Startseite > Embedded > Software > Keine IoT-Sicherheit ohne Netzwerksicherheit

Angriffspunkt Drahtlos-Netzwerke

Keine IoT-Sicherheit ohne Netzwerksicherheit

30. Januar 2015, 14:34 Uhr | Robert Day

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Mit der Außenwelt verbunden

Die Internetverbindung erfolgt in der Regel lokal über ein Gateway oder einen Router auf dieselbe Weise wie der lokale Router zuhause sowohl Internetzugang als auch lokale Wi-Fi-Vernetzung ermöglicht. Diese IoT-Gateways müssen innerhalb des proprietären Netzwerks zunächst mit allen lokalen eingebetteten Geräten verbunden sein und dann, über das Internet, mit der Außenwelt. Das heißt, obwohl physisch oft vor Ort, sind diese Geräte über die Internetverbindung nach außen sehr offen. Das ist ein potentielles Sicherheitsrisiko, da jeder, der auf den Router zugreifen kann, auch auf die angeschlossenen Geräte zugreifen kann, ohne selbst vor Ort anwesend sein zu müssen. Je nach eingebauter Intelligenz im Router könnten viele Datenanalysen bereits dort vorgenommen werden, auch wenn die Hauptfunktion die Verbindung und Datenkommunikation zwischen zwei Netzwerken bleibt.

Nachdem der Router entschieden hat welche Daten zu übermitteln sind, werden diese normalerweise verschlüsselt und an ihren nächsten Bestimmungsort verschickt. Hierbei handelt es sich häufig um ein großes Speicherzentrum, oft in der Cloud beheimatet, wo Datenanalysen dazu dienen, aussagekräftige Informationen über Gebühren-, Nutzungs-, Wartungs-, Ertrags- und Leistungsdaten zu liefern. Oder aber die Daten gehen an bestimmte Verwaltungs- und Steuersysteme wo entweder Menschen oder Maschinen die Geräte am Standort steuern. Wo liegen also die Schwachstellen? Typischerweise nicht bei den Daten während der Übermittlung, da sie verschlüsselt sind. In der Regel jedoch am finalen Bestimmungsort, wenn die Daten entschlüsselt und dadurch anfällig für Diebstahl oder Manipulation werden.

Am Bild des etwas vereinfachten IoT-Netzwerks ist leicht und deutlich zu erkennen, dass es einige Angriffspunkte gibt, die wirkungsvoller Sicherheitsmaßnahmen bedürfen. Das eingebettete Gerät selbst ist anfällig gegen lokale drahtlose Bedrohungen oder potentiell gegen einen Angriff seitens eines gehackten Routers. Der Router selbst ist ein riesiger potentieller Angriffspunkt, da er sowohl mit dem lokalen Netzwerk als auch mit dem Internet verbunden ist. Ohne eine sichere Trennung zwischen diesen beiden Bereichen können ferngesteuerte Cyber-Angriffe sehr leicht hier stattfinden. Zu guter Letzt sind auch die Cloud-Speicher- und Fernverwaltungssysteme mögliche Angriffspunkte, die zudem eine noch größere erzielbare Ausbeute versprechen, da sie alle Daten enthalten und oft über Steuerungs- und Masterfunktionen verfügen.

Gestaffelte Verteidigung (Defense in Depth)

Also muss eine Strategie der gestaffelten Verteidigung in Kraft treten, um alle anfälligen Teile des Netzes vor Cyber-Angriffen jeden Typs und jeder Methode zu schützen. Glücklicherweise gibt es Technologie, die das Risiko oder die Auswirkungen eines Angriffs erheblich zu reduziert, wenn sie während der Netzwerk-Designphase eingesetzt wird (und nicht hinterher). Ein Großteil dieser Technologie wurde entwickelt um den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD) gerecht zu werden, das seit Jahrzehnten sichere Netzwerke betreibt. Hier können Beeinträchtigungen jedes Bestandteils sich als verhängnisvoll für die nationale Sicherheit erweisen und sind daher keine Option.

Die meisten Sicherheitsfunktionen weltweit sind bisher entweder als Erweiterungen auf existierende Infrastrukturen aufgesetzt oder als Patches zur Versiegelung von Sicherheitslücken aufgespielt worden. Man denke beispielsweise an den Schutz, den jeder für einen normalen Desktop-PC oder Laptop benötigt: Antivirus-Software, Firewalls, Sicherheitspatches für Betriebssystem und Anwendungen, und eine Fülle von Netzwerktools, die nach bekannten Cyber-Angriffen Ausschau halten. Da jedoch auch im IoT eine erfolgreiche Attacke bereits tödlich sein kann, muss jeder Teil der Infrastruktur bereits präventiv mit inhärenter Sicherheit versehen werden.

Wie in der PC-Welt ist das Hauptangriffsziel häufig das Betriebssystem weil es die höchstprivilegierte Software eines jeden Systems ist. Ein kompromittiertes Betriebssystem öffnet dem Zugriff auf wichtige Steuerfunktionen und Daten. Also ist ein besserer nötig als herkömmlichen Antivirus- oder Patch-Mechanismen. Betriebssysteme kommen in der gesamten oben beschriebenen IoT-Infrastruktur zum Einsatz. Die Sicherheitslösungen für jeden Bestandteil sind einzeln zu betrachten. Wir werden uns darauf konzentrieren, die Teile der Infrastruktur zu sichern, die typischerweise als Embedded-Systeme gelten, die Geräte und die Router. Um die Sicherheitsprobleme von Cloud- und Managementsystemen kümmern sich in der Regel die IT-Sicherheitsprodukte einschlägiger Anbieter.