Das Internet der Dinge und IAM
Von Petteri Ihalainen
Internet of Things (IoT) und Internet of Everything (IoE) sind wichtige Schlagwörter. Immer mehr Geräte, Haushaltsartikel, Haustechnik, alle Arten von Sensoren und Steuerungen sowie mechanische Komponenten verbinden sich mit und in einem umfassenderen Netzwerk, dem Internet. Nicht wenige Kommentatoren warnen eindringlich vor explodierenden Sicherheitsproblemen, wenn sich „dumme“ Geräte mit dem Malware- und Exploit-verseuchten Internet verbinden.
Für Verbraucher bedeutet das IoE, dass sie Zugang zu mehr Informationen haben und Geräte problemlos aus der Ferne steuern können. Ich persönlich hätte nichts dagegen, wenn eine externe Partei feststellt, dass sich in meinem Kühlschrank selten mehr befindet als eine Glühbirne. Ich hätte aber sehr wohl etwas dagegen, wenn jemand mit dem Internet verbundene Geräte aus der Ferne startet, vor allem solche mit einem erheblichen Gefahrenpotenzial. Es gibt beispielsweise bereits Saunaöfen, die man durch das Senden einer SMS-Nachricht starten kann. Sie müssen dazu nur die Telefonnummer der Steuerung kennen. Das ist nur ein Beispiel. Folglich ist es nicht besonders überraschend, dass hier alle Arten von Missbrauch vorstellbar sind.
Die Herausforderung: Während das Gerät sehr wahrscheinlich eine Identität besitzt (eine IP-Adresse oder MAC, eine Seriennummer, ein Gerätezertifikat oder eine OID-basierte Kennung), wer kontrolliert den Zugang zu diesem Gerät oder zu den Informationen, die es sendet? Identity & Access Management (IAM) bietet hier einen Anknüpfungspunkt. Kann man ein Gerät identifizieren, kann man auch den Zugang kontrollieren. Die IP-Adresse als Kennung könnte sich allerdings als problematisch erweisen, wenn es sich um ein Mobilgerät handelt.
Die Standardisierungsbemühungen für IAM und das Internet of Everything nehmen gerade erst Gestalt an. Führend sind Initiativen wie Kantara, die sich bemühen entsprechende Standards wie zum Beispiel OAuth weiter zu entwickeln. Dabei muss man etliche Dinge beachten, denn die verbundenen Geräte werden intelligenter, erfassen und senden mehr Informationen und bieten eine breitere Palette von Mechanismen zur Fernsteuerung an. Das verbundene Gerät zu identifizieren ist mithin entscheidend.
Identity Access Management kann man auf verbundene Geräte ausweiten. Herkömmliche IAM-Lösungen konzentrieren sich auf Personen, das Verwalten der Zugangsrechte und der mit den Nutzern verbundenen Attribute. Im Prinzip funktionieren diese Funktionen auch gut mit identifizierbaren Geräten. Das IoE geht aber aufgrund der Gerätebeschaffenheit darüber hinaus. Traditionelles IAM konzentriert sich vor allem auf unidirektionale Kontrolle (Benutzer / Person greift auf etwas zu), während das IoE naturgemäß bidirektional ist. Ein verbundenes Gerät sendet Informationen aus, empfängt aber auch Befehle, Informationsanfragen und so weiter.
Das Anbinden vernetzter Geräte an die IAM-Architektur hat einige Vorteile. Wenn der Identity Provider unterschiedliche Authentifizierungsmechanismen unterstützt, kann er dem Endanwender eine Möglichkeit einrichten, bequem aus der Ferne auf ein Gerät zuzugreifen. Passwörter sind hier wenig zweckmässig, aber ein eingebetteter Fingerabdruck-Sensor durchaus – in modernen Smartphones bereits üblich. Mit einer geeigneten Autorisierungsmethode lässt sich der Zugang zu den Informationen kontrollieren, die das Gerät sendet.
