Ihre Herausforderungen für Sicherheit im IoT

Die Beliebtheit und Nutzung von Geräten des Internet of Things (IoT) nimmt massiv zu. Gartner prognostiziert, dass bis Ende des Jahres 2020 5,8 Milliarden Geräte im Einsatz sein werden. Gründe für die wachsende Beliebtheit von IoT-Geräten sind technologische Verbesserungen im Bereich der Microcontroller, Sensoren und Aktoren, die sie preiswerter und effizienter machen.

Ein weiterer entscheidender Faktor für die Popularität des Internet of Things ist der Wert, den IoT durch die Verbesserung des Herstellungsprozesses generieren kann. Die Nachrüstung von Maschinen oder die Integration von Sensoren in die nächste Generation kann zur Maximierung der Produktion genutzt werden. Smarte Produkte könnten den Einsatz von Fernüberwachung und Fernsteuerung ermöglichen.

IoT: digitale und physische Welten verbinden

Die Möglichkeiten, neue Geschäftsmodelle zu schaffen oder diese zu optimieren, sind grenzenlos, da es unzählige Wege gibt, IoT-Geräte zu bauen und zu integrieren.

Diese Heterogenität und Menge an IoT-Geräten ist jedoch der Grund für eine der größten Herausforderungen im Bereich IoT – die Sicherheit. Je mehr unterschiedliche Software und Hardware verwendet wird, desto größer wird auch die mögliche Angriffsfläche. Besonders der Wunsch, IoT-Systeme so billig wie möglich zu entwickeln, hat unter anderem zu einem schlechten Ruf von IoT-Geräten im Bezug auf Security beigetragen.

Doch sollten Ihre Produktion oder Ihre Geschäftsprozesse nicht wegen unsicheren IoT-Geräten zum Erliegen kommen! Es gibt endlos viele Möglichkeiten IoT-Geräte zu entwickeln und mit ihnen zu kommunizieren.

Einige der größten Herausforderungen bei der Herstellung sicherer Geräte sind:

  • Die Wahl eines von vielen Kommunikationsprotokollen
  • Sichere Verwaltung und Konfiguration von Geräten
  • Die Entwicklung sicherer Hardware
  • Bereitstellung von Software- und Firmware-Updates

Diese Punkte müssen bei der Entwicklung berücksichtigt werden, ohne die Kosten oder den Energieverbrauch des Produkts wesentlich zu erhöhen. Im Folgenden werden wir uns diese Herausforderungen und potenzielle Gefahren näher ansehen und Praxisbeispiele betrachten.

Kommunikationsprotokolle

Ein Risiko ist die Nutzung von unsicheren Kommunikationsprotokollen. Einige Protokolle stammen aus einer Zeit vor der massenhaften Verbreitung des Internets und wurden nicht für die sichere Übertragung von Daten entworfen. Protokolle, die mit Security-Features entwickelt wurden, sind inzwischen stärker verbreitet, jedoch lassen sich Fehler in der Implementierung nicht vermeiden.

Eine der bekanntesten Sicherheitslücken der letzten Jahre war die sogenannte Heartbleed Lücke. Mit dieser war es möglich, die sicheren Verbindungen zwischen Clients und Servern zu umgehen. In diesem Fall hat es sich um einen Fehler im Code der darunterliegenden Kryptographie-Bibliothek gehandelt. Diese Lücke bezog sich auf das TLS/DTLS Protokoll und beeinträchtigte somit die Sicherheit von HTTPS, MQTT, CoAP und weiteren Kommunikationsprotokollen.

Gerätekonfiguration

Neben den Sicherheitslücken der Protokolle und deren Implementation können auch Probleme bei der Konfiguration und allgemein im Umgang von IoT-Geräten auftreten. Die Nutzung von Standardpasswörtern, schwachen zufälligen Passwörtern und veralteter Software haben zur Verbreitung von Botnetzen beigetragen.

