Schlüsselmanagement als zentrale Herausforderung der IoT-Security

bei

 / 20. Oktober. 2017

Eine Vielzahl erfolgreicher Angriffe auf IoT-Geräte nutzen Schwachstellen im Schlüsselmanagement aus und ermöglichen so eine Skalierung dieser Angriffe auf ganze Produktserien oder –chargen. Im Laufe der Zeit kommen immer mehr vernetzte Produkte auf den Markt, wodurch sich der Anspruch an die security und privacy erhöhen sollten. Es ist aber zu beobachten, dass die Hersteller der verschiedensten IoT-Devices nicht einmal die Basics der kryptographischen Sicherheit sauber umsetzen und somit fahrlässig für die Sicherheit des gesamten Internets handeln. Die kompromittierten Geräte werden häufig für Bot-Netze und Distributed Denied of Service (DDOS) genutzt, wodurch die Stabilität des Internets gefährdet wird. Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität, welcher oft genutzt wird, um Lösegelder zu erpressen. Die Angreifer rufen eine Nichtverfügbarkeit eines Dienstes oder Servers herbei. Die schlecht geschützten IoT Geräte werden missbraucht, um von dort aus die Infrastruktur des Unternehmens mit hohen Mengen an Anfragen zu überladen. Das Netz ist als Folge dessen überlastet und Internetleitungen sind kaum noch nutzbar. (DDoS-Attacken: Wenn Angreifer die Webseite lahmlegen, 2011)

Viele große Konzerne sind immer wieder von DDOS-Attacken betroffen. So beispielsweise DHL, Ebay, Hermes und Alditalk. Diese Unternehmen wurden im Jahr 2017 von einer Gruppe jugendlicher, welche sich die „XMR-Squad“ nennt, angegriffen. Diese verlangten Lösegelder, für das Entlasten der Websites. DDoS Attacken sind nur ein Beispiel, weshalb die Sicherheit der IoT Geräte so wichtig ist. Angriffe wie die DDOS-Attacken sind vor allem deshalb so gefährlich, weil sie mit geringem Aufwand, meist unbemerkt und von überall aus der Welt ausgeführt werden können. Selbst große Websitebetreiber wie Google gehen vor den Attacken in die Knie. (DDoS-Erpresser: XMR-Squad greift deutsche Unternehmensseiten an, 2017) Im Jahr 2016 gaben rund 35% aller deutschen Unternehmen an Probleme mit DDoS Attacken gehabt zu haben. Somit wurde jedes dritte deutsche Unternehmen im vergangenen Jahr Opfer eines solchen Angriffs. Obwohl ein weiteres Drittel dieser Betroffenen angibt, dass es in der Summe mehr als zehn registrierte Angriffe waren, werden nur 28% aller deutschen Unternehmen aktiv im Schutz gegen Cyber-Kriminalität (Miridakis, 2017). Die Vorkommnisse reichen so weit, dass Begrifflichkeiten wie „Internet of evil things“ auftauchen und unterstreichen sollen, wie fahrlässig mit dem Aspekt der Sicherheit umgegangen wird. (‘IoT Hall-of-Shame’, 2017)

Die Physec GmbH, gegründet im April 2016, stellt sich dieser Problematik und offeriert maßgeschneiderte Lösungen für IoT-Devices. Ihre Ursprünge liegen an dem Horst Görtz Institut für IT-Sicherheit (HGI) in Bochum, als eines der weltweit führenden Forschungseinrichtungen im Bereich der IT-Sicherheit mit aktuell fast 20 Professoren und dem größten Bachelor/Master-Programm in Europa. Die Forschungsergebnisse von Dr. Christian Zenger und die Teilnahme am EXIST-Forschungstransfer des BMWi ermöglicht die Weiterentwicklung der Produkte auf Grundlage der PHYSEC-Technologie. Die zentrale Motivation für unsere Arbeit ist die digitale Selbstbestimmung unserer Kunden, durch die erfolgreiche Umsetzung digitaler Geschäftsmodelle mit höchster IT-Sicherheit und einfacher Anwendung. Der Kontext der cyber security ist somit das Kerngeschäft der Physec GmbH. Durch den Lösungsansatz der Security Middleware IoTree wird Sicherheit für ressourcenschwache Kleinstgeräte der im IoT ermöglicht.

