Mouser German Blog

(Quelle: BeeBright/Shutterstock.com)

In einer engmaschig vernetzten Welt können wir uns die Folgen eines Cyberangriffs nur schwer vorstellen: Während des Cyberangriffs auf das ukrainische Stromnetz im Jahr 2015 waren Hunderttausende Menschen stundenlang ohne Stromversorgung. Die Angreifer schalteten nicht einfach nur die Leistungsschalter aus, sondern konnten auch aus der Ferne auf die SCADA-Systeme (Supervisory Control And Data Acquisition) des Energieversorgers zugreifen, die Festplatten der Steuerungssysteme löschen und sogar die Firmware der kritischen Subsysteme infizieren. Böswillige Firmware-Updates sind irreversibel, so dass die einzige Möglichkeit darin bestand, diese Subsysteme vollständig zu ersetzen.

Angriffe wie diese zwingen uns dazu, über unseren konventionellen Ansatz zur Cybersicherheit hinauszudenken. Aufgrund der Netzwerkverbindungen sind die Geräte und Sensoren des Internet der Dinge (IoT) sehr anfällig für Angriffe aus der Ferne. Sie stellen eine ernsthafte Bedrohung für kritische Infrastrukturen, Gesundheitssysteme, Finanzsysteme sowie die Privatsphäre und Sicherheit von Einzelpersonen dar. Tabelle 1 fasst mögliche Bedrohungen zusammen, die sich über den gesamten IoT-Stack erstrecken.

Tabelle 1: Bedrohungen und Schwachstellen von IoT-Endpunkten. (Quelle: Practical Industrial Internet of Things Security, Packt Publishers)

Um die herkömmliche Datenverarbeitung zu sichern, war es wahrscheinlich in Ordnung, softwarebasierte Kontrollmechanismen einzusetzen. Aber für das IoT ist eine sehr viel stärkere Sicherheitsbasis erforderlich.

Das IoT macht höchstmögliche Sicherheit unabdingbar

Bei IoT-Anwendungen unterscheiden sich die Laufzeitanforderungen und Bedrohungen erheblich von den herkömmlichen IT-Einstellungen.

Schutz von Daten und Geräteidentität

Wenn „Dinge“ miteinander kommunizieren, ist es nicht nur entscheidend, die Privatsphäre und die Integrität der Daten zu schützen. Es ist ebenso unabdingbar, die Quelle und den Empfänger der Daten korrekt zu identifizieren. Für den Schutz der Geräteidentität sind folgenden Merkmale erforderlich, die ein hardwarebasiertes Sicherheitsdesign notwendig machen:

• Sicheres Betriebssystem
• Boot-Integrität
• Sicheres Speichern von Schlüsseln und Zugangsdaten

Lange, ununterbrochene Lebensdauer

Es wird erwartet, dass eingebettete Systeme und Industrieausrüstungen jahrelang ohne Unterbrechung und mit nur minimalen menschlichen Eingriffen laufen. Dabei ist es unerheblich, ob es sich um Sicherheitskameras, Montagebänder oder Industrieroboter handelt. Die entscheidenden Erwartungen an diese Systeme sind in diesen Zusammenhang Zuverlässigkeit, Sicherheit, Effizienz und Produktivität. Während der Ausfallzeiten im Zuge von Wartungsarbeiten sind die Betreiber daher äußerst vorsichtig bei der Anwendung von Software-Updates, die ihren zuverlässigen Betrieb beeinträchtigen könnten.

Systeme mit eingeschränkten Ressourcen

 Die Speicher- und CPU-Footprints von vernetzten Mikrocontrollern, Sensoren und Aktuatoren sind verschwindend klein. Auch die Stromversorgung und die Kommunikations-Bandbreite sind begrenzt. Umfassende Softwaresicherheit der Stacks ist in solchen Fällen keine Option. Da die Hardware physischen Angriffen und rauen Umgebungsbedingungen direkt ausgesetzt ist, muss sie manipulationssicher sein. System on Chip (SoC)-Design, Krypto-Beschleuniger und Sicherheits-Coprozessoren sind in Szenarien mit eingeschränkten Ressourcen praktikablere Optionen.

Updates sind schwer durchzuführen

Eingebettete Geräte (z. B. eine vernetzte Turbine in einem Wasserkraftwerk) befinden sich oft an abgelegenen Orten und die Zugänglichkeit kann schwierig sein. Die Wartungsmöglichkeiten sind selten und haben häufig die Zuverlässigkeit der Maschine mehr im Blick als regelmäßige Software-Updates. All dies erschwert die Durchführung von Updates, was bei vielen industriellen Systemen offenkundig wird, die noch unter Windows XP laufen.

Stärkere Verteidigung gegen komplexe Bedrohungen

Eine Sicherheitsstrategie für vernetzte Geräte umfasst:

• Boot- und Firmware-Update-Integrität
• Isolierung von Sicherheitscodes und Schlüsseln und
• Schutz gegen physische Manipulation und Angriffe aus der Ferne

Ein gesichertes Betriebssystem und eine gesicherte Laufzeitumgebung in der Hardware minimieren die Gefährdung durch generische Exploits in Windows und anderen gängigen Software-Plattformen erheblich.