Eines der bekanntesten Botnetze der letzten Jahre, das Mirai-Botnetz, hatte nach Schätzungen eine Größe von über 600.000 IoT-Geräte. Viele davon wurden durch triviale Sicherheitspannen angreifbar und trugen zu den damaligen größten Distributed-Denial-of-Service (DDoS) Angriffen bei. Bei einem DDoS Angriff überlasten viele unterschiedliche Geräte einen Zielserver und versuchen ihn damit unerreichbar zu machen. Die daraus resultierenden Verluste und die Kosten den Angriff abzuwehren lagen bei ca. 120.000 Euro für klein- und mittelständische Unternehmen und bis zu 2,3 Millionen Euro für Großunternehmen.

IoT-spezifische Herausforderungen

Die genannten Sicherheitsprobleme treffen nicht nur auf IoT-Geräte zu, sondern gelten auch für klassische Software-Anwendungen und Software-Dienste. Heartbleed war besonders prominent, da dieser Sicherheitsvorfall viele HTTPS Verbindungen zwischen Nutzern und Servern betraf und die Probleme nicht nur auf IoT-Verbindungen beschränkt waren.

Alltägliche Geräte wie Router, Switches und PCs sind ebenfalls Opfer von Infektionen, die für Botnetze missbraucht werden. Der große Unterschied bei IoT-Produkten ist, dass sich Angreifer oft physikalischen Zugriff auf die IoT-Geräte verschaffen können. Dies wir dadurch begünstigt, dass sich IoT-Geräte oft nicht im Firmennetzwerk befinden.

Aufgrund des Feldeinsatzes der Geräte muss nicht nur die Software vor böswilligen Angriffen, sondern auch die Hardware vor physischen Angriffen geschützt werden. Die Hardware muss resistent gegen Angriffe, wie z. B. Side-Channel-Attacks sein, mit denen kryptographische Schlüssel oder andere Geheimnisse durch physikalische Seiteneffekte ausgelesen werden können. Solche physikalischen Seiteneffekte könnten Temperatur- oder Stromverbrauchsänderungen während der Berechnung eines kryptografischen Algorithmus sein.

Die Hardware von IoT-Geräten unterscheidet sich von klassischen internetfähigen Geräten (PC, Router, …) auch durch die Rechenleistung und den Energieverbrauch. Viele IoT-Geräte werden mit Batterien und begrenzter Rechenleistung betrieben, um den Stromverbrauch zu minimieren und die Betriebsdauer zu maximieren. Um IoT-Netzwerke zeitweise auszuschalten kann die begrenzte Laufzeit gezielt angegriffen werden, indem der Stromverbrauch von außen erhöht wird.

Die Größe der IoT-Netzwerke erhöht die Komplexität einer sicheren Lösung zusätzlich. Wenn ein einzelner Sensor kompromittiert wird, kann er als Einstiegspunkt für Angriffe auf das gesamte Netzwerk oder die Server verwendet werden. Da neue Schwachstellen regelmäßig veröffentlicht werden, sind Software- und Firmware-Updates ein Muss. Over-the-Air (OTA) Updates sind aufgrund des Einsatzes vor Ort und der Größe der IoT-Netzwerke oft die einzig mögliche Lösung für die Bereitstellung von Updates. OTA-Updates sind jedoch aufgrund von Konfigurationsfehlern oder unsicheren Code-Signierungsprozessen beliebte Angriffsziele.

Die Entwicklung und der Einsatz eines IoT-Geräts ist mit dem kritischem Auseinandersetzen aller Komponenten verbunden, wie z. B. Geräteidentität, Hardware, Software und eventuell Speicher. Ohne die richtigen Werkzeuge verliert man die unterschiedlichen Risiken schnell aus den Augen. Die daraus folgenden Datendiebstähle, Datenfälschungen oder Ausfälle können sehr hohe Kosten verursachen, sei es durch Stillstand der Produktion, Strafen wegen Vertrauensmissbrauch oder einem Vertrauensverlust in den Hersteller.

