So funktioniert sicheres Edge Computing

Was ist Edge Computing?

Unter Edge-Computing versteht man die Datenverarbeitung am Rand (engl. "Edge") eines Netzwerks. Der größte Vorteil einer solchen dezentralen Architektur liegt in der geringeren Latenzzeit: Daten müssen nicht zuerst in die Cloud gesendet werden. 5G-Netze bieten zwar bereits Latenzzeiten von bis zu einer Millisekunde. Ein Großteil dieses Vorteils geht jedoch verloren, wenn Daten weit entfernt abgerufen und verarbeitet werden müssen. Internetfähige Endgeräte verarbeiten sie stattdessen über eingebaute Microcontroller oder in einer vorgeschalteten Edge Layer dort, wo sie entstehen, beziehungsweise gesammelt werden.

Relevant ist das vor allem für im Internet of Things (IoT) vernetzte Geräte. Davon gibt es immer mehr, sei es im industriellen Bereich, in Smart Homes, medizinischen Geräten oder intelligenten Autos. Schätzungen zufolge existieren bereits heute zwischen 20 und 30 Milliarden IoT-Endgeräte, und es werden täglich mehr.

Lesetipp: Diese Sicherheitsstandards gelten im IoT

Ohne Edge Computing keine smarten, vernetzten Anwendungen

Die Menge der von IoT-Geräten gesammelten und genutzten Daten wäre ohne Edge Computing kaum zu bewältigen, zumindest aber nicht sinnvoll zu nutzen. Je weiter entfernt ein Endgerät vom Rechenzentrum ist, desto höher die Latenzzeiten. Eine Datenauswertung in Echtzeit, wie sie zum Beispiel für die Erkennung von Anomalien in industriellen Systemen oder den sicheren Betrieb von vernetzten Fahrzeugen benötigt wird, ist dann nicht immer gewährleistet.

Die Datenmenge, die IoT-Geräte erzeugen, übersteigt jedes Vorstellungsvermögen: Die Marktforscher von IDC erwarten bis 2025 ein Anwachsen der weltweiten Datenmenge auf 175 Zettabyte. Und die Kollegen von Gartner gehen für dasselbe Jahr davon aus, dass bereits 75 Prozent dieser Daten außerhalb von hauseigenen Rechenzentren oder der Cloud verarbeitet werden.

Vorteile und Nachteile von Edge Computing

Die Optimierung von Latenzzeiten ist nicht der einzige Vorteil. Zentrale Rechenzentren werden durch Edge Computing entlastet, weil durch die Verarbeitung an Ort und Stelle weniger Netzwerkverkehr entsteht. Ein Fertigungsbetrieb, der eine vorausschauende Wartungsstrategie für seine Anlagen umsetzen möchte, kann mit einer grundlegenden Zustandsüberwachung und der Erkennung von Anomalien am Edge beginnen, bevor er die umgewandelten Daten für weitere Analysen und die Vorhersagen von Anlagenausfällen in die Cloud überträgt. Edge Computing trägt auch zur Ausfallsicherheit bei, da die Edge Layer einen Serverausfall kompensieren kann.

Für Unternehmen ergibt sich zudem der Vorteil, dass sich Compliance-Auflagen leichter erfüllen lassen. Viele Gerichtsbarkeiten geben klar vor, wo Daten verarbeitet werden dürfen und fordern hohe Sicherheitsstandards, wenn Daten Grenzen überschreiten. Bei der Edge-Verarbeitung verbleiben sensible Daten vor Ort. Edge Computing ermöglicht es Unternehmen, die Datenmenge zu kontrollieren und nur aggregierte Daten an die öffentliche Cloud zu senden. Schwächen der Edge-Architektur liegen dagegen in der komplexen OT/IT-Architektur mit mehr Elementen und einem entsprechend höheren Kosten- und Wartungsaufwand sowie der geringeren Rechenkapazität von Edge-Geräten.

Cybersicherheit am Edge

Auch aus CISO-Sicht gibt es Vor- und Nachteile. Der Edge Layer zwischen Datenzentrum und Endgerät fungiert zunächst als zusätzliche Sicherheitsschicht, was den Schutz vor Cyberangriffen erhöht. Gleichzeitig bildet die Vielzahl mobiler Endgeräte jedoch auch ein zusätzliches Einfallstor für Cyberattacken. Deren Absicherung muss zwingend Bestandteil der übergreifenden IT-Sicherheitsstrategie sein.

