ROBIOTIC

Lexikon

IoT Sicherheit: IoT-Geräte vor feindlichem Zugriff schützen

Auf einen Blick

IoT-Plattformen bieten viel Potenzial für Automatisierung und versprechen im privaten und geschäftlichen Alltag viel Komfort. Damit die vernetzten Geräte und Anwendungen jedoch effektiv arbeiten, müssen sie kontinuierlich bestimmte Daten sammeln und untereinander austauschen können. Wenn an irgendeiner Stelle des Systems eine Sicherheitslücke besteht, können Angreifer viel Schaden anrichten. Sie könnten z. B. vertrauliche Daten für kriminelle Zwecke abfangen, manipulierte Daten ins System einspeisen oder sich sogar ins System einklinken, um die Steuerung von Anlagen oder Fahrzeugen zu übernehmen. Besonders für empfindliche industrielle Anwendungsfälle oder Szenarien, in denen die Sicherheit von Personen gefährdet werden könnte, muss also sorgfältig über IoT Sicherheit nachgedacht werden.

Mögliche Angriffe auf IoT-Plattformen

Es sind verschiedene Ebenen denkbar, an denen ein IoT-System angreifbar sein könnte:

Physikalische Angriffe
Hier ist die Hardware selbst gefährdet, also die vernetzten Geräte und Sensoren, die Teil einer IoT-Anwendung sind. Angreifer verschaffen sich physikalischen Zugriff auf die Hardware, um ausgewählte Komponenten nach ihren Wünschen zu manipulieren. Diese Attacken erfordern, dass der Angreifer selbst oder ein Komplize Zugang zu den Geräten hat.

Angriffe über das Netzwerk
IoT-Anwendungen sind über das Netzwerk theoretisch angreifbar, da die beteiligten Geräte in gewisser Form - häufig drahtlos - miteinander kommunizieren müssen. Ferner wird oft auch die Kommunikation per Internet vorausgesetzt, damit die vernetzten Systeme wie gewünscht funktionieren. An dieser Stelle kann sich ein Angreifer Zugriff auf die versendeten Daten verschaffen oder manipulierte Daten und Befehle ins System einschleusen. Von Spionage bis hin zur expliziten Manipulation sind diverse Gefahren denkbar. Außerdem kann ein Angreifer das Netzwerk selbst lahmlegen, wenn er z. B. über eine DDoS-Attacke die Kommunikation stört.

Angriffe in der Anwendungsschicht
IoT-Anwendungen benötigen Software, die sie steuert - und häufig auch Software, die eine Schnittstelle für den Menschen bietet, z. B. Anwendungen fürs Smartphone. Auch hier besteht großes Potenzial für sicherheitsrelevante Lücken, die ein Angreifer ausbeuten kann: Anders als für Netzwerkprotokolle gibt es hier keine Standards und Richtlinien, sprich jeder Hersteller ist mehr oder weniger frei darin, wie er seine Anwendung programmiert.

Informationssicherheit auch für IoT Sicherheit berücksichtigen

Immer, wenn es um vertrauliche Daten und empfindliche Systeme geht, spielt Informationssicherheit (Information Security) eine entscheidende Rolle für den Schutz dieser Informationen. Zu den Zielen von Informationssicherheit für IT-Anwendungen gehören folgende Aspekte:

  • Vertraulichkeit: Vertrauliche Informationen müssen von allen Geräten auch als solche behandelt werden und z. B. nicht frei an andere Geräte aus dem IoT-Szenario weitergegeben werden.
  • Integrität: Informationen dürfen nicht manipulierbar sein bzw. die Manipulation von Daten darf nicht unentdeckt bleiben.
  • Verfügbarkeit: Bestimmte Geräte und Dienste müssen immer verfügbar sein, um den reibungslosen Ablauf von IoT-Anwendungen zu garantieren, v. a. in sicherheitskritischen Szenarien.
  • Authentifizierung: Nur autorisierte Geräte und Teilnehmer dürfen Zugriff auf das IoT-System haben; Daten dürfen nur von autorisierten Geräten und Teilnehmern stammen. Alle Teilnehmer müssen eindeutig identifizierbar sein.
  • Verbindlichkeit: Alle Transaktionen müssen als verbindlich gelten, damit sie später nicht abgestritten werden können, v. a. in kommerziellen Szenarien.

Ansätze für mehr IoT Sicherheit

Es gibt neben der Wahrung der Informationssicherheit diverse Wege, um den Schwachstellen in IoT-Systemen vorausschauend zu begegnen.

Sicherheit im Netzwerk
Das Netzwerk ist die Grundlage für die Kommunikation von IoT-Geräten und muss daher aufmerksam geschützt werden, z. B. durch Firewalls, Maßnahmen gegen Viren und Malware oder Intrusion-Prevention und Intrusion-Detection.

Sicherheit durch Authentifikation und Management von Identitäten
Jeder einzelne Teilnehmer innerhalb eines IoT-Szenarios muss eindeutig identifizierbar sein, damit wirklich nur befugte Geräte und Personen Zugriff das Netzwerk erhalten. Die Authentifikation der Teilnehmer kann über verschiedenste Methoden erreicht werden, z. B. Passwörter, biometrische Daten, Zertifikate oder Zwei-Wege-Authentifizierung. Das gilt auch für die Kommunikation zwischen Geräten. Außerdem muss auch die Möglichkeit bestehen, die Identitäten der zahlreichen Teilnehmer effizient zu verwalten. Für das Identity Management speziell in IoT-Szenarien gibt es eigene Lösungen, die zum Teil auf Blockchain basieren.

Sicherheit durch Vertraulichkeit
Vertrauliche Informationen sollten durch Verschlüsselung vor unbefugtem Zugriff geschützt werden. Die Verschlüsselung sollte dem Bedarf möglichst angepasst sein, sofern die Ressourcen dies zulassen. Für Systeme mit begrenzten Ressourcen (z. B. Embedded Systems, Sensornetzwerke, RFID) gibt es spezielle kryptografische Methoden (lightweight cryptography).

Sicherheit durch Protokolle
Spezielle Protokolle für den Datenaustausch im Internet of Things helfen dabei, die Kommunikation zu standardisieren und unbefugte Zugriffe zu erschweren.

Sicherheit durch Befolgen von Regelungen
Auch das Beachten von Best Practices und Regelwerken (z. B. EU-DSGVO) trägt dazu bei, mehr Sicherheit in vernetzten Systemen zu schaffen.

Kontakt