Ihre Vorteile durch Sicherheit im IoT

In einer Umfrage von Ernst & Young im Jahr 2019 haben 40% der 450 befragten deutschen Unternehmen von konkreten Hinweisen auf Cyber-Angriffe oder Datendiebstahl in den letzten drei Jahren berichtet. Darüber hinaus hatte jedes vierte Unternehmen Beweise für mehrfache Cyber-Angriffe oder Datendiebstahl. Diese Studie zeigt, dass Datendiebstahl bereits seit 2017 in hohem Maße betrieben wird.

Umgang mit digitalen Risiken in der modernen Welt

Cyberkriminalität ist ein allgegenwärtiges Risiko, das Ressourcen und Planung für eine effiziente Verteidigung erfordert. Daher muss die Cybersicherheit bereits bei der Konzeption des IoT-Systems berücksichtigt werden. Eine gut konzipierte Netzwerkarchitektur – unterstützt durch moderne Industriestandards für starke Authentifizierung, angemessene Datensicherheit und nachvollziehbare Kontrolle – bietet den erforderlichen Schutz, um mögliche Ausfallzeiten zu reduzieren. Ganz gleich, ob es sich um konkrete Maschinen in der Fabrikhalle, ein intelligentes Stromnetz, die Automatisierung der Versorgungskette oder die Verfolgung von Vermögenswerten handelt. Der kontinuierliche Betrieb ist für viele IoT-Anwendungen, insbesondere aber für Industrie 4.0, von entscheidender Bedeutung.

Die Praxis zeigt auch, dass Unternehmen, die IoT in großem Maßstab betreiben und Opfer von Cyber-Angriffen wurden, ihre IoT-Aktivitäten nicht wesentlich reduzieren. Die Unternehmen betrachten Sicherheitsprobleme in der Regel als ein kontrollierbares Risiko.

Die Kontrolle wird erreicht durch:

  • Die Identifizierung der Bedrohungen
  • Die Einschätzung der potenziellen Bedrohungen
  • Eine Schadensbewertung, die durch Bedrohungen verursacht werden können
  • Das Ergreifen von Schutz- und Abwehrmaßnahmen

Diese Herangehensweise an die Cybersicherheit weist darauf hin, dass Sicherheit, auch wenn sie ein großes Problem darstellt, kein Hindernis für die Einführung von IoT sein muss. In den meisten Fällen sollte die Cybersicherheit eher als eine strategische Anforderung wahrgenommen werden, welche die Entwicklung spezifischer Schutzmaßnahmen vorsieht.

Infolgedessen kann ein IoT-System, bei dem die Sicherheit bereits im ursprünglichen Entwurf berücksichtigt wurde, nicht nur den Betrieb gewährleisten, sondern auch Daten effektiv schützen, die Produktivität steigern und Unfälle vermeiden.

Was sind nun die Voraussetzungen für die Bewältigung der IoT-Sicherheitsherausforderungen? Wie können wir ein Ökosystem aufbauen, das angemessen gesichert werden kann?

Die Funktionsweise von Sicherheit im IoT

Bevor wir damit beginnen, die Einzelheiten verschiedener Modelle und die Vermeidung von Schwachstellen zu erörtern, sollten wir zunächst die Begriffe definieren:

  • Bedrohung oder Threat: Das Ausnutzungspotenzial
  • Schwachstelle oder Vulnerabilitiy: Die Schwachstelle, die ausgenutzt werden soll
  • Angriff oder Attack: Die durchgeführte gezielte Ausnutzung von Schwachstellen
  • Kompromittierung oder Compromise: Die Auswirkungen eines erfolgreichen Angriffs

Bedrohungsbasierte Analyse für ein sichereres IoT

Um ein Beispiel aus der realen Welt zu geben: Ein Einbrecher will die Motorsäge aus Ihrer Garage stehlen. Der Einbrecher ist der „Akteur” und plant die Ausführung eines Angriffs. In diesem Fall ist die Bedrohung die Möglichkeit eines Einbruchs. Eine Schwachstelle könnte das unverschlossene Garagentor sein. Der Angriff ist der Einbruch in die Garage, da sie nicht verschlossen ist. Das Resultat der Kompromittierung wäre der Verlust der Motorsäge.

