Sicherheit in Embedded-Systemen IT-Sicherheit im Internet of Things ist ein Muss
Anbieter zum Thema
Bereits heute formen geschätzt rund 14 Milliarden vernetzte Geräte das Internet der Dinge (IoT) – und es wächst rasant. Security ist die wohl wichtigste Anforderung an Geräte, die über das Internet of Things vernetzt sind. Typische Angriffsvektoren und ihre möglichen Auswirkungen zeigt der folgende Beitrag.

Bis 2020 wird es nach Schätzungen von Marktbeobachtern mehr als 50 Milliarden IoT-Devices geben. IT-Sicherheitsaspekte kommen bislang beim Entwickeln der IoT-Produkte jedoch oft zu kurz. Der folgende Artikel stellt gängige Security-Herausforderungen bei Embedded-Systemen vor und beschreibt die verheerenden Folgen, wenn das richtige Maß an Security nicht implementiert wird.
Der hier beschriebene Begriff Security definiert sich als „die Fähigkeit einer Organisation, Ressourcen zu schützen, für deren Schutz sie verantwortlich ist“. In einem Embedded-System erstreckt sich dieser Schutz sowohl auf Software- als auch auf Hardware-Ressourcen. Die Norm X.800 der International Telecommunications Union (ITU) definiert die folgenden Security-Dienste wie folgt:
- Zugangskontrolle: Stellt sicher, dass nur berechtigte Anwender Zugriff auf bestimmte Ressourcen erhalten.
- Vertraulichkeit von Daten: Gewährleistet, dass Informationen gegen unbefugtes Offenlegen geschützt werden.
- Datenintegrität: Schützt davor, dass digitale Daten nicht verfälscht werden, und dass nur berechtigte Nutzer auf sie zugreifen oder sie modifizieren können. Integrität umfasst die Wahrung der Konsistenz, Genauigkeit und Vertrauenswürdigkeit von Daten.
- Authentifizierung der Datenquellen: Belegt, dass eine Nachricht während ihrer Übertragung nicht modifiziert wurde und der Empfänger die Quelle der Nachricht verifizieren kann. Diese Art der Authentifizierung beinhaltet nicht unbedingt die Eigenschaft der Nichtabstreitbarkeit.
- Nichtabstreitbarkeit: Bezeichnet die Fähigkeit, Anwender davon abzuhalten, später abzustreiten, dass sie eine Aktion ausgeführt haben.
Benötigt eine IoT-Anwendung umfassende Security?
Wenn ein Embedded-System schutzwürdige Ressourcen enthält oder verarbeitet, ist Security erforderlich. Das ist fast immer der Fall. Da Security immer auch eine Kostenfrage ist, sollten Entwickler sich fragen, welches Maß an Security notwendig ist. Eine Analyse möglicher Bedrohungen hilft beim Einschätzen. Anschließend lässt sich bestimmen, welche Security-Strategien in Relation zum Wert der exponierten Ressourcen wirtschaftlich sinnvoll sind. Besondere Überlegungen sind anzustellen, wenn die Anwendung mit dem Internet verbunden ist, da dies das Bedrohungspotential deutlich erhöht.
Die Begriffe „Bedrohung“ und „Angriff“ sind allgemeiner Sprachgebrauch. Die IETF (Internet Engineering Task Force) hat diese in dem RFC-(Request for Comments)-Dokument 4949 wie folgt definiert:
- Bedrohung: Eine potentielle Bedrohung der Sicherheit, die beim Eintritt von Umständen, Fähigkeiten, Handlungen oder Ereignissen auftritt, die die Sicherheit verletzen und Schäden verursachen. D. h., eine Bedrohung ist eine potentielle Gefahr, die eine Schwachstelle ausnutzen könnte.
- Angriff: Ein Angriff auf die Systemsicherheit als Folge einer intelligenten Bedrohung. Hierbei handelt es sich um eine intelligente Handlung, die einen bewussten Versuch darstellt, die Security-Dienste zu umgehen und die Sicherheitsrichtlinien eines Systems zu verletzen.
Im Zusammenhang mit Computerattacken ist meist die Rede von Exploits. Exploit-Code ist der Code (oder eine Folge von Schritten), der erforderlich ist, um eine Schwachstelle in einem System auszunutzen. Hierbei kann es sich um Fehler in der Software, Hardware oder des im System verwendeten Protokolls handeln. Das Beheben von Software-Schwachstellen kann per Firmware-Aktualisierungssystem erfolgen. Mit ihm lässt sich die Software zum Beseitigen einer Bedrohung mithilfe eines Updates korrigieren. Ein sicherer Update-Mechanismus ist dabei für IoT-Geräte besonders wichtig, da diese häufig jahrelang arbeiten sollen, ohne dass Wartungstechniker danach sehen. Allerdings muss der Entwickler sicherstellen, dass der Update-Mechanismus gut abgesichert ist – sonst besteht die Gefahr, dass das Update selbst zum Ziel von Angriffen und somit zum Einfallstor ins System wird.