In der Zeit der dritten Welle der Digitalisierung, ist das Internet of Things ein all gegenwärtiges Thema. Sowohl in den großen Industrien, als auch im privaten Kontext werden sämtliche Maschinen und Nutzgegenstände „smart“. Sie kommunizieren mit der Umwelt. Das Problem dabei ist, dass die neuen Geräte häufig an den Markt gebracht werden, ohne ausreichend hohe cyber security gewährleisten zu können. Ein solch schwaches Glied in der Kette kann und wird von Kriminellen für bereits besprochene Aktivitäten genutzt. Bisher bot der Markt zwei Lösungsansätze für das Sichern von IoT-Devices, wobei keine der Lösungen final für Sicherheit sorgen konnte. Dadurch eingeläutet, lässt sich der IoTree-Lösungsansatz klar von der Konkurrenz abgrenzen. Bisher gab es zwei Ansätze der Schlüsseletablierung und des –managements, die einfache aber mit Sicherheitsproblemen behaftete „Factory default Key“ (PSK) und die sicheren aber sehr komplexen „Public-key Infrastructur“ (PKI). Bezüglich des PSK Ansatzes erkennt man eklatante Schwachstellen, die eine starke Motivation für Angreifer begründen. Dabei ist nicht nur der Angriff an sich das Problem, sondern die Skalierbarkeit dessen und die damit verbundenen Implikationen. Auf Grund von einheitlicher Identifikationen und Schlüsseln, skalierte ein etwaiger Angriff schnell und wenig kontrollierbar. Das Ziel einer einfach integrierbaren Lösung funktionierte nur auf Kosten der Sicherheit. Der Ansatz der PKI ist deutlich sicherer, da hierbei individuelle Schlüssel für jedes Gerät verwendet werden. Dabei wird aber das Problem aufgeworfen, dass in den Produktionsprozess eingegriffen werden muss, und somit hoher Aufwand und Risiken für die Supply Chain entstehen. Hohe Anforderungen an die Infrastruktur einer PKI sorgen für hohe Kapitalbindungen, Verzahnung von IT und Produktion sowie hohen administrativen Aufwand. Unternehmen, die vernetzte Produkte anbieten scheuen hohe Aufwendungen der PKI und die Notwendigkeit des Eingriffes in den Produktionsprozess, weshalb häufig PSK verwendet werden.

Die Problematiken der beiden Ansätze auszumerzen war die Zielsetzung des Projektes IoTree. Das Ergebnis ist eine Lösung des Problems, die sowohl sicher, als auch einfach anwendbar und kostengünstig ist. Die Security Middleware IoTree ist eine branchenunabhängige Lösung, die eine digitale Datenerfassung und Geschäftsmodelle schnell, sicher und einfach realisiert. Für die Digitalisierung von Produkten und Prozessen bietet IoTree ein umfassendes und konnektivitätsunabhängiges Sicherheitskonzept von der dezentralen Schlüsseletablierung, über die Authentifizierung bis zur starken Kryptographie. Beginnend beim Produktionsprozess, der durch die einzigartige dezentrale Schlüsseletablierung nicht beeinflusst wird, ermöglicht IoTree durch das Management von Schlüsseln und Identitäten die nötige Sicherheit. Wie bereits erörtert, ist oft die Sensitivität für Sicherheit noch nicht vorhanden oder nur sehr gering. Dies resultiert darin, dass bspw. Industrien die Sicherheitsvorkehrungen nur treffen werden, wenn der Aufwand möglichst gering ist. Dies schafft den perfekten Übergang zu einer weiteren Besonderheit der IoTree. Die Anwendbarkeit des IoTree überzeugt dadurch, dass nur geringes technisches Know-how zur Anwendung notwendig ist. Die Konfiguration geschieht per App, welche auf einem Smartphone zu installieren ist. Nach kurzer Befolgung der App-Anweisungen lässt sich eine Konfiguration in wenigen Minuten abschließen. Die Produkte werden durch den registrierten Anwender intuitiv bspw. in das lokale WLAN integriert und zeitneutral authentifiziert. So erhalten die Produkte ihre individuellen kryptographischen Identitäten, wobei das Smartphone als nicht vertrauenswürdig klassifiziert wird und somit kein privates kryptographisches Material sieht. IoTree besteht aus insgesamt drei Softwarekomponenten (Embedded für Gerät, Smartphone-App, Backend) und erfordern keine Aufrüstung der Hardware. Updates der Software über das Over-the-Air system erfolgen und erfordern keine physikalische Präsenz und Terminvereinbarungen. Die technische Finesse in Form der authentischen Schlüsseletablierung und kryptografischen Featureaktivierungen ist bei Benutzung der IoTree sehr benutzerfreundlich. Durch leichte und schnelle Integration der Middleware IoTree entsteht nur sehr geringer betrieblicher und organisatorischer Aufwand. Die Kombination aus einfacher Integration und starker Sicherheit schafft den Weg zur erfolgreichen, und vor allem sicheren Digitalisierung.