Man kann sich gut vorstellen, dass viele verschiedene Schwachstellen dem Angreifer zum Erfolg verhelfen können. Die Überprüfung auf all die verschiedenen möglichen Schwachstellen, ihr Ausnutzungspotenzial und der Arbeitsaufwand, den ein böswilliger Benutzer für einen Angriff auf das System aufwenden müsste, werden in einem Modell mit der Bezeichnung „Attack Tree” untersucht.

Attack Tree Model

Attack Trees sind nicht nur eine visuelle Modellierungsmethode, um mögliche Angriffe darzustellen, sie werden auch zur qualitativen und quantitativen Bewertung genutzt. Anhand eines Beispiels lässt sich der Aufbau und Nutzen am besten nachvollziehen. Für den kostenfreien Einstieg empfehlen wir das Open Source Programm ADTool (Attack-Defense Tree Tool). Die Hauptfunktionen dieses Werkzeugs sind die einfache Erstellung, Bearbeitung und automatisierte Bottom-up-Auswertung von sicherheitsrelevanten Maßnahmen. Hier finden Sie weitere Informationen über die Verwendung von ADTool für eine Sicherheitsanalyse.

Zu Demonstrationszwecken haben wir die folgende Grafik mit Hilfe des Werkzeugs modelliert.

Beispiel für ein Attack Tree Model.Quelle: eigene Darstellung

Oben befindet sich die Wurzel des Baumes. Sie entspricht dem Ziel des Angriffes. Ein Angriff besteht normalerweise nicht aus der Ausnutzung einer großen Schwachstelle, sondern mehrerer weniger kritischen Schwachstellen, die miteinander verketten werden, um das Ziel zu erreichen. In der Ebene unter der Wurzel werden einige mögliche Angriffsszenarien aufgelistet, die jeweils das übergeordnete Ziel erfüllen könnten.

Die Elemente des Baumes werden auch als Knoten bezeichnet. Jeder Knoten kann aus weiteren Elementen bestehen, die den Angriff genauer spezifizieren. Eine Verbindung zwischen Kanten (den Linien zwischen den Knoten) visualisiert eine sogenannte Verundung (logische UND-Verknüpfung). In unserem Beispiel wäre es die Verbindung unter „Physical attack” von „Physical access” und „Knowledge of design”. Es bedeutet, dass das physische Angriffsszenario („Physical attack”) einen physischen Zugriff („Physical access”) auf das Gerät und Fachwissen über den Aufbau des Gerätes („Knowledge of design”) voraussetzt. Man würde den Baum solange erweitern, bis jede mögliche Verkettung von zielführenden Angriffen spezifiziert wurde.

Komplette Angriffsbäume werden schnell sehr komplex, aber der strukturierte Ansatz erlaubt es einem Team, sich auf verschiedene Detailebenen zu konzentrieren und dabei ein sauberes und wiederverwendbares Modell zu entwickeln. Es wird empfohlen den Code des Angriffsbaums dem bevorzugten Versionierungssystem hinzuzufügen, um Änderungen nachvollziehbar zu machen und um später Zugriff auf jede Version zu haben. Der Baum wird sich im Laufe der Zeit ändern, da Produktaktualisierungen die möglichen Quellen von Schwachstellen verändern können.

Das Hinzufügen von Metriken zum Angriffsbaum ermöglicht die quantitative Bewertung der verschiedenen Schwachstellen. Metriken können die geschätzte Wahrscheinlichkeit eines Angriffs, der mögliche Schaden eines erfolgreichen Angriffs und die erforderlichen Ressourcen für dessen Behebung sein. Eine moderne Angriffsbaum-Software kann diese Werte verwenden, um Ranglisten der kritischsten Schwachstellen zu erstellen.

Zusammenfassend hilft das Attack Tree Model bei der visuellen Modellierung und Evaluation verschiedener Angriffsszenarien, die Schwachstellen ausnutzen. Das Modell sollte genauso wie das Produkt über die gesamte Entwicklungsdauer gepflegt und aktualisiert werden. Dadurch lassen sich nicht nur bekannte Sicherheitslücken, sondern auch die Verkettung mehrerer potenzieller Schwachstellen bewerten.