Spezifische Bedrohungen zielen auf Besonderheiten des IoT
Drei Bedrohungsbereiche machen IoT-Geräte besonders verletzlich gegenüber Angriffen:
- Netzwerk: Über das Internet oder andere Netzwerke sind IoT-Endpunkte von fast überall in der Welt kontaktierbar. Die bei vielen IoT-Geräten genutzten drahtlosen Verbindungen sind besonders anfällig.
- Feldeinsatz: IoT-Geräte sind neben ihrer Vernetzung oft auch physisch zugänglich. Dies setzt sie potenziell zusätzlichen Hardware-Angriffen aus, die bei Systemen, die zwar vernetzt, aber durch physikalische Zugriffsbarrieren geschützt sind, nicht berücksichtigt werden müssen.
- Verfügbarkeit: Musterlösungen lassen sich leicht beschaffen, sodass Angreifer sie in aller Ruhe analysieren können, um einen Angriffsvektor zu entwickeln.
Als eine IoT-Anwendung gilt „ein System aus Komponenten, in dem vernetzte Geräte miteinander kommunizieren und ihre Aktionen ausschließlich über die Weitergabe von Nachrichten koordinieren“. In ihrer einfachsten Form besteht eine IoT-Anwendung aus nur zwei Knoten, also einem Client und einem Server. Die hier erörterten Security-Herausforderungen beziehen sich auf eine Auswertung der Algorithmen, die die Kommunikationssicherheit zwischen Client und Server gewährleisten. Diese Algorithmen sind in Embedded-Systemen implementiert, um ein bestimmtes Maß an Security gegenüber Bedrohungen sicherzustellen. Bedrohungen für ein solches System lassen sich in passive und aktive Angriffe kategorisieren.
Passive Angriffe analysieren das Embedded-System und versuchen, die gewonnenen Informationen für einen Missbrauch des Systems zu nutzen. Ein Angreifer könnte beispielsweise die Systemressourcen zu seinem Vorteil ändern.
- Lauschangriff: Auch bekannt als Sniffing. Bei diesem Angriff werden Datenpakete zwischen Client und Server erfasst und sensible Informationen wie Passwörter oder Session-Tokens ausgelesen. Drahtlose Sensornetze (Wireless Sensor Networks, WSNs) bieten perfekte Bedingungen zum Abhören durch einen Angreifer. Aufgrund der begrenzten Antennenreichweite besteht ein WSN aus vielen Knoten, die jeweils die übertragenen Daten zum nächsten Knoten weiterleiten. Um die Wahrscheinlichkeit eines Angriffs zu verringern, ist eine physikalische Schicht zu erstellen.
- Überwachung: Diese Art von Angriff zählt zu den einfachsten. Dabei überwacht ein Angreifer ein System und sammelt Informationen, bis sich ein größeres Sicherheitsrisiko ermitteln lässt. Das Überwachen verschlüsselter Kommunikation kann beispielsweise immer noch Informationen über den Umfang, die Häufigkeit oder das Timing von Nachrichten preisgeben.
Aktive Angriffe gehen aggressiv vor und versuchen, die übertragenen Nachrichten und solche, die sich gerade in der Übertragung befinden, zu verändern. Hierzu zählen:
- Maskierung: Bei diesem Angriff werden Nachrichten gesendet oder empfangen, wobei dem Empfänger eine falsche Identität vorgespiegelt wird, was katastrophale Folgen haben kann. Ein Beispiel für eine Maskierung sind Phishing-E-Mails.
- Replay: Hier fängt man Nachrichten ab und sendet sie zu einem späteren Zeitpunkt weiter, um ein Protokoll oder einen Empfänger zu verwirren. Ein Weg, um dies in einem Protokoll zu verhindern, ist die Implementierung eines logischen Zeitstempels.
- Manipulation von Nachrichten: Hier werden Nachrichten abgefangen und ihr Inhalt geändert, bevor die Nachricht an den vorgesehenen Empfänger weitergeleitet wird. Besonders verbreitet ist der Man-in-the-Middle-Angriff. Dabei versucht ein hacker die erste Nachricht abzufangen. Durch eine Änderung der Security-Schlüssel kann er dann künftige Meldungen entschlüsseln und mitlesen.
- Denial of Service (DoS): Diese Art von Angriff beeinträchtigt die Leistung des gesamten verteilten Systems und verhindert einen normalen Systembetrieb. Bewirkt wird dies durch Messages, die das System überlasten und blockieren.
- Distributed Denial of Service (DDoS): Bei einem DDoS-Angriff werden viele Geräte – häufig IoT-Geräte – genutzt, um eine Organisation dediziert anzugreifen.
