Mouser German Blog

Das weltweit tätige Management-Beratungsunternehmen McKinsey & Company fragte kürzlich eine Gruppe von Experten – darunter den Direktor des MIT Media Labs und den stellvertretenden Direktor von Google Advanced Technology Projects – was das größte Risiko in Verbindung mit dem Internet of Things (IoT) sei. Die Antworten sind nicht schwer zu erraten.

„Wir schaffen riesige neue Angriffsflächen“, so einer der Umfrageteilnehmer zu McKinsey. „IoT kann die Angriffsfläche für jede Art von Cyberangriff vergrößern“, erklärt ein anderer. Ein dritter meint: „Ich mache mir Sorgen, dass irgendjemand sich meine Informationen aneignet oder dafür sorgt, dass die Geräte physisch etwas falsch machen.“ Ein vierter Befragter erklärt kurz und knapp: „Das Sicherheitsrisiko.“

Dass das IoT Sicherheitsrisiken mit sich bringt, ist keine neue Erkenntnis. Schließlich sind beispielsweise die Daten von vernetzten Sensoren – ob sie nun den Verkehr, das Wetter oder die Gebäudebelegung beobachten – oder Informationen, die über Netzwerke übertragen werden, wie medizinische, finanzielle oder sicherheitsrelevanten Details, sehr wertvoll. Dieser Wert zieht sowohl diejenigen an, die die Gesetze befolgen, als auch diejenigen, die es mit den Regeln nicht so genau nehmen. Das Ausmaß des Risikos wird erst jetzt so richtig offensichtlich. Die „Angriffsfläche“, die die Experten oben erwähnen, besteht bereits aus mehreren Milliarden Knoten und wird sich in nicht allzu ferner Zukunft in den Billionenbereich erweitern. (Laut dem japanischen Technologiemischkonzern SoftBank wird es bereits bis 2025 soweit sein.)

Die vernetzte Sicherheitskamera für den Privatgebrauch verdeutlicht die Herausforderung, vor der die Entwickler stehen, wenn sie jedes mit dem IoT vernetzte Gerät adäquat schützen wollen – vom schlichten Wireless-Sensor bis hin zum leistungsstarken Server. Verbraucher wollen kostengünstige Sicherheitskameras und das bringt Kompromisse mit sich – ein spürbares Sicherheitsdefizit. Hersteller von Sicherheitskameras gehen davon aus, dass niemand Lust darauf hat, viel Mühe in das Hacken der Geräte zu investieren. Deshalb sparen sie an allen Ecken und Enden. Aber das ist eine falsche Annahme, denn laut Untersuchungen der Cybersicherheitsfirma SAM Seamless Network sind sehr viele Leute sehr interessiert daran, Sicherheitskameras zu knacken, und viele andere Leute helfen ihnen gern dabei. Diese Geräte machen derzeit fast die Hälfte der IoT-Geräte aus, die von Hackern kompromittiert werden. Hinzu kommt, dass die Übeltäter nicht einmal bei null anfangen müssen. Wie sich gezeigt hat, ist das Hacken vernetzter Sicherheitskameras eine Branche mit eigener Support-Community. Es sind nämlich zahlreiche Web-basierte Tools und Musterprogrammierungen verfügbar, die speziell zu diesem Zweck entwickelt wurden. Nur wenige Hacker sind tatsächlich an der Ansicht eines Parkplatzes oder des Empfangsbereichs eines Gebäudes interessiert. Ihnen geht es eher darum, dass die Kamera das schwächste Glied in einem Netzwerk ist. Wenn es ihnen gelingt, sie zu knacken, verschaffen sie sich so möglicherweise Zugang zu besser geschützten Geräten, wie etwa all die „intelligenten“ Türschlösser des Gebäudes.

Security by Design – Sicherheit von Anfang an

Die große Herausforderung besteht nun darin, die riesige Menge der IoT-Geräte richtig zu schützen, ohne dass dies zu viel Komplexität und zu hohe Kosten verursacht (wofür lediglich eine ziemlich eingeschränkte Zahl von Entwicklern weltweit zur Verfügung steht). Eine Möglichkeit für die Entwickler besteht nun darin, sich zunächst nur auf den Schutz der kritischen Daten und Informationen zu konzentrieren und alles, was nur geringen oder gar keinen Wert hat, ungeschützt zu lassen. Dieses Vorgehen hat drei entscheidende Vorteile:

• Es sind weniger Entwicklerressourcen erforderlich
• Es ermöglicht eine einfachere, kosteneffizientere Lösung
• Es maximiert die Flexibilität und den Nutzen dieser Lösung