Bei der Entwicklung einer Lösung mit mehreren unterschiedlichen Komponenten, wie es häufig bei der Integration von IoT-Produkten der Fall ist, sollte die Gesamtheit aller möglichen Bedrohungen in Betracht gezogen werden. Hierfür bietet sich ein weiteres Modell an – das Threat Model.

Threat Model

Beim Thread Modeling, zu Deutsch Bedrohungsmodellierung, handelt es sich um den Prozess der Bewertung der möglichen Bedrohungen, die durch neue Software, Bibliotheken, Produkte oder Änderungen am aktuellen System eingeführt werden.

Adam Shostack hat das folgende Bedrohungsmodell erstellt:

  1. Identifizierung der Komponenten
  2. Erstellen einer Architekturübersicht
  3. Datenflussanalyse
  4. Bedrohungen identifizieren
  5. Bedrohungen dokumentieren
  6. Bedrohungen bewerten

Schauen wir uns die einzelnen Schritte dieses Modells im Detail an:

Identifizierung der Komponenten

Bei den Komponenten handelt es sich nicht notwendigerweise nur um physische, sondern auch um immaterielle Güter. Der erste Schritt dient der Beantwortung der Frage welche Komponenten geschützt werden müssen. An dieser Stelle kann der Unterschied zwischen der Bedrohungsmodellierung und dem Attack Tree Model gezeigt werden: Beim Attack Tree Model steht ein hypothetischer Angreifer und die konkrete Ausnutzung von Schwachstellen im Vordergrund. Beim Threat Model geht es um die Evaluation der möglichen Bedrohungen und das Schützen sensibler Komponenten. Einige Videodaten mögen zwar für das Unternehmen selbst keinen ökonomischen Wert darstellen, müssen aber für die Sicherstellung der Privatsphäre trotzdem geschützt werden.

Erstellen einer Architekturübersicht

Die Erstellung einer Architekturübersicht ermöglicht es die Funktion des Systems und die Interaktion zwischen den einzelnen Komponenten zu analysieren. Wie Anfangs erwähnt haben die Kommunikationsprotokolle von IoT-Geräten einen besonderen Stellenwert und sollten nicht außer Acht gelassen werden. In diesem Schritt wird auch die Hardware im Detail dokumentiert, beispielsweise die genutzten Microcontroller und das Prozessormodell.

Datenflussanalyse

Bei der Datenflussanalyse werden der Ursprung der Daten und die beteiligten Komponenten im Detail untersucht. Das Ziel ist es, die mögliche Angriffsfläche und die Schnittstelle zwischen den Komponenten zu untersuchen und zu katalogisieren. Hier stehen die Interaktionen über Vertrauensgrenzen hinweg zwischen komplexen Prozessen, externen Entitäten und Datenspeichern im Vordergrund. Und zwar unabhängig davon, ob sie über eine On-Premise- und Cloud-Infrastruktur verteilt sind oder sich auf einem Server oder innerhalb einer einzigen Anwendung befinden.

Bedrohungen identifizieren

Die vorherigen Schritte lassen sich in diesem vereinen und ermöglichen die Identifizierung der Bedrohungen. Um ein strukturiertes Vorgehen zu gewährleisten und alle möglichen Ebenen zu betrachten werden an dieser Stelle weitere Modelle verwendet. Beliebte Modelle und Frameworks sind das STRIDE Model und das MITRE ATT&CK Framework.

STRIDE Threat Model.Quelle: eigene Darstellung

Im obigen Beispiel wird STRIDE verwendet. Das Wort ist ein Akronym für „Spoofing – Tampering – Repudiation – Information Disclosure – Denial of Service – Escalation of Privilege”. Dieses Bedrohungsklassifizierungsmodell hilft bei der Beantwortung der Frage „Welche Bedrohungen könnte diese Anwendung in unserer Produktionsumgebung potenziell erfahren?” Während des Brainstormings werden potenzielle Bedrohungen gefunden, indem Missbrauchsszenarien erstellt werden, die unter die sechs Bedrohungsklassifikationen von STRIDE fallen.

