Damit IoT-Netzwerke reibungslos und sicher funktionieren, müssen sich kommunizierende Geräte eindeutig identifizieren. Für die Sicherheit des Anwendungssystems ist es dabei wichtig, dass Endgeräte fälschungssicher identifizierbar sind. Dazu werden Devices nach heutigem Stand der Technik mit einer kryptografisch abgesicherten Hardware-Komponente wie einem Crypto-Chip ausgerüstet, um eindeutige IDs abbilden und zuordnen zu können. Zudem werden IDs über zentralisierte Systeme für Validierungen bereitgestellt, um darauf beispielsweise Zero-Trust-Rechtemodelle ausführen zu können. In einer hyperkonnektierten Welt smarter Devices, die dynamisch kommunizieren, sind solche Identifikations-Architekturen mit kostenintensiven Hardware-Komponenten und zentralen Zero-Trust-Instanzen nur schwerlich zuverlässig und sicher zu betreiben. Was wir brauchen, sind resiliente Lösungen, die eine schnelle und zuverlässige Identifikation zu niedrigen Kosten ermöglichen.
Im Internet der Dinge ist es ähnlich wie im realen Leben: Damit wir uns sicher fühlen, müssen wir Kommunikationspartnern und deren Informationen vertrauen können. Dabei hat „Vertrauen“ eine ähnliche Komplexität, wie im Austausch zwischen Menschen. Um die Redlichkeit eines anderen Menschen abzuchecken, fragen wir uns zunächst, wer unser Gesprächspartner überhaupt ist. Wir überprüfen seine „ID“ und stellen sicher, dass wir es tatsächlich mit der Person zu tun haben, die der andere vorgibt zu sein. Im Zweifel verschaffen wir uns per Ausweis oder Referenz Sicherheit über die Identität der Person.
Im nächsten Schritt überlegen wir, ob die Informationen richtig und glaubhaft sind. Wenn wir „Referenzen“ finden oder feststellen, dass die Person einen guten Ruf hat, hilft uns das, die beiden ersten Fragestellungen zu verifizieren. Schließlich erinnern wir uns daran, welche Erfahrungen wir in der Vergangenheit bereits mit dieser Person und den von ihr verbreiteten Informationen gemacht haben. Lassen sich alle diese Fragen positiv beantworten, beschließen wir, dass wir diesem Menschen vertrauen können.
Das Zero-Trust-Modell hat Grenzen
Doch wie läuft Vertrauensbildung in der IT? Der aktuelle Standard ist hier das Zero-Trust-Modell: Ein IT-System vertraut keinem Kommunikationspartner, solange dessen Identität (ID) nicht geklärt ist. Erst auf Basis der Klärung der ID über eine sichere Authentifizierung wird dann die Vertrauensstufe durch einen definierten Prozess festgelegt. Das Sicherheitsmodell basiert also auf Misstrauen, dem Gegenteil von Vertrauen. Zudem ist dieses Modell statisch: Das Vertrauen wird zu Beginn beim Aufbau der Kommunikation festgelegt und bleibt im Verlauf der Anwendung im definierten Zustand bestehen.
Ein solches Zero-Trust-Modell lässt sich nur in kontrollierten Umgebungen umsetzen und aufrechterhalten. Darunter versteht man Umgebungen, bei denen der Zugang und Beitritt zum Netzwerk in einem Authentifizierungsprozess eindeutig definiert werden kann. Der Kreis von Kommunikationsteilnehmern hat zudem einen geschlossenen Charakter mit einer zentralen Instanz, die als „Türsteher“ den Zugang zum „Club“ kontrolliert. Die Identitäten der Kommunikationspartner werden grundsätzlich über einen definierten Authentifizierungsservice ermittelt und danach die hinterlegten Sicherheitsstufen freigegeben. Schlägt die Authentifizierung fehl, bekommt das Gerät oder der Teilnehmer keinen Zugang zum IT-Netzwerk. Beispiele hierfür sind z.B. Kommunikationsnetzwerke in einem Unternehmen mit Mitarbeitern und einer definierten Menge an Servern und Endgeräten. Auch eine Produktionsanlage mit einer bestimmten Anzahl an Servern, vernetzen Maschinen und Zugängen für Mitarbeiter lässt sich so absichern.
