Sicherheit im Edge Computing – was Unternehmen jetzt tun müssen
Mit der zunehmenden Verbreitung von IoT-Geräten, vernetzten Maschinen und dezentraler Datenerfassung wächst die Angriffsfläche am Edge. Unternehmen müssen ihre Sicherheitsmaßnahmen und -strategien anpassen!
Das Internet der Dinge wächst weiterhin mit großer Geschwindigkeit. Laut dem Marktforschungsunternehmen Transforma Insights wird sich die Zahl der vernetzten Geräte und Maschinen in den kommenden zehn Jahren mehr als verdoppeln. Weltweit werden dann über 40 Milliarden Devices im IoT (Internet of Things) miteinander kommunizieren – und riesige Datenmengen erzeugen.
Diese Datenmassen lassen sich nicht mehr vollständig in zentrale IT-Infrastrukturen übertragen, sondern müssen dezentral vor Ort, am so genannten Edge, gespeichert, konsolidiert und analysiert werden. IoT-Anwendungen wie das autonome Fahren, die intelligente Steuerung von Produktionsanlagen, Verkehrsleitsystemen oder Stromnetzen und medizinische Anwendungen wie die computerassistierte Remote-Chirurgie sind zudem sehr latenzsensitiv, da sie in Echtzeit auf veränderte Situationen reagieren müssen. Das macht die Datenverarbeitung und -analyse vor Ort zwingend erforderlich. Leistungsfähige und sichere Edge-Computing-Infrastrukturen werden daher in Zukunft eine immer wichtigere Rolle spielen. Marktforschungsunternehmen wie Fortune Business Insight prognostizieren ein exponentielles Wachstum für den Edge-Computing-Markt. Das Marktvolumen soll sich demnach von 2023 bis 2032 fast verzwanzigfachen.
Angriffe am Edge: die größten Risiken
Mit der stärkeren Vernetzung von Sensoren, Geräten und Maschinen vergrößert sich auch die Angriffsfläche für Cyberkriminelle. Die dezentrale Struktur, die Vielzahl unterschiedlichster Endgeräte und die Komplexität ihrer Vernetzung führen dabei zu einer Reihe typischer Risiken. Hier die wichtigsten:
Distributed-Denial-of-Service-(DDoS)-Angriffe:
Cyberkriminelle missbrauchen IoT-Geräte oft zum Aufbau großer Botnetze, um die Server ihrer Opfer mit riesigen Datenmengen und Millionen von Anfragen zu fluten und so in die Knie zu zwingen. Das bekannteste Beispiel ist das Mirai-Botnet, das hauptsächlich aus kompromittierten IoT-Geräten besteht und das immer noch aktiv ist. Die Angreifer haben oft leichtes Spiel, da die Firmware vieler IoT-Geräte Sicherheitslücken aufweist, die von den Herstellern nicht oder nur sehr verzögert geschlossen werden. Selbst längst bekannte und behobene Schwachstellen lassen sich oft noch über Jahre ausnutzen, da Anwender die bereitgestellten Patches nicht installieren oder Geräte bei der Aktualisierung schlichtweg vergessen.
Spionage und Sabotage:
Viele Edge-Geräte sind mit dem Internet verbunden, ohne dass der Zugang verschlüsselt und durch eine starke Authentifizierung geschützt ist. Falls es überhaupt einen Passwortschutz gibt, ist dieser oft werkseitig vorgegeben und für alle Geräte desselben Typs gleich. Mithilfe von Suchmaschinen wie Shodan oder Defpass können potenzielle Angreifer solche exponierten Systeme sehr einfach finden und die darauf gespeicherten Daten auslesen. Werden Webcams, Mikrofone oder Sensoren von Angreifern übernommen, lassen sie sich zu Spionagezwecken missbrauchen. Nicht oder schlecht gesicherte Steuerungsanlagen können darüber hinaus als Einfallstor für Sabotage dienen. Vor allem russische Akteure haben in den vergangenen Jahren immer wieder Anschläge auf kritische Infrastrukturen verübt. Betroffen waren unter anderem eine Wasseraufbereitungsanlage in Texas und ein Klärwerk in Indiana.
Diebstahl von Daten und Geräten:
Die große Menge dezentral am Edge erzeugter und gespeicherter Daten erschwert es Sicherheitsverantwortlichen, den gesamten Datenverkehr zu überwachen und einheitliche Sicherheitsrichtlinien durchzusetzen. Dadurch steigt die Gefahr, dass personenbezogene Daten und andere sensible Informationen in die falschen Hände geraten. Viele IoT-Geräte befinden sich zudem an leicht zugänglichen Orten wie Eingangshallen, Besprechungszimmern oder öffentlichen Plätzen. Angreifer können sich daher relativ einfach physischen Zugriff auf die Devices verschaffen, Daten kopieren oder die Geräte gleich komplett stehlen.
