NXP Semiconductors
IoT: Sicherheit für Mrd. von Geräten, wie soll das gehen?
Fortsetzung des Artikels von Teil 2
Anzahl und Varianten der Angriffe hat zugenommen
Es ist sogar aus Lees Sicht ziemlich einfach, solche Systeme mit einer Technik namens DNS-Spoofing reinzulegen. Bei DNS-Spoofing setzt man eine gefakte Webseite auf, bei der der Kunde beispielsweise nur glaubt, dass er mit seiner Bank kommuniziert, aber tatsächlich kommuniziert er mit der gefakten Webseite, sprich die Daten werden dementsprechend dann auch an die gefakte Webseite geschickt. Nachdem die Daten aber verschlüsselt sind, kann die gefakte Webseite mit den Informationen nichts anfangen. Lee betont noch einmal: »Das einzige was garantiert wird, ist, dass der Besitzer des Private Keys auch der Besitzer der Domäne ist.« Dabei betreiben die entsprechenden Autoritäten viel Aufwand, wenn sie ein Zertifikat vergeben, um auch sicher zu sein, dass eine Verbindung zwischen Person, die dieses Zertifikat beantragt hat und dem Owner der Domäne besteht. Lee: »Das ist alles sehr aufwendig und damit vollkommen ungeeignet für das IoT. Dieser Prozess kann hier nicht funktionieren, also muss ein vollkommen neuer Prozess mit vollkommen anderen Authentifizierungsmechanismen aufgesetzt werden.«
Ein Beispiel für vollkommen neue Authentifizierungsmechanismen ist Let’s Encrypt, eine freie, automatisierte und offene Zertifizierungsstelle (von der gemeinnützigen Internet Security Research Group, kurz ISRG). Laut Lee ist es dort möglich, jedes Gerät über einen vollständig automatisierten Weg zertifizieren zu lassen. Das klingt etwas beängstigend, weil man sich natürlich fragt, welche Garantie wird mit dieser Authentifizierung dieses Gerätes gegeben? Genau hier sieht Lee das Problem. Denn die meisten verstehen gar nicht, was ein Zertifikat garantiert. Bei Let’s Encrypt wird nur garantiert, dass der Besitzer des Privaten Schlüssels auch der Owner dieser IP-Adresse ist. Wenn man also an diese IP-Adresse Daten schickt, dann hat man lediglich die Garantie, dass die IP-Adresse irgendwie mit diesem Privaten Schlüssel verbunden ist. Lee: »Das ist eine viel schwächere Garantie als das bei der Bankgeschichte der Fall ist. Weil da keine menschliche Überprüfung dabei ist.«
Auch wenn sie schwächer ist, hält Lee sie dennoch für gut, denn damit können beispielsweise folgendes verhindert werden: Dass jemand von außen in ein mit den Fahrzeugen interagierendes System mit intelligenten Straßenschildern eindringen kann, und so tut als ob er ein Straßenschild wäre. Das kann kein Hacker, weil er die Daten nicht entschlüsseln kann. Lee: »Eine der großen Herausforderungen von IoT besteht darin, dass die meisten Leute, die solche Systeme entwickeln, nicht die Feinheiten verstehen, was von den Sicherheitssystemen tatsächlich garantiert wird. Dementsprechend können sie die Systeme auch nicht so entwickeln, dass sie überhaupt irgendeine Form von Garantie geben können, weil sie keine Ahnung davon haben, welche Technologie welche Garantie ermöglicht. Sie missverstehen die Technologien.«
NXP Semiconductors verfügt über ein ganzes Portfolio an Sicherheitstechnologien, angefangen bei Authentifikations-Mikrocontroller, über Smart-Card-ICs, bis hin zu ICs, die den Zugang zu Fahrzeugen sichern. Nassar: »Es gibt verschiedene Möglichkeiten, Sicherheit zu implementieren. Eine weitere ist beispielsweise NFC. Diese Technik eignet sich nicht für alle Anwendungen, aber beispielsweise eignet sie sich für vernetzte Heimgeräte, denn NFC ermöglicht in dem Fall eine Authentifizierung und regelt die Zugriffsrechte.«
Durch die Vielzahl der Endgeräte, die im IoT verbunden sind, lässt sich sicherlich kein Ansatz finden, der für alle Geräte passt. Darin sind sich alle einig, aber auch darin, dass die Benutzer viel besser darüber informiert werden müssen, was mit welchen Daten passiert. Und in noch einem Punkt stimmen sie überein: Sicherheit muss von Anfang an in die Produkte eindesignt werden, weil alles andere nur zu kostspielig ist und Sicherheit ist wichtig: Denn die »Anzahl und Varianten der Angriffe hat deutlich zugenommen«, so Kachur abschließend.
Internet of Things – vom Sensor bis zur Cloud
Nutzen Sie die Frühbucherkonditionen!
Nach der erfolgreichen Premiere 2015 geht die eintägige Veranstaltung »Internet of Things – vom Sensor bis zur Cloud« nun in die zweite Runde. Im Anschluss an den Markt & Technik Summit »Industrie 4.0« geht es hier um Komponenten und Tools für das Internet der Dinge. Veranstalter sind die Fachmedien DESIGN&ELEKTRONIK und Markt&Technik. Anwendungen für das Internet der Dinge (IoT) realisieren – das geht nur mit geeigneten Techniken, Methoden und Standards, von Connectivity und Security über Software bis zu den Tools. Aber für den Weg der Daten vom Sensor in die Cloud und zurück spielen auch Architekturen und die Verteilung der Anwendungen eine Rolle, ebenso wie Ökosysteme, Services, Datenmodelle und die Semantik der übertragenen Werte. Alle diese Aspekte greift die Veranstaltung »Internet of Things – vom Sensor bis zur Cloud« am 20. Oktober 2016 in München auf. Informationen zum Programm und zur Online-Anmeldungen finden Sie hier: www.iot-konferenz.de/home.html
Jobangebote+ passend zum Thema
- IoT: Sicherheit für Mrd. von Geräten, wie soll das gehen?
- Wie lässt sich die Sicherheit im IoT erhöhen und die Bedenken der Konsumenten verringern?
- Anzahl und Varianten der Angriffe hat zugenommen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
GfK-Studie
Smart-Home-Lösungen immer beliebter
NXP Semiconductors
i.MX8 ist (bald) da
Mobilitätsdienstleistungen
Toyota arbeitet am Taxi der Zukunft
NXP Semiconductors
Verkauf der Standardhalbleiter-Sparte
NXP FTF 2016
Ambitionierter Start in die NXP-Ära
NXP FTF: SCMs
Mit V-Link kundenspezifisch erweitern