Einbettung von Sicherheit in die Hardware

Für die Absicherung eines vernetzten Gerätes muss zunächst ein Trust Anchor (Basisschlüssel) etabliert werden. Dieser Vertrauensanker (Root-of-Trust (RoT)) bestimmt die höchste Vertrauensebene, die ein Gerät erreichen kann. Eine Kompromittierung des RoT kompromittiert gleichzeitig das gesamte System. Herkömmliche Computer verlassen sich meist auf einen softwarebasierten Vertrauensanker. Es ist jedoch nachweisbar, dass sich ein manipulationssicherer hardwarebasierter Root-of-Trust (RoT) in wesentlich mehr Angriffsszenarien zuverlässig verhält.

Hardware-Sicherheitskomponenten

Eine Vertrauenszone kann entweder im gleichen Mikroprozessor oder in einem dedizierten Sicherheitsprozessor eingerichtet werden. Viele neue Bausteine enthalten FPGA (Field-Programmable Gate Arrays), die vor Ort neu programmiert werden können. Dies ist ein großer Vorteil bei der Aktualisierung der Firmware für IoT-Geräte. FPGA-Bausteine können auch einen CPU-Coprozessor beinhalten, der sicherheitsrelevante Organisationsfunktionen ausführt.

• Krypto-Beschleuniger in kleiner Baugröße eignen sich gut für die Einbettung von Verschlüsselungsfunktionen. Hardware-Sicherheitsmodule (HSM) bieten eine physische Isolierung von Sicherheitsfunktionen auf derselben Hardware-Plattform. Ein sicheres Plattform-Modul (engl. Trusted Platform Module, TPM)) ist in ISO- und TCG-Standards definiert und als Sicherheitschip auf der Hauptplatine eingebettet.
   
• HSM und TPM können einen starken Manipulationsschutz, kryptographische Schlüsselspeicherung, Schlüsselerzeugung mit Hilfe von Hardware-Zufallszahlengeneratoren (RNGs), starke Authentifizierung, Boot-Integritätsschutz und Firmware-Integritätsmessungen bieten.
  
  Ein Gerät enthält viele vertrauliche Daten wie Passwörter, Shared Secrets und Datenverschlüsselungsschlüssel, die ebenfalls geschützt werden müssen. Die unbefugte Offenlegung dieser Schlüssel könnte dieses Gerät und möglicherweise das damit vernetzte Ökosystem (z. B. IoT-Botnetze) gefährden.
  
  Die im TPM gespeicherten Schlüssel können einen wesentlichen Schutz vor Verlust über physische, Software- oder Netzwerkschnittstellen bieten. Die begrenzte Leistung der Crypto Engine des TPM kann jedoch den Signierdurchsatz in skalierten Umgebungen beeinträchtigen, insbesondere bei High-End-Endpunkten wie Servern, Routern und Gateways.
  
  Eine mögliche Lösung besteht darin, die Schlüssel im verschlüsselten Speicher des TPM zu belassen, sie aber, wenn sie in Gebrauch sind, für den Zugriff auf die Plattform-Software oder auf eine Crypto Engine freizugeben, die einen hohen Durchsatz bietet. Dieses Verfahren ist Teil der Trusted Computing-Architektur (bekannt als „Versiegelung“). Die Schlüssel – oder auch andere Schlüssel – werden im Dateisystem des Geräts in einer verschlüsselten Datei gespeichert, die nur mit den vom TPM freigegebenen Schlüsseln entschlüsselt werden kann, wenn vordefinierte Kriterien erfüllt sind.

Bei der Produktentwicklung lohnt es sich auch zu überlegen, ob die Sicherheit in einem eingebetteten oder herausnehmbaren Formfaktor angewendet werden sollte. Bei Mobiltelefonen kann z. B. ein herausnehmbares Sicherheitselement die Portierung der gespeicherten Zugangsdaten von einem Gerät auf ein anderes vereinfachen. Für viele IoT-Anwendungen (z. B. Telematik- oder Infotainmentmodule in einem vernetzten Fahrzeug) ist ein eingebettetes Sicherheitselement besser geeignet.

Fazit

Da jedes Jahr Millionen vernetzter Geräte auf den Markt kommen, besteht neben dem Zeitdruck zur Markteinführung ein enormer Druck, Platz und Kosten zu sparen. Zudem müssen sich die IoT-spezifischen Sicherheitsstandards erst noch etablieren. Diese Faktoren führen häufig zu einem schwächeren Sicherheitsdesign. Die wachsende Zahl gemeldeter IoT-Angriffe, Schwachstellen und Exploits durch Hacker macht deutlich, dass der Sicherheitsaspekt bei der Entwicklung von IoT-Elementen unbedingt verstärkt werden muss.

Systemdesigner können die Hardware-Sicherheitskomponenten und -Plattformen von Anbietern wie Samsung, Infineon und Microchip nutzen, die zusätzlich zur Trust-Zone-Technologie einen sicheren Bootvorgang, sichere Schlüsselspeicherung und Manipulationssicherheit auf Chip-Ebene bieten.