Ansatz für die Sicherheit von Lieferketten-IoT
March 13, 2018
June 4, 2026
x min. Lesedauer
IoT-Anwendungen entwickeln sich von Science-Fiction zur Realität, und mit diesem Übergang stellen sich Fragen zur Sicherheit. Wenn Sie im Web nach „IoT“ und „Sicherheit“ suchen, erhalten Sie viele Links, aber fast alle konzentrieren sich auf Anwendungsfälle für Verbraucher wie vernetztes Spielzeug, Wearables und all die Webcams, die letztes Jahr das Internet lahmgelegt haben. Für die vielen Unternehmen, die IoT-Anwendungen in der Lieferkette in Betracht ziehen, welche Bedenken gibt es?
Lassen Sie sich nicht von Webcam-Geschichten ablenken. Konzentrieren Sie sich auf zwei Themen: 1) potenzieller Schaden und 2) Zugriff auf das Gerät und die Daten.
Betrachten Sie die Konsequenzen
Artikel über die Sicherheit von IoT-Geräten für Verbraucher konzentrieren sich auf Datenschutzbedenken (Wearables, Kinderspielzeug) oder die Zweckentfremdung von Geräten für andere Zwecke (Angriffe auf Infrastruktur, Krypto-Mining). Da die meisten Geräte in der Lieferkette nicht direkt mit dem öffentlichen Internet verbunden sind, sind dies im Allgemeinen nicht die Hauptanliegen bei IoT-Anwendungen in der Lieferkette. In der Lieferkette machen wir uns hauptsächlich Sorgen um Spionage oder Datenkorruption – entweder jemand stiehlt Ihre Daten oder ersetzt sie unbemerkt durch fehlerhafte Daten.
Spionage bedeutet, dass jemand einfach die Daten stiehlt, sei es vom Gerät selbst oder vom Kommunikationssystem, das die Daten überträgt. Um diesen Diebstahl zu verhindern, muss es schwierig sein, physisch Daten vom Gerät zu erhalten (möglicherweise durch einfaches Verhindern des physischen Zugriffs), und die Daten während der Übertragung müssen in irgendeiner Weise verschlüsselt sein.
Datenkorruption erfordert das, was Sicherheitsexperten als „Man-in-the-Middle“-Angriff bezeichnen – jemand fängt Ihre Daten ab, ändert sie und leitet sie unbemerkt an Sie weiter. Sie sollten also überlegen, wie einfach es ist, Daten auf dem Gerät zu ändern oder Daten vom Gerät abzufangen – läuft es durch viele unbekannte Hände (zum Beispiel Bluetooth zu einer Anwendung auf dem Smartphone des Fahrers) oder über einen sichereren Prozess (verschlüsselte Uplink-Verbindung zu einem Satelliten oder über das Mobilfunknetz).
Die Bewertung dieser Risiken erfordert ein Verständnis dafür, ob jemand auf das Gerät zugreifen kann, entweder physisch oder über das Netzwerk.
Zugriff auf das Gerät und die Daten
Bei vielen Anwendungen in der Lieferkette ist ein unbefugter physischer Zugriff schwierig. Tracker werden beispielsweise mit der Ware versandt – wenn also jemand physischen Zugriff auf den Tracker hat, hat er bereits Ihre Waren in den Händen. An diesem Punkt ist Ihr Problem: „Warum fasst diese Person meine Sachen an?“, und nicht: „Ist mein Tracker in Ordnung?“. Konzentrieren Sie sich auf das Wesentliche, wie man so schön sagt.
Der Netzwerkzugriff ist komplexer, da er davon abhängt, welche Art von Tracker Sie verwenden. Die meisten Tracker in der Lieferkette nutzen eines von vier Kommunikationssystemen: Bluetooth, Wi-Fi, Satellit oder Mobilfunk. Unter diesen Optionen sind Mobilfunk und Satellit von Natur aus sicherer, da beide auf proprietäre verschlüsselte Kommunikation setzen. Ja, ein Mobilfunksignal kann von einem Übeltäter mit teurer Spezialausrüstung abgefangen werden, wenn er sich in unmittelbarer Nähe Ihrer Waren befindet, aber dann sprechen wir von jemandem mit Spezialausrüstung, der hinter Ihrem LKW herfährt, um das Signal Ihres Trackers zu stören oder abzufangen. Darüber hinaus haben sie, selbst wenn sie erfolgreich sind, nur ein einzelnes Gerät betroffen, nicht das System als Ganzes. Wie ich bereits erwähnt habe, müssen Sie sich auf die wahrscheinlichsten Szenarien konzentrieren.
Bluetooth und Wi-Fi, als offene Standards, gehören einer anderen Sicherheitsklasse an. In beiden Fällen gibt es einen Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit. Für beide gibt es die Option „Null Sicherheit“, die es dem Gerät ermöglicht, sich mit jedem verfügbaren Signal zu verbinden (was Ihnen wahrscheinlich auch wie eine schlechte Idee vorkommt). Dann gibt es zunehmend komplexere Optionen, die eine höhere Sicherheit bieten, jedoch auf Kosten der einfachen Bereitstellung und Wartung gehen. Sie können mehr über Bluetooth-Optionen in einem Artikel namens „Einführung in die BLE-Sicherheit“ und über die Wi-Fi-Optionen in einem Artikel mit dem Titel „Wi-Fi-Zugang für das Internet der Dinge kann kompliziert sein“
Bewährte Sicherheitspraxis: Konzentrieren Sie sich auf Ihre Besonderheiten
Obwohl sie unter einem gemeinsamen Begriff zusammengefasst werden, sind IoT-Lösungen nicht alle gleich und müssen separat bewertet werden. Wenn Sie sich auf die spezifischen Risiken für Ihr Unternehmen und die konkreten Angriffsmöglichkeiten auf Ihr IoT-System konzentrieren, werden Sie schnell von reißerischen Schlagzeilen zu den Kompromissen für Ihr spezifisches System übergehen, und genau so sollte es sein. Indem Sie die potenziellen Bedrohungen für Ihr Unternehmen und die möglichen Wege verstehen, wie jemand Ihre IoT-Lösung nutzen könnte, um Ihnen zu schaden, können Sie eine realistische Risikobewertung durchführen und selbst entscheiden, welche Art von Lösung, falls überhaupt, für Ihre Organisation die richtige ist.