Anfällig und problematisch sind solche Systeme hinsichtlich ihres zentralisierten Aufbaus. Wird der „Türsteher“ im Rahmen eines Cyberangriffes kompromittiert, erhalten Angreifer ein machtvolles Instrument, um eigene Geräte und Software in das Netzwerk zu integrieren. Da der „Türsteher“ die Vertrauenswürdigkeit bestätigt hat, folgen alle Teilnehmer im System seiner Einschätzung und gewähren dem Eindringling volles Vertrauen. Dieser Angriff auf die Cybersecurity-Datenlieferkette war in der Praxis im Fall Solarwinds‘ Orion erfolgreich. Über den manipulierten Orion-Service konnten Angreifer Schadsoftware ungehindert in die Netzwerke von Unternehmen, Behörden und Regierungsorganisationen einschleusen.
Hyperkonnektivität braucht neue Lösungen
In einer statischen IoT-Welt, in der alles kontrolliert werden kann, stellt ein solches zentralisiertes Zero-Trust-Modell also bereits eine erhebliche Herausforderung dar. Doch wie sieht es in einer hyperkonnektierten Welt aus? Also in einer Welt, in der 125 Milliarden smarte Geräte sehr dynamisch miteinander kommunizieren? Beispielsweise, wenn smarte Autos untereinander oder mit Verkehrsleitsystemen ständig direkt und unmittelbar (Peer-2-Peer) kommunizieren müssen. Oder wenn sich Teilnehmer nur in einer bestimmten Situation treffen und sich danach nie wieder begegnen – wie zum Beispiel in der zukünftigen Smart City, wenn sich ein smarter Roller, die autonome Tram und ein Auto an der Kreuzung treffen?
Eine solche Welt ist geprägt von vielen – zunächst unbekannten – Kommunikationsteilnehmern. Die Entscheidungen, ob sich die Systeme gegenseitig vertrauen, müssen zeitkritisch und schnell getroffen werden. Zentrale Zero-Trust-Instanzen, die Vertrauen zentral gewähren, machen in diesem Fall oftmals keinen Sinn. Ein solches System wäre – selbst mit flächendeckend verfügbaren 5G-Mobilfunk – zu langsam, um im Straßenverkehr Entscheidungen treffen zu können. Daneben wäre dieses System durch zentralisierte Strukturen anfällig für Störungen. Wäre die zentrale Entscheidungsinstanz gestört, würde der gesamte Verkehr gefährdet und müsste auf „Notfall-Betrieb“ umschalten.
Sichere Identifikation ohne zentrale Instanzen
Für eine hyperkonnektierte Welt brauchen wir also neue „Post-Zero-Trust-Konzepte“. Diese Konzepte müssen an zwei zentralen Punkten ansetzen: Sie sollten ein System zur eindeutigen und sicheren Identifikation ohne zentrale Instanzen bereitstellen und die Unverfälschbarkeit von IDs über den Lebenszyklus der Anwendung bzw. des Teilnehmers sichern.
Die aktuelle Forschung und Entwicklung bieten für „Post-Zero-Trust-Konzepte“ neue Ansätze.
SSI – self-sovereign ID-Systeme – gewährleisten mittels dezentraler Strukturen die Bereitstellung von IDs am „Edge“, also am IoT-Device. Die „selbstbestimmten Identitäten“ verfügen über eindeutige, auf Zufallsbasis erstellte, in der Blockchain verankerte und mit einem Zeitstempel versehene Disposable Identities (DIDs), sogenannte „Einwegidentitäten“, mit der Daten kryptographisch signiert und über sichere Kanäle ausgetauscht werden können. Solche self-sovereign ID-Systeme können zudem über Peer-2-Peer-Protokolle kommunizieren und stellen zukunftssichere „Post Quantum“-Verschlüsselung der Kommunikation bereit.
DIDs sind temporäre, auf bestimmten Eigenschaften basierende Identitäten, die mittels Blockchain basierten Smart-Contracts-Regeln bereitstellen, die den Verbindungsaufbau zwischen einem Empfänger und Lieferanten definieren. Sie ermöglichen beispielsweise kryptografisch signierte Anwendungen, um die Verwendung und den Austausch von IDs an zeitlich begrenzte Vorgänge zu koppeln. Nach Abschluss der vorgesehenen Verwendung oder Anwendung bestimmt das Regelwerk in Smart Contracts den Verfall der ID. Diese kann also danach nicht mehr für andere Vorgänge und Anwendungen verwendet werden. Dem Identitätsdiebstahl wird hiermit ein kryptografischer Riegel vorgeschoben. Die Vorteile solcher Disposables Identities bestehen darin, dass sie Anonymität gewährleisten, für ein bestimmtes Vorhaben genutzt und dann aufgegeben werden kann.
