Alle Beiträge von Sebastian Rohr

IOT - IoT-Technologie

API? Bitte effizient und sicher!

Schreibe einen Kommentar

Sicherheit von Anfang an

Merkwürdig bleibt die Erkenntnis, dass viele Unternehmen unabhängig von ihrer Branche bereits praktische Erfahrungen mit solchen negativen Auswirkungen gemacht haben – dennoch wird die IT-Sicherheit in der Entwicklung meist viel zu spät oder gar nicht betrachtet. Das ist nicht nur verwunderlich, sondern hat im Ernstfall fatale Folgen. Darum sollte das Thema „IT-Sicherheit“ in einem professionell geplanten „Secure Software Development Life Cycle“ (SSDLC) in jedem Schritt integriert sein. Insbesondere im boomenden Bereich der „Internet of Things“ (IoT) -Applikationen ist verstärkt darauf zu achten, dass eine ausreichende Sicherheitsbetrachtung bereits in der Design-Phase erfolgt. Kostspielige Anpassungen nachträglich sichtbar werdender Schwachstellen können so bereits im Vorfeld vermieden werden. Eine Korrektur ist in diesem frühen Zustand deutlich einfacher umzusetzen.

Auch in Industrieanlagen ist mit Blick auf I.40 Anwendungen ein starker Anstieg von APIs feststellbar. Der Vorteil, einen einfachen REST-API-Aufruf aufzubauen, abzuschicken und ggf. das Ergebnis zu verarbeiten, benötigt in den meisten Fällen nur wenig Rechenkapazität. Auch hier kann der fehlende Fokus auf die IT-Sicherheit die angedachten Vorteile einer digitalen Transformation des innerbetrieblichen Logistikwesens schnell neutralisieren.

Fünf Faktoren für sichere APIs

Um Schnittstellen (APIs) sicher entwickeln zu können, sollten stets diese fünf Faktoren beachtet werden:

  • Erster Schritt: Identifizierung & Authentifizierung. Zuerst muss klar sein, wer oder was auf die eigenen Ressourcen zugreifen möchte. Nur, wenn diese Daten vorliegen, sollte ein Zugriff erlaubt werden.
  • Zweiter Schritt: Autorisierung. Nach einer erfolgreichen Authentifizierung sollte eine separate Autorisierung erfolgen, um einen Zugriff / Nutzbarkeit entsprechend der Benutzerberechtigung bereitzustellen.
  • Dritter Schritt: Hiernach ist eine Überprüfung erforderlich, ob ein API-Aufruf  Informationen über die dahinter liegende Architektur preisgibt. Denn das darf in niemals der Fall sein.
  • Vierter Schritt: API Keys sind keine Secrets. Daher muss sicher gestellt sein, dass diese auch nicht als solche behandelt werden.
  • Fünfter Schritte: Nun können Input-, Data- und Plausibilitätskontrollen folgen.

Natürlich gibt es neben den fünf genannten Faktoren noch weitere, welche in der Entwicklung und im Lifecycle beachtet werden sollten.

Beispielarchitektur

Im Kontext der industriellen Nutzung von APIs und IoT-Geräten würde eine Architektur wie folgt aussehen (siehe Abbildung 1). Die Grafik veranschaulicht beispielhaft, wie Sensoren oder andere IoT- Geräte an Maschinen einer Produktion über eine (Micro-) API-Architektur angebunden werden könnten. Hierbei hat jede Maschine eigene IoT Geräte, welche jeweils eine andere Funktion erfüllen. Jene sind durch diverse Anwendungsfälle definiert, wie beispielsweise das Messen der Temperatur, Luftfeuchtigkeit, die Position der Produkte oder deren Abmessung. Dabei koordiniert ein API-Gateway die Schnittstellen, damit die IoT-Geräte die Anfragen an eine zentrale Stelle schicken. An dieser Stelle können dann entsprechende Sicherheitsmechanismen platziert werden. Das API- Gateway leitet die Anfragen an die einzelnen Endpunkte zu Verarbeitung weiter. Zusätzlich helfen Micro Gateways dabei, die Micro Services zu koordinieren und zu managen.

 

 

 

IOT - IoT Szene

Vernetzung in der Arbeitswelt: Der Weg zum sextären Sektor?

