicher in Cloud- und On-Premise-Management-Plattformen einbinden lassen.

Da der Standard gemeinsam mit führenden Cloud-Service-Providern, Halbleiterherstellern und Sicherheitsunternehmen entwickelt wurde, erfüllt er gleich mehrere Anforderungen der Branche. Dazu gehören sicheres Onboarding mithilfe von Public-Key-Kryptografie, wesentlich kürzere Onboarding-Zeiten (weniger als eine Minute), ein Zero-Touch-Prozess, der sich in bestehende Lösungen integrieren lässt, sowie Hardware-Flexibilität, um jedes Gerät in jedes Cloud-Netzwerk einzubinden – egal ob On-Premise oder über das Internet.

Wie funktioniert FDO?

Der FDO-Software-Client wird bei der Herstellung (bei Bedarf auch später) auf dem IoT-Gerät installiert. Zusätzlich wird im Gerät ein Root-of-Trust-Schlüssel (RoT) erzeugt, um es eindeutig zu identifizieren.

Dieser RoT kann in Form von kryptografischen Schlüsseln im Prozessor integriert oder im Dateisystem abgelegt werden. Weitere FDO-Zugangsdaten sind ebenfalls im Gerät hinterlegt, zusammen mit Webadressen, die später im Prozess benötigt werden.

Zuletzt wird außerhalb des Geräts ein digitaler Eigentumsnachweis (der so genannte Ownership Voucher) erstellt. Mit diesem digitalen Dokument kann sich der Besitzer des Geräts später im Onboarding-Prozess ausweisen. Änderungen der Ziel-Cloud können durch einfaches Ändern des Ownership Vouchers – ohne vorheriges Auspacken des Geräts – vorgenommen werden. Sobald der Besitzer des Geräts eine Cloud oder Plattform ausgewählt hat, wird der Ownership Voucher an dieses Ziel gesendet. Der Voucher wird dann beim Rendezvous-Server (RV) registriert, der einem DNS-Dienst ähnelt.

Zu Beginn des Onboarding-Prozesses wird das Gerät mit dem Netzwerk verbunden und eingeschaltet. Dann ‚ruft‘ es den RV an, der vorab programmiert wurde. Das Gerät identifiziert sich gegenüber dem RV, und dieser ordnet es wiederum seiner Ziel-Cloud oder -Plattform zu. Anschließend erhält das Gerät die Webadresse für das Zielnetzwerk. Im Gerät können mehrere RVs – sowohl On-Premise als auch in der Cloud – vorprogrammiert werden.

Nachdem das Gerät mit dem Zielnetzwerk Kontakt aufgenommen hat, identifiziert es sich gegenüber der Cloud oder Plattform mithilfe des RoT-Schlüssels. Im Gegenzug authentifiziert sich die Cloud/Plattform mit dem Ownership Voucher als Eigentümer des Geräts. Auf diese Weise wird ein gesicherter, verschlüsselter Kanal zwischen dem Gerät und der Cloud/Plattform etabliert, über den die für den korrekten Betrieb und die Verwaltung des Geräts benötigten Zugangsdaten oder Software heruntergeladen werden können.

Das FDO-Protokoll lässt unterschiedliche Zugangsdaten zu, sodass Besitzer von IoT-Lösungen bei dessen Einführung in dieser Hinsicht nichts ändern müssen. Mit diesem Schritt ist das Protokoll abgeschlossen. Das Gerät kann sich jetzt mit seiner Management-Plattform verbinden, die es für den Rest seines Lebenszyklus verwaltet. Das FDO-Protokoll ruht, kann jedoch wieder aktiviert werden, wenn das Gerät beispielsweise durch einen Verkauf seinen Besitzer wechselt.

Mehr Sicherheit im Internet of Things

Der neue Industriestandard für das Onboarding ist ein wichtiger Schritt für den Markt. Er wird dazu beitragen, das Internet of Things sicherer zu machen und das Potenzial für die industrielle Nutzung zu erschließen.

Um den Standard in der Breite einzuführen, müssen jedoch noch mehrere Unternehmen in der Lieferkette (einschließlich Gerätehersteller, Halbleiterunternehmen, Cloud-Service-Provider und andere) FDO-konforme Software und zugehörige Tools entwickeln und implementieren. Die FIDO Alliance hat daher frühe Versionen der FDO-Spezifikation öffentlich zugänglich gemacht, damit die Softwareentwicklung innerhalb der Open-Source-Community starten kann.

Mit der neuen FDO-Spezifikation können Gerätehersteller sichere IoT-Geräte schneller und zu geringeren Kosten bereitstellen, einbinden und verwalten. Die Spezifikation adressiert damit einen kritischen Bedarf und wird dazu beitragen, IoT-Lösungen sowohl für industrielle als auch für private Anwendungsfälle sicher und vollständig automatisiert zu skalieren.

*Rolf Lindemann ist Board-Mitglied der FIDO Alliance:

Dieser Beitrag ist ursprünglich auf unserem Partnerportal Industry of Things erschienen.

(ID:47545286)