Cybersicheres Edge Computing ist eine komplexe Aufgabe. Hardwareseitig können in den verbauten Mikrocontrollern Sicherheitsfunktionen integriert werden. Dazu zählt etwa die gängige Praxis der Isolierung der Speicherung und Verarbeitung sensibler Informationen. Sie können allerdings nur in Verbindung mit aktuellen Software-Abwehrtechniken, der Verschlüsselung des Datenaustauschs zwischen Edge-Geräten und einer Sensibilisierung von Bedienern für Cyberrisiken ihre volle Wirkung entfalten. Vor allem dieser Aspekt gerät gegenüber technischen Sicherheitsmaßnahmen oft ins Hintertreffen, doch ohne diesen Punkt können hardware- und softwareseitige Abwehrmechanismen geschwächt oder wirkungslos werden.

Lesetipp: Secure Access Service Edge - Der große SASE-Kaufratgeber

Komplexe Architektur mit einer Vielzahl von Geräten

Edge-Geräte werden oft an Standorten installiert, an denen physischer Schutz nicht oder nur bedingt möglich ist, etwa in einer Fertigungshalle oder einem smarten Gebäude. Die Verarbeitung vor Ort bietet jedoch den Vorteil, nicht nur die Latenzzeit zu reduzieren. Es sinkt gleichzeitig auch die Reaktionszeit bei sicherheitsrelevanten Ereignissen wie etwa gehackten Geräten, die im Zweifel schnell vom Rest des Systems isoliert werden müssen. In einer vernetzten Welt kann ein Thermostat oder Lichtschalter das Einfallstor für eine Cyberattacke darstellen.

Aufgrund der Komplexität von IoT-Architekturen muss Edge-Sicherheit von Anfang an mitgedacht werden. Ein Problem stellen dabei "Informations-Silos" dar: Auch die fähigsten Sicherheitsverantwortlichen können diesen Anspruch nur erfüllen, wenn sie in IoT-Initiativen einbezogen werden und während der gesamten Implementierung die Systemsicherheit berücksichtigen können. Zur Sicherung von Edge-Computing-Geräten kann ein Defense-in-Depth Network (DDN)-Ansatz angewendet werden. Unternehmen können damit mehrere Edge-Sicherheitszonen mit unterschiedlichen Verteidigungselementen in jeder Zone implementieren.

Sicherheit ist nicht mehr nur Aufgabe der IT-Abteilung

Gegen Cyberrisiken hilft nur die Sensibilisierung von Mitarbeitern und eine konsequente Vermittlung des Prinzips, dass in einer vernetzten Welt mit steigenden Cyberrisiken jeder einzelne ein gewisses Maß an IT-Sicherheitskompetenz entwickeln und im Alltag leisten muss. Das gilt insbesondere für die Edge-Sicherheit.

Unternehmen brauchen folglich neben einer mit Cyberrisiken vertrauten IT-Abteilung eine entsprechend informierte Belegschaft und eine Kommunikationskultur, die es ermöglicht, potenzielle Sicherheitsrisiken zur Sprache zu bringen, ohne Sanktionen fürchten zu müssen. Wer versehentlich eine kompromittierte Mail geöffnet hat, wird den Fehler zunächst ungern zugeben. Jedoch werden Betroffene eher bereit sein, das zu tun und so zur Schadensbegrenzung beizutragen, wenn sich die Person an einen kompetenten und verständnisvollen Ansprechpartner wenden kann.

Sicheres Edge Computing: Die richtige Datenbank ist entscheidend

Edge-Sicherheit erfordert grundlegende Sicherheitsmerkmale. So muss das gesamte Netzwerk mit allen Komponenten für Administratoren sichtbar sein. Der Zugriff auf veränderte Daten und Netzwerkressourcen ist einzuschränken, und Daten müssen sowohl bei der Lagerung als auch bei der Übertragung verschlüsselt sein. Durch die verteilte Architektur kommt dem Datenmanagement eine zentrale Bedeutung für die Cybersicherheit zu.

Die für Edge Computing benötigte Datenbank-Architektur besteht idealerweise aus einer zentralen und vielen peripheren Datenbanken vor Ort. Letztere müssen sich schnell anpassen können. NoSQL-Datenbanken und insbesondere Dokumentendatenbanken sind mit ihrer flexiblen, JSON-basierten Struktur dafür besser geeignet, da der Aufwand bei Änderungen geringer ist als bei relationalen Datenbanken. Außerdem lassen sie sich leichter horizontal über mehrere Edge-Computing-Knoten skalieren und gewährleisten hohe Verfügbarkeit und Fehlertoleranz. (jm)