Bedrohungen dokumentieren

Dieser Schritt ist selbsterklärend, aber dringend notwendig, um die Bedrohungen klar zu kommunizieren und anderen Mitarbeitenden zugänglich zu machen.

Bedrohungen bewerten

Zuletzt müssen die Bedrohungen bewertet werden, um priorisiert an Lösungen arbeiten zu können. An dieser Stelle können wieder verschiedene Modelle genutzt werden, wie zum Beispiel Microsofts DREAD Model. Darin werden Bedrohungen in den folgenden Punkten bewertet:

  • Wie hoch ist der Schaden, der angerichtet werden kann?
  • Wie einfach kann ein Angreifer die Bedrohung finden?
  • Wie viele Nutzer wären von einem Angriff betroffen?
  • Wie einfach ist es den Fehler zu reproduzieren?
  • Wie schwer ist es den Angriff auszuführen?

Zusammenfassung

IoT-Sicherheit ist kein triviales Thema. Es gibt noch viel mehr Modelle und Ansätze zur Verbesserung der Sicherheit während oder nach der Entwicklung einer IoT-Lösung. Wichtig ist es, eine Entscheidung zu treffen und dieses Modell vollständig in den Geschäftsalltag zu integrieren. Eine weitere Möglichkeit die Verteidigung zu stärken ist das Aufsuchen von externen Unternehmen zur Unterstützung bei kritischen Sicherheitsaspekten: Neue Perspektiven und alternative Sichtweisen zeigen bisher unbekannte Sicherheitslücken auf.

Unsere Dienstleistungen im Bereich Sicherheit im IoT

Die Möglichkeiten mit IoT ein Produkt, ein Geschäftsmodell oder die Produktion zu revolutionieren sind grenzenlos. Doch die Sicherheitsrisiken, Unsicherheit über die besten Praktiken und damit verbundenen Kosten halten viele Unternehmen davon ab diese Technologie einzuführen.

Wir helfen Ihnen einen strukturierten Ansatz zu entwickeln, um Lösungen für alle Aspekte der Cybersicherheit im IoT-Bereich zu erarbeiten.

Von Anfang an bauen wir Sicherheit in Ihr IoT-Ökosystem ein, damit Sie Ihre Anwendungsfälle und Produkte schützen können. Darüber hinaus können wir eine bereits bestehende IoT-Lösung und die verwendete Infrastruktur untersuchen, um die Wirksamkeit von Sicherheitskontrollen sowie die Einhaltung branchenspezifischer Standards zu gewährleisten.

Ihr Partner für IoT-Sicherheit

Unabhängig davon, ob Sie von Grund auf neu beginnen oder das fortsetzen, was Sie bereits begonnen haben, bieten wir die folgenden Leistungen an:

  • Überprüfung der IoT-Architektur
  • Sicherheitsanalyse von Geräten
  • Sicherheitsanalyse der verbundenen Schnittstellen
  • IoT-Plattform-Sicherheitsanalyse
  • Sicherheitsanalyse von IoT-Mobil- und Cloud-Anwendungen
  • Umsetzungen und Tests in allen Bereichen

Erfahren Sie mit uns, wie Sie Threat Modeling optimal in den Softwareentwicklungsprozess Ihres agilen Projekts einbauen können. Nachdem sich Ihr Digitalisierungsvorhaben nun in sicherer Hand befindet, können Sie kreativ werden – lesen Sie hierzu beispielsweise Augmented & Virtual Reality und Smarte Produkte. Und an Datenanalyse haben Sie sicher auch schon gedacht.

In jedem Fall – nehmen Sie uns gerne hinzu, um Ihre Daten bestmöglich einzusetzen!

Ihr Ansprechpartner

Novatec_Jonas-Grundler

Jonas Grundler

Head of IoT & Digital Innovation
Inhaltsverzeichnis
Ihr Ansprechpartner Jonas Grundler Head of IoT & Digital Innovation
Novatec_Jonas-Grundler