Im B2C Segment des IoT ist vor allem die Smart Home Technologie ein prägnanter Anwendungsbereich. Der Markt wächst schnell an, wobei die IT-Sicherheitskonzepte meist unzureichende Schutzmechanismen benutzen, wodurch Angriffe stark über die gesamte Produktpalette skalieren. IoTrees Sicherheit, durch Schlüsselgenerierung bei Inbetriebnahme, sowie die über Zeit und User wechselnden kryptographischen Schlüssel ermöglichen genügend Sicherheit für neue Geschäftsmodelle wie „remote Control“, „Pay per use“ usw. Ein weiteres Segment mit großem Potential ist die Industrie 4.0. Hierbei handelt es sich um ein Segment, in dem die zu behandelnden Informationen über Industrie- und Produktionsprozesse besonders schützenswert sind. Die Risiken einer Industriespionage gilt es zu minimieren, wobei gleichzeitig alle Vorteile der Digitalisierung geschickt genutzt werden sollen, um Prozesse zu optimieren und Kosten zu senken. Authentisierungslösungen von Physec erlauben das einfache Einrichten von starker Verschlüsselung, sodass potentielle Fehler durch Anwender und Wartungsarbeiter verhindert werden. Zu guter Letzt ist auch der KRITIS (Kritische Infrastruktur) Bereich ein sehr interessanter. Die Gefahren für kritische Infrastrukturen wie Energieversorger, Wasserversorgung und – Entsorgung liegen in der Vernetzung zentraler Kontrollzentren, welche aus der Ferne Funktionen und Prozesse steuern. Vor allem Wasserver- und Entsorger sind oft im Visier von Angreifern, und könnten durch Absicherung der wichtigsten Sensoren, Aktoren, Schieber sowieso Pumpen durch IoTree, mehr Sicherheit erlangen.

Abschließend lässt sich konstatieren, dass die Physec GmbH einen, der Konnektivitäts- und Cyber-Sicherheitswünschen angepassten Schutz für ressourcenbeschränkte Geräte bietet. Bisher angebotene Technologien zum Schutz dieser Geräte sind einfach umzusetzen oder sicher, wobei sich häufig für die geringe Komplexität und damit korrespondierenden geringen Sicherheit entschieden wird. Das Herausbringen unsicherer und somit zweckentfremdeter IoT-Geräte stellt eine ernstzunehmende Bedrohung für das gesamte Internet dar. Die Physec GmbH hat sich zum Ziele gesetzt, durch die Security Middleware IoTree, die Sicherheitslücken dieses Bereichs zu schließen. Kritische Infrastrukturen sollen durch einfach anwendbare Sicherheitslösungen besser geschützt sein.

Literaturverzeichnis

DDoS-Attacken: Wenn Angreifer die Webseite lahmlegen (2011) computerbetrug.de – Infos über Gefahren des Internet. Available at: http://www.computerbetrug.de/sicherheit-im-internet/ddos-attacken (Accessed: 11 October 2017).
DDoS-Erpresser: XMR-Squad greift deutsche Unternehmensseiten an (2017). Available at: http://winfuture.de/news,97259.html (Accessed: 11 October 2017).
‘IoT Hall-of-Shame’ (2017) The Code Curmudgeon. Available at: http://codecurmudgeon.com/wp/iot-hall-shame/ (Accessed: 12 October 2017).
Miridakis, V. (2017) 2016: Mehr als 30.000 DDoS-Attacken in Deutschland, it-daily.net. Available at: https://www.it-daily.net/it-sicherheit/cyber-defence/14158-2016-mehr-als-30-000-ddos-attacken-in-deutschland (Accessed: 12 October 2017).

Der Autor: Heiko Koepke (33) ist Mitgründer und Geschäftsführer der Physec GmbH, einem Spin-off des Horst Görtz-Instituts für IT-Sicherheit. Die PHYSEC GmbH ist spezialisiert auf die angewandte Kryptographie im Internet der Dinge (IoT).

Vorheriger ArtikelDirk Schlimm von Geotab zur Sicherheit von Telematikplattformen
Nächster Artikel28 Einreichungen für den Münchner Digital Innovation Award