Internet der Dinge Sicherheit in drahtlosen Sensornetzwerken

Drahtlose Sensornetzwerke sind beim Internet der Dinge ein kritischer Punkt. Leider berücksichtigen viele Produkte nicht einmal grundlegende Aspekte der Systemsicherheit. Wo sind die meisten Fehler bezüglich Sicherheit in drahtlosen Sensornetzwerken zu finden? Wie sehen die Lösungen aus?

von Kris Pister, Chief Technologist, und Jonathan Simon, Systems Engineering Director,
beide bei Dust Networks.

Drahtlose Systeme sind naturgemäß schlecht gegen Attacken geschützt, da jeder mit einem entsprechenden Funkmodul über eine gewisse Entfernung mit diesen kommunizieren kann. Ähnlich wie im Internet, wo jeder von seinem Computer aus eine Attacke über große Entfernungen hinweg fahren kann. Folglich muss man alle vernetzten Systeme – drahtgebunden oder drahtlos – gegen Attacken schützen.

Sicherheit in drahtlosen Sensornetzwerken (Wireless Sensor Networks, WSN) basiert auf drei Elementen:

  • Vertraulichkeit: Daten im Netzwerk dürfen nur für den Empfänger sichtbar sein.
  • Integrität: Jede empfangene Nachricht muss mit der gesendeten identisch sein, ohne Ergänzungen, Streichungen oder Modifikation des Inhalts.
  • Authentizität: Der Absender muss als Quelle der Nachricht erkennbar sein. Ist die Zeit ein Teil des Authentizitätsschemas, schützt das davor, dass seine Nachricht abgefangen und später abgespielt wird.

Vertraulichkeit ist nicht nur in sicherheitskritischen Applikationen notwendig, sondern in allen alltäglichen Anwendungen. Beispielsweise sind Sensorinformationen zu Fertigungsstand oder Maschinenstatus zu schützen. Auch diese Daten sollten verschlüsselt werden, sodass sie der autorisierte Empfänger verwenden kann. Dabei müssen die Sensor- und Steuerinformationen intakt ankommen. Zeigt ein Sensor »Tankpegel bei 72 cm« oder der Controller bestimmt »Ventil auf 90 Grad«, kann dies sich desaströs auswirken, wenn ein Bit in einem Datensatz verloren geht.

Vertraulichkeit in die Quelle einer Nachricht zu haben ist ein kritischer Faktor. So führen die zwei gerade genannten Meldungen zu schwerwiegenden Konsequenzen, wenn sie ein böswilliger Angreifer manipuliert. Ein extremes Beispiel wäre eine Nachricht wie: »Hier ein neues Programm für Sie«.

Gravierende Konsequenzen

Die Konsequenzen einer schlechten Sicherheit sind nicht immer vorherzusehen. So scheint zum Beispiel ein drahtloser Temperatursensor oder Thermostat nur ein geringes Sicherheitsrisiko darzustellen. Allerdings könnte ein Krimineller einen Empfänger nutzen, um herauszubekommen, dass der Thermostat auf »Urlaub« steht. Dann kann er in Ruhe das Haus ausrauben. Besser ist es deshalb, grundsätzlich alle Daten zu verschlüsseln.

Zu Beginn von ZigBee liefen die meisten Netzwerke ohne Sicherheit. Mit dem Ergebnis, dass bei einer Vorführung der Interoperabilität eine Reihe von ZigBee-Netzwerken ausfielen, da sie einen Befehl von einem fremden Netzwerk auswerteten, der zu einem Kanalwechsel aufforderte. Die ZigBee-Netzwerke konnten nicht bestimmen, ob der Befehl vom eigenen oder von einem fremden Netzwerk stammte. Dieses Verhalten war nicht das Ergebnis einer Attacke, sondern war auf fehlende Authentifikation zurückzuführen, und führte damit zur Fehlinterpretation von Paketen aus einem komplett falschen Netzwerk.