Schreibe einen Kommentar

Die Arbeitslandschaft in Deutschland befindet sich mit der einkehrenden Hochvernetzung und Automatisierung zunehmend im Umbruch. Dabei könnte auch die klassische volkswirtschaftliche Sektoreneinteilung auf eine Erweiterung zusteuern. So stehen mit dem Primärsektor die land- und forstwirtschaftliche Produktion; dem zweiten Sektor die industrielle Produktion und dem Tertiärsektor die Produktion von Dienstleistungen nach wie vor im Fokus. Durch die Informationsverarbeitung in der zweiten Hälfte des 20. Jahrhunderts wurde dieses klassische Model jedoch aufgebrochen und um den quartären Sektor ergänzt. Weiter wurde auch ein quintärer Sektor definiert, der allerdings bis heute nicht eindeutig zuzuordnen ist .

Infolge der zunehmenden Automatisierung und dem möglichen Wegfall von zahlreichen nicht ersetzbaren Arbeitsplätzen, stehen wir angesichts der technischen und gesellschaftlichen Herausforderungen vor einer weiteren Sektorenbildung. In diesem Kontext wird auch ein bedingungsloses Grundeinkommen diskutiert, um die zukünftige Gesellschaftsordnung aufrecht zu erhalten. Doch wie soll ein derartiges Modell finanziert werden ohne die Staatskassen und Unternehmen massiv zu belasten? Und wie lassen sich die dafür fundamentalen Anforderungen an die IT-Sicherheit abbilden?

Eine neue Welt

Was fantastisch anmutet, ist aus technischer Sicht mittlerweile durchaus umsetzbar. So könnte die Besteuerung von autonomen Maschinen den Wohlstand künftig aufrechterhalten und gleichzeitig einen neuen sextären Sektor bilden. Die Nutzung der neuesten Distributed Ledger Technologie könnte im Einklang mit der vierten Industriellen Revolution diesen neuen Sektor erstehen lassen. Zeitgleich lassen sich mit dieser Technologie auch zahlreiche neue Geschäftsmodelle für Unternehmen bilden. Wenn Maschinen miteinander kommunizieren, Aufträge vergeben und bezahlen, könnten sie beispielsweise auch Steuern eigenständig abführen. Damit geht einher, dass Millionen oder gar Milliarden von vernetzten Maschinen und Devices sicher über eindeutige Identifikatoren und Kanäle agieren müssen.

Blockchain reloaded

Als vielversprechender Ansatz wird die Blockchain-Technologie der dritten Generation gesehen. Dabei handelt es sich im eigentlichen Sinne nicht um eine Blockchain, sondern vielmehr um einen Direkten zyklischen Graphen (DAG), der  Blockchain-Prinzipien nutzt. Dabei setzt das DAG-Prinzip auf eine verteilte, dezentrale Datenstruktur, die Transaktionen transparent, chronologisch und unveränderbar in einem Netzwerk speichert. Konzipiert wurde der DAG speziell um ein Distributed Ledger für das Internet of Things (IoT) zu ermöglichen und die zentralen Probleme bisheriger Blockchain-Technologien aufzuheben.  So kommt der DAG ohne aufwändiges Mining Dritter und somit auch ohne Transaktionsgebühren aus. Er benötigt zudem keine dauerhafte Netzanbindung und ist theoretisch unbegrenzt skalierbar.

Interoperabilität und Sicherheit

Für den Aspekt der eindeutigen Identifikatoren für Maschinen bestehen aktuelle Forschungsprojekte im Bereich Connected Cars und dem Industrial Internet of Things (IIoT). Sie zeigen, dass ein wesentlicher Eckpfeiler für den Schutz von hochvernetzen Infrastrukturen überprüfbare digitale Identitäten (ID) sind. Nur wenn es die Anbieter und Infrastrukturbetreiber schaffen, eine gemeinsame Identitätseben zu nutzen, ist eine vertrauenswürdige Interoperabilität und sichere Konnektivität möglich. Derzeit werden häufig Zertifikate und Public Key Infrastrukturen genutzt um diese Vertrauenswürdigkeit herzustellen. Diese  Lösung stößt jedoch allmählich an technische Grenzen. Das bedeutet: Neue Ansätze echter, mobiler und vertrauenswürdiger Identitäten sind für vernetzte, autonome Maschinen notwendig. Die Verwendung des DAG in Kombination mit digitalen Identitäten eröffnet vielversprechende und sichere Möglichkeiten. So ist nicht nur die Bildung eines neuen Sektors vorstellbar, der im Einklang mit der sozialen Verpflichtung von Staat und  Unternehmen steht, sondern auch lukrative und nachhaltige Geschäftsmodelle.

Dieser Beitrag wurde in Zusammenarbeit mit Markus Soppa (Research Consultant, accessec GmbH) verfasst.