Eine „Trusted Execution Environment“ (TEE) ist eine bewährte technische Lösung für den Schutz kritischer Daten. TEEs sind sichere Bereiche innerhalb des in das IoT-Gerät eingebetteten Prozessors, in denen parallel Software ausgeführt wird, die aber vom Hauptbetriebssystem isoliert sind. TEEs stützen sich auf eine so genannte „Root of Trust“. Dabei handelt es sich um eine Zusammenstellung von Funktionen, die in der sicheren Umgebung genutzt werden. Ihnen vertraut das Prozessor-Betriebssystem immer und sie umfassen alles, was für das sichere Booten und die Systemwiederherstellung erforderlich ist.

Der Schlüssel zum Erfolg der Technologie ist, dass wertvoller Code und hochwertige Daten – darunter Sicherheitsfunktionen und kryptografische Anmeldedaten – innerhalb der TEE operieren und mit einem sehr hohem Maß an Integrität und Vertraulichkeit verwaltet werden, während Code und Daten, die weniger wertvoll sind, unbelastet auf dem Hauptbetriebssystem ausgeführt werden. Entscheidend dabei ist, dass die Abläufe innerhalb der TEE vor normalen Prozessorfunktionen verborgen werden können, wodurch es für Außenstehende schwer ist, auf sie zuzugreifen. Ein solches System lässt sich einfacher (und dadurch weniger kostenaufwändig) implementieren, als zu versuchen, alles zu sperren. Außerdem ist es für einen Hacker sehr schwer, es zu knacken (sodass er seine Energien eher in andere Ziele steckt).   

Es sind verschiedene TEE-Lösungen verfügbar, aber die vielleicht praktikabelste Option für Entwickler ist „TrustZone“ vom Embedded IP-Anbieter Arm. Laut dem Marktforschungsunternehmen IPNest kommt die Technologie des Unternehmens in etwa 45 Prozent der effizienten Prozessoren im Herzen von IoT-Geräten zum Einsatz. Diese Technologie schafft die Voraussetzungen für ein frei programmierbares „Trusted Platform Module“, indem sie in dem Arm-Prozessor ein sicheres TEE parallel zu seinem normalen Betrieb aufbaut.

Beim Betrieb im sicheren Modus führt der Prozessor beispielsweise zur Durchführung eines sicheren Boot-Vorgangs Software aus einem sicheren Speicher aus und stellt eine Verbindung zu sicheren Peripherieelementen her. Nach Abschluss des Boot-Vorgangs führt der Prozessor Software wie den Anwendungs- und den Wireless-Protokoll-Stack im normalen Modus aus. Elemente im normalen Modus können auf Funktionen im sicheren Bereich zugreifen. Der Entwickler legt dabei jedoch fest, welche davon für den normalen Betrieb verfügbar sind. Alles andere bleibt verborgen. Aktivitäten werden nacheinander ausgeführt, sodass der Prozessor nie gleichzeitig im sicheren und im normalen Modus arbeitet.

Um zu verstehen, wie das alles in der Praxis funktioniert, stellen Sie sich einfach ein Wearable für die Erfassung von Trainingsdaten und die Ausführung mobiler Zahlungen vor. Wenn es als Fitness-Gerät genutzt wird, arbeitet das Wearable im normalen Modus, was Latenzen verringert und die Akkulaufzeit maximiert. Später dann, wenn der fleißige Freizeitsportler sich sein wohlverdientes Erfrischungsgetränk kaufen möchte, benötigt das Wearable einen sicheren Identifizierungsmechanismus, sodass die Zahlungsdetails sicher und ohne Abfangrisiko für den Verkäufer freigegeben werden können. Hierfür schaltet der eingebettete Prozessor nun vom normalen in den sicheren Modus um und aktiviert die Zahlungsapplikation. Durch eine Authentifizierung, etwa in Form einer biometrischen Überprüfung, stellt das Gerät sicher, dass es nur vom vertrauten Eigentümer benutzt werden kann.

Die TEEs bieten also eine Basis für den Schutz der wichtigsten Aspekte eines IoT-Gerätes, aber sie sind nicht der Weisheit letzter Schluss, wenn es um Sicherheit geht. Um ein optimal geschütztes Gerät zu entwickeln, muss sichergestellt werden, dass der Schutz in jeder Phase des Designprozesses berücksichtigt wird. Anderenfalls besteht das Risiko, dass sich Schwachstellen fest einbrennen. Und weil Hacker nicht schlafen, werden sie jede Schwäche im Produkt in kurzer Zeit aufspüren.