Maßnahmen für mehr Edge-Computing-Sicherheit
Um diese Risiken zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:
Automatisiertes Geräte- und Patch-Management:
IoT-Device-Management-Lösungen wie Blink, Cumulocity oder ThingsBoard ermöglichen es, vernetzte Geräte automatisiert zu konfigurieren, zu überwachen und zu aktualisieren. Dadurch lassen sich Fehler bei der Konfiguration und Sicherheitslücken durch nicht gepatchte Schwachstellen vermeiden. Auch die Edge-Server sollten in ein umfassendes Remote-Management eingebunden werden. Tools wie die Advanced Platform Management Link (APML) Library und die EPYC System Management Software (E-SMS) von AMD unterstützen IT-Sicherheitsverantwortliche dabei.
Durchgängige Verschlüsselung:
Daten sollten sowohl während der Übertragung als auch bei der Speicherung durch eine starke Verschlüsselung geschützt sein. Beim Transfer sollte TLS (Transport Layer Security) zum Einsatz kommen. Alternativ kann ein Virtual Private Network (VPN) verwendet werden. Gespeicherte Daten müssen mit starken Verschlüsselungsalgorithmen wie AES (Advanced Encryption Standard) mit mindestens 256 Bit Schlüssellänge geschützt werden. Zusätzliche Sicherheit bietet eine transparente Verschlüsselung des Arbeitsspeichers (Transparent Secure Memory Encryption, TSME) wie sie AMD mit den Infinity-Guard-Sicherheitsfunktionen der AMD EPYC Prozessoren bereitstellt. Durch die transparente High-Performance-Verschlüsselung auf Chipebene werden Daten ohne Leistungseinbußen geschützt, ohne dass Änderungen am Betriebssystem oder der Anwendungssoftware nötig sind.
Starke Authentifizierung:
Alle werkseitig voreingestellten Zugangsdaten sind sofort durch starke, nur einmal verwendete Passwörter zu ersetzen. Wo immer möglich ist eine Mehr-Faktor-Authentifizierung (MFA) zu implementieren.
Netzwerksegmentierung:
Die Unterteilung des Netzwerks in voneinander isolierte Segmente erschwert es Angreifern erheblich, sich nach der Übernahme eines Edge-Gerätes im Netzwerk auszubreiten.
Hardwarebasierte Sicherheit:
Angriffe auf BIOS- oder Firmware-Ebene lassen sich mit Sicherheitssoftware kaum bekämpfen, da die Systeme bereits kompromittiert sind, bevor das Betriebssystem und die Security-Lösungen gestartet werden. Es braucht deshalb eine zuverlässige Basis, den sogenannten Hardware-Root of Trust (RoT), der sicherstellt, dass sich Hardware, Firmware und BIOS in einem vertrauenswürdigen Zustand befinden und nicht manipuliert wurden. Spezielle Sicherheitsprozessoren wie der AMD Secure Processor stellen solche RoT-Funktionen zur Verfügung. Ab 2026 will AMD auch die Open-Source-RoT-Lösung Caliptra in seinen Produkten anbieten (mehr dazu in diesem Artikel).
Sicherheit in der Lieferkette:
Die besten Abwehrmaßnahmen nützen nichts, wenn die eingesetzte Hardware bereits ab Werk oder in der Lieferkette manipuliert wurde. Anwender sollten neue Produkte daher vor dem Einsatz sorgfältig auf ihre Authentizität prüfen. Hersteller wie AMD haben Maßnahmen ergriffen, um sicherzustellen, dass Komponenten ausschließlich von autorisierten Zulieferern und Dienstleistern hergestellt und transportiert werden.
Security Awareness:
Edge-Security ist nicht nur eine Frage der Technik, sondern auch der Sicherheitskultur eines Unternehmens. Technische Maßnahmen sollten deshalb immer auch mit Schulungen, Informationsveranstaltungen und Trainings verbunden sein, die IT-Mitarbeiter und Anwender dazu befähigen, Risiken zu erkennen und verantwortungsvoll zu handeln.
Fazit: Sicherheit am Edge braucht eine starke Basis
Edge Computing bietet entscheidende Wettbewerbsvorteile, vergrößert aber auch die Angriffsfläche für Cyberkriminelle und staatliche Akteure. Unternehmen müssen bei ihren Investitionsentscheidungen am Edge daher mindestens genauso viel Wert auf starke Sicherheit wie auf Funktionalität und Vernetzung legen.
Neben der lückenlosen Erfassung und Verwaltung aller Edge-Devices, einer konsistenten Passworthygiene und einer durchgängigen Verschlüsselung spielt die Wahl der Hardware-Plattform eine entscheidende Rolle. Schließlich nützen die besten Sicherheitsmaßnahmen und Security-Lösungen nichts, wenn Edge-Computer und IoT-Devices bereits ab Werk kompromittiert sind, oder wenn Firmware und BIOS Sicherheitslücken aufweisen. Mit Infinity Guard, dem Secure Processor und einer lückenlosen Überwachung der Lieferkette bieten AMD-Prozessoren und -Komponenten eine solide Basis, auf der Unternehmen erfolgreiche, sichere und resiliente Edge-Infrastrukturen aufbauen können.