ID-Zertifikate auf Basis eindeutiger Merkmale
Bei natürlichen Personen wird die ID zur Verifikation an unveränderliche biometrische Merkmale gebunden: Das waren zunächst Geschlecht, Augenfarbe, Körpergröße und Physiognomie – neuerdings werden auch der digital gespeicherte Fingerabdruck und Face-ID per Gesichtserkennung verwendet.
Doch welche Verifikationsmöglichkeiten lassen sich für smarte „Dinge“ wie ein vernetztes Auto an dessen ID binden? Einfache Möglichkeiten sind z.B. ein eindeutiger einmaliger kryptografischer Schlüssel oder ein Zertifikat, das unveränderlich in die Hardware des Gerätes verbaut ist. Zur Identifikation kann auch ein eindeutiges Merkmal eines Gerätes verwendet werden – das als Physical Unclonable Function (PUF) bezeichnet wird. Mittels PUF lassen sich ebenfalls individuelle Schlüssel / Zertifikate auf einem IoT-Gerät erzeugen. Diese über PUF generierten Merkmale können wiederum als Basis zur sicheren Identifizierung von Kommunikationsteilnehmern eingesetzt werden und in systemischen Ausprägungen wie SSI / Disposable Identities Verwendung finden.
Vertrauensketten durch digitale Fingerabdrücke
Im Bereich der sicheren Kryptografie für Embedded Systems spielen begrenzte Prozessorleistung und Systemspeicher eine große Rolle. Für PUF müssen dazu normalerweise zusätzlich spezielle Microcontroller oder hardware-spezifische Speicher verbaut werden, was wiederum einen höheren Herstellungspreis der Hardware zur Folge hat. Cybersecurity mittels PUF muss also in den Herstellungspreis des Embedded Systems eingerechnet werden.
Um gute Ideen von Forschungsteams an deutschen Hochschulen oder in der Industrie schneller in Anwendung zu bringen, hat das Bundesministerium für Bildung und Forschung die Initiative StartUpSecure gestartet. Von dieser Initiative wurde ein Forschungsteam der asvin GmbH mit Fördermitteln ausgestattet. Das Team arbeitet momentan im Projekt asvinID an Methoden zur Implementierung von PUF-Systemen, die ein Device-Fingerprinting auf Basis individueller Baueigenschaften des Gerätes erlauben. Das kann beispielsweise ein individuelles Fehlermuster bei Funkübertragungen sein, die durch physikalische Bauformen der Antenne verursacht werden.
Im Rahmen des europäischen Projektes Blockchers hat asvin zusammen mit tsenso eine Pilotanwendung aufgesetzt. Das Start-up tsenso hat einen Freshindex entwickelt, der – stark vereinfacht ausgedrückt – mit Hilfe von Temperatursensoren die Frische leicht verderblicher Lebensmittel vom Hersteller bis in den Kühlschrank des Endkunden ermittelt. Aus den übermittelten Daten berechnet das System ein dynamisches Haltbarkeitsdatum, das sich per App auslesen lässt. Würden diese Daten manipuliert, könnten die Verbraucher u.U. durch den Verzehr verdorbener Lebensmittel gesundheitliche Probleme bekommen.
Zunächst wurden – basierend auf der Verwendung digitaler Fingerprints der Temperatursensoren – ein sicheres Device Management, Device Monitoring und sichere Over-The-Air-Updates der Sensoren in einem 5G-Netzwerk realisiert. Das System benutzt Smart Contracts innerhalb einer privaten Etherium Blockchain der Alastria Foundation. Im Rahmen des Blockcher-Projektes mit tsenso wurde dieses System zur Absicherung der Datenlieferkette erweitert und erprobt. Daten werden dann mit einem nachvollziehbaren „Vertrauenszertifikat“ von der Datenquelle (Sensor) bis zur Verarbeitung in der Cloud verknüpft und unveränderlich über ein Blockchain-System nachvollziehbar gesichert. In einem weiteren aktuell durchgeführten Forschungsprojekt mit dem Karlsruher Institut für Technologie (KIT) soll dieses System zur Absicherung von Trainingsdaten im Machine-Learning erweitert und erprobt werden. Ziel ist es, das Training der Machine-Learning Algorithmen bei tsenso zur Lebensmittelüberwachung optimal abzusichern, um einen Angriff auf die KI mittels Manipulation der Trainingsdaten zu verhindern. Die Ergebnisse des gemeinsamen Forschungsprojektes mit dem KIT werden Ende 2021 erwartet.
Die Lösung soll die Lücke zwischen den herkömmlichen Angeboten und den Highend-Verfahren schließen und will dazu beitragen, Vertrauensketten in komplexen verteilten Architekturen des IoT bei moderaten Kosten zu ermöglichen.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.