Typische Schwachstellen von IoT-Applikationen
Das Open Web Security Application Project (OWSAP) beobachtet folgende Trends:
- 60 Prozent der Geräte mit Benutzerschnittstellen sind anfällig für Probleme wie schwache Berechtigungsnachweise.
- 70 Prozent aller Geräte nutzen unverschlüsselte Netzwerkdienste.
- 70 Prozent aller Geräte zusammen mit Cloud- und mobilen Anwendungen erlauben es einem Angreifer, gültige Benutzerkonten über Account-Enumeration zu ermitteln.
- 80 Prozent aller Geräte zusammen mit Cloud- und mobilen Anwendungen versagen bei der Durchsetzung einer Richtlinie, die Passwörter mit ausreichender Länge und Komplexität erfordert.
Je mehr Geräte und Systeme in einem Netzwerk miteinander verbunden sind, umso mehr nehmen die potentiellen Risiken und Auswirkungen von Sicherheitslücken zu. Ein DoS- oder DDoS-Angriff auf eine Industrieanlage könnte eine Systemüberlastung und damit den Ausfall wichtiger Dienste und Benachrichtigungen zu einem kritischen Zeitpunkt verursachen. So könnte beispielsweise ein industrielles Kühlsystem, das kritische Temperaturangaben liefert, entscheidend beeinträchtigt werden, wenn DoS/DDoS-Angriffe auf das angeschlossene Temperaturüberwachungs- und Steuersystem Meldungen an den Systembetreiber oder Befehle vom Betreiber blockieren würden. Auf ähnliche Weise könnte ein DoS/DDoS-Angriff Verkehrsleitsysteme lahmlegen und damit einen massiven Zusammenbruch des Verkehrs im betroffenen Gebiet verursachen.
Aus Sicht der nationalen Sicherheit sind die Folgen sogar noch beängstigender. Die US-amerikanische National Security Administration (NSA) gab 2014 an, dass sich die USA faktisch im Zustand eines Cyberkriegs befinden. Hacker hätten bereits Systeme bei Aufklärungsmissionen infiltriert. Nach Angaben ranghoher Militärs können eine Reihe von Ländern heute amerikanische Energie- und Finanzunternehmen stilllegen. Aus der Sicht einzelner Anwender werden Konsumenten umso verletzlicher, je mehr sie sich auf vernetzte Geräte verlassen. Der Einsatz vernetzter medizinischer Geräte wie Blutzuckermessgeräte und Herzschrittmacher, setzt die Gesundheit und das Wohlergehen von Konsumenten böswilligen Add-Ons aus. Diese könnten solche Geräte unbrauchbar machen oder sogar falsche Medikamentendosierungen bedingen. Je mehr die Konsumenten die intelligente Vernetzung in ihren Wohnungen vorantreiben, umso mehr steigt das Risiko an, dass Hacker persönliche Daten stehlen können.
Um ein Gefühl für das Ausmaß des Problems zu gewinnen, hat Renesas kürzlich seine Kunden befragt, was für sie die gefährlichsten Bedrohungen im IoT-Bereich sind. Dabei kristallisierten sich sieben Bedrohungsarten heraus:
- Ein nicht vertrauenswürdiger Auftragsfertiger könnte Soft- oder Firmware oder die Sicherheitskonfiguration einer MCU oder eines Produktes klonen.
- Hacker könnten während der Installationsphase die Original-Firmware durch Malware ersetzen und damit das Produkt verfälschen.
- Während der Firmware-Installation könnte ein Hacker einen Abhörangriff installieren. Dies ist besonders dann gefährlich, wenn Security-Parameter unverschlüsselt ausgetauscht werden.
- Bedrohungen der Privatsphäre können entstehen, wenn die System-Firmware nicht physikalisch geschützt ist, sodass ein Angreifer dann Security-Parameter auslesen kann.
- Angreifer können mit Zusatzprogrammen Daten beschädigen oder stehlen.
- Hacker könnten eine einfache Software-Update-Session nutzen, um Firmware durch Malware zu ersetzen.
- Angreifer könnten einen Exploit-Code erstellen, um die Security über eine Sicherheitslücke auszuhebeln. IoT-Lösungen sollten eine Firmware-Update-Funktion zur sofortigen Behebung solcher Sicherheitslücken enthalten.
Eines war den Entwicklern der RX Trusted Secure IP von Renesas sofort klar: Um sicherzustellen, dass alle auf dieser Plattform aufgebauten Geräte wirklich sicher arbeiten und gut abgesichert sind, müssen alle genannten Bedrohungen berücksichtigt werden. Dazu sollten Security-Funktionen in die Plattform integriert werden, um in jeder Phase des Produktlebenszyklus den entsprechenden Schutz bieten zu können.
Dieser Artikel stammt von unserem Partnerportal ElektronikPraxis. Verantwortlicher Redakteur: Michael Eckstein.
* Dyfan Davies ist Engineer in der Software Development Division der Broad-based Solution Business Unit von Renesas Electronics Europe.
(ID:45468895)