:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Isolation als Schutzschild Sicherheit für IoT-Geräte durch Software-Isolation
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Geräte für das Internet of Things müssen klein, kostengünstig und einfach sein. Gleichzeitig sind IoT-Devices für Cyberkriminelle von zunehmend größerem Interesse, denn ein erfolgreicher Angriff öffnet oft einen direkten Weg ist ungeschützte Firmennetzwerk. Mit dem Prinzip der Software-Isolation lassen sich IoT-Geräte aber wirksam vor Angriffen schützen.
Internet-of-Things-(IoT)-Geräte übernehmen viele Aufgaben: Sie können zum Tracken von Assets dienen; als Zugriffskontrollen; aber auch für die vorausschauende Wartung von Maschinen. Dabei erfassen sie Daten und verarbeiten, speichern und versenden diese. Die gewonnen Informationen sind in vielen Fällen wertvoll und sollten nicht in falsche Hände geraten. Daher ist Sicherheit eine der wichtigsten Anforderungen an IoT-Applikationen.
Die Kommunikation zwischen den beteiligten Geräten muss abgesichert und zuverlässig erfolgen, Assets müssen sicher gespeichert und verarbeitet werden und die Integration der Devices muss sicherheitstechnisch konsistent sein. Dieser Artikel untersucht, wie sich Sicherheit als integraler Bestandteil von IoT-Geräten implementieren lässt. Betrachten wir zuerst die Bestandteile eines IoT-Geräts: Architektur, Kommunikation, Integration und Assets.
:quality(80)/p7i.vogel.de/wcms/a9/8a/a98a2b3987cf881cf9383e7d9770d2b5/0102062147.jpeg "Bild 1: Das im Beitrag beschriebene IoT-Gerät erfasst und verarbeitet Fingerabdrücke und kontrolliert damit den Zugriff des Nutzers auf einen Dienst auf einem Remote-Server.")
:quality(80)/p7i.vogel.de/wcms/ac/0d/ac0d262ca81ca0744ada2d000098183f/0102062156.jpeg "Bild 2: In einer flachen Architektur teilen sich mehrere Anwendungen die Ressourcen ohne Beschränkungen. Dies birgt enorme Risiken.")
:quality(80)/p7i.vogel.de/wcms/27/f9/27f971a6e7546602b4ea514b72520f94/0102062159.jpeg "Bild 3: Bei der flachen Architektur reicht eine einzige Schwachstelle, um das ganze System zu gefährden.")
:quality(80)/p7i.vogel.de/wcms/6a/ec/6aec6a97cc16f106ce00c0c4071ba578/0102062157.jpeg "Bild 4: Beim Einsatz des DSF überwacht der Hypervisor die Container der verschiedenen Anwendungen. So können sich Schwachstellen, z.B. bei der Kommunikationsschnittstelle, nicht auf das gesamte System auswirken.")
Ein IoT-Gerät ist ein Glied in einer Kette von Prozessschritten – vom Erfassen über das Auswerten bis zum Aufbereiten von Daten. Häufig müssen die vernetzten Objekte selbst viele Funktionen beherrschen – dazu zählt auch die Kommunikation mit Backend-Einheiten wie Gateways, Servern oder der Cloud. All diese Funktionen sollen in das kleinstmögliche, günstigste und einfachste Embedded-System-Design integriert werden.
Im IoT ist zudem eine lange Standzeit batteriebetriebener Geräte essenziell. Um die Zahl aktiver Komponenten zu minimieren, übernimmt oft ein Mikrocontroller gleich mehrere Anwendungen. Nach gängiger Praxis kommt ein Betriebssystem zum Einsatz, das unterschiedliche Speicherbereiche isoliert adressieren kann. Dies erfordert jedoch leistungsfähige CPUs zum Beispiel auf Arm-Cortex-A-Basis, die mit ausreichend Arbeits- und Flash-Speicher ausgestattet sind – ein Widerspruch zu den Vorgaben, dass das Design möglichst klein, einfach und günstig sein soll. Das Bündeln der vielen Funktionen macht die Geräte zudem leichter angreifbar. Hinzu kommt: Ein IoT-Device braucht Schnittstellen für die Datenkommunikation sowie Firmware- und Service-Updates. Diese Interfaces können Hackern als Einfallstore dienen. Doch das Mechanismen zu ihrem Schutz zu implementieren erhöht die Komplexität des IoT-Knotens, was ebenfalls den Vorgaben zuwider läuft.
