Startseite > Embedded > Entwicklungstools > Bausteine für mehr Sicherheit

Cyber-Security

Bausteine für mehr Sicherheit

10. Mai 2017, 22:08 Uhr | Von Cliff Ortmeyer

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Risiken und Bedrohungen

Die mit dem IoT in Verbindung gebrachten Sicherheitsrisiken werden deutlich, wenn man sich die Auswirkungen von Ausfällen einiger Systeme ansieht, die mit dem Internet verbunden sind. Während größere Infrastruktur- und andere sicherheitskritische Systeme Experten vor die Frage stellen, wie diese Systeme gesichert und umfangreiche Sicherheitsbudgets aufgesetzt werden können, müssen selbst einfache und kostengünstige Lösungen wie private Heizungsanlagen gesichert werden. Wer nach dem Skiurlaub nach Hause kommt und feststellen muss, dass die Heizung gehackt wurde und alle Rohre eingefroren sind, sieht sich plötzlich mit einer kostspieligen Einführung in das Thema IoT-Sicherheit konfrontiert.

Bei einer Veranstaltung in Chicago erläuterte Roman Budek von NXP die sechs zentralen Sicherheitsrisiken, die Entwickler von IoT-Systemen unbedingt berücksichtigen müssten. Wenn der Datenaustausch oder die Steuerung eines Systems in die Cloud ausgelagert wird, muss die Frage nach ferngesteuerten Angriffen auf Anbieter von Cloud Services gestellt werden: Einfach davon auszugehen, dass größere Dienstleister sich der Gefahr schon annehmen werden, reicht nicht aus.

Das Prinzip des IoT bedeutet, dass Geräte laufend erreichbar sind. Dementsprechend stellen physische Angriffe auf Peripheriesysteme, wie z.B. zur Steuerung von Türschlössern genutzte Side Channels, für viele Systeme ein Risiko dar. Ebenso könnte ein angreifbares, gefälschtes oder kompromittiertes Gerät die Sicherheit eines Netzwerks von innen heraus untergraben. Dies ist eine besonders große Herausforderung, da viele IoT-Anbieter der Überzeugung sind, dass die Kompatibilität mit anderen Produkten des Unternehmens wichtig für den kommerziellen Erfolg eines Geräts ist.

Smartphones, Tablets und Smartwatches stellen ein weiteres Risiko dar, wenn Benutzer schädliche Anwendungen herunterladen, die Zugang zum Netzwerk haben. Über Phishing-Angriffe können Hacker zudem an PIN-Codes gelangen und so auf Geräte zugreifen, die über eine Anwendung mit dem IoT-System vernetzt sind. Schlussendlich sind da noch alte Geräte, die durch neue IoT-Produkte ersetzt werden und als trojanische Pferde missbraucht werden können, um andere Netzwerkgeräte zu kompromittieren.

Es wird deutlich, dass Ingenieure bei der Entwicklung von IoT-Geräten einen ganzheitlichen Ansatz für das System verfolgen müssen und sich nicht nur auf das Produkt konzentrieren dürfen, an dem sie arbeiten.

Sicherheit für integrierte Geräte

Bei der Entwicklung von integrierten IoT-Geräten müssen Entwickler drei Dinge gewährleisten:

Datenintegrität: Es muss ein ausreichender Datenschutz sichergestellt werden, damit nur autorisierte Benutzer darauf zugreifen können. Außerdem muss zum Schutz vor Angriffen oder Fehlern gewährleistet sein, dass die Daten nicht kompromittiert werden können.
Code-Integrität: Die Sicherung des Codes ist ebenfalls von großer Bedeutung. Jegliche Änderungen am Code müssen erfasst werden und dürfen nur nach entsprechender Autorisierung erfolgen. Zusätzlich dazu legen die meisten Unternehmen Wert auf den Schutz ihres geistigen Eigentums, was Maßnahmen zum Diebstahlschutz für den Code erfordert.
Geräteintegrität: Es ist wichtig, sicherzustellen, dass die vernetzten Geräte authentisch sind und in ihren zentralen Funktionen nicht manipuliert wurden. IoT-Geräte benötigen aus diesem Grund eine strikte Authentifizierung sowie einen zuverlässigen Schutz der kryptografischen Schlüssel, um Hacker-Angriffen und gefälschten Produkten vorzubeugen.

Hierzu verweisen Sicherheitsexperten oftmals auf die sechs Grundsätze für integrierte IoT-Sicherheit, die jeder Entwickler berücksichtigen sollte: Identität/Authentifizierung, Autorisierung, Überprüfung, Vertraulichkeit, Integrität und Erreichbarkeit. Im Zentrum vieler dieser Grundsätze steht die Kryptografie.