Zugriffskontrolle: Kritisch bei parallel laufenden Programmen
Betrachten wir als Beispiel ein Embedded-Gerät, das mit einem Computer verbunden ist. Es kann Fingerabdrücke erfassen und verarbeiten, im bidirektionalen Modus drahtlos per Bluetooth oder Li-fi kommunizieren, die Verifizierungsinformationen der Fingerabdrücke und einen geheimen Schlüssel speichern und Anwendungen ausführen (Bild 1). In erster Linie dient dieses Gerät dazu, den Nutzerzugriff auf einen hochwertigen Dienst zu kontrollieren, der sich auf einem Remote-Server befindet und über einen Client-Computer zugänglich ist.
Dabei kommt die Zwei-Faktor-Authentifizierungsmethode zum Einsatz. Wenn ein Nutzer Zugriff auf den Dienst anfordert, wird eine Zufallszahl (Challenge) generiert und vom Server über den Computer an das Embedded-Gerät gesendet. Nur wenn der Fingerabdruck des Anwenders mit den gespeicherten Informationen übereinstimmt, wird die Challenge kryptographisch mit dem geheimen Schlüssel verknüpft (verschlüsselt oder signiert) und schließlich zur Authentifizierung an den Remote-Server zurückgeschickt.
Die Nutzungsdauer des Geräts lässt sich durch das Hinzufügen neuer Anwendungen erhöhen, die Zugriffskontrollen für andere Dienste bereitstellen. Unter Sicherheitsaspekten ist es jedoch ein Nachteil, wenn sich mehrere Anbieter, Anwendungen und Schlüssel die gleiche Hardwareplattform teilen. Die Komplexität und Leistungsfähigkeit der Geräte ist in der Regel durch Preis und Formfaktor limitiert. Oft bestimmen Kriterien wie der kleinstmögliche Embedded-Speicher und eine möglichst einfache Architektur die Wahl des Mikrocontrollers.
Aktuell kommen häufig Cortex-M-Prozessor von Arm zum Einsatz. Unabhängig vom Software-Entwicklungsmodell, ob internes Team oder Subunternehmer, wird die Komplexität des Embedded-Codes enorm steigen, wenn mehrere Anwendungen bedient werden sollen. Da der Cortex-M nur über eine Speicherschutzeinheit (Memory Protection Unit, MPU) verfügt, ist die Wahrscheinlichkeit hoch, dass die Software des Geräts eine einfache Architektur („Flat Model“) verwendet, bei dem alle Anwendungen die gleichen Rechte und Ressourcen haben (Bild 2).
Attacken breiten sich über das schwächste Glied aus
Für Anwender sind solche flachen Architekturen ein Risiko. Da sich die Anwendungen die Ressourcen unkontrolliert teilen und die gleichen Ausführungsrechte besitzen, kann jede Schwachstelle, jeder Fehler in einem Programm alle anderen Anwendungen beeinträchtigen. Damit ist die Funktion des gesamten Geräts gefährdet. Bevorzugter Angriffskanal ist die externe Kommunikationsschnittstelle. Per Definition ist sie von außen zugänglich, idealerweise über ein Netzwerk.
Der Software-Stack, der die Kommunikation handhabt, ist immer funktional validiert, aber nur selten sicherheitstechnisch verifiziert. Ein Angriffspfad, der auf eine Schwachstelle in einem Kommunikations-Stack abzielt, nutzt in der Regel einen Speicherüberlauf oder eine fehlende Überprüfung der Eingangsdaten: Ein Angreifer kann über die ungenau geprüften Kommunikations-Buffer bösartigen Code in den internen RAM des Mikrocontrollers einschleusen.
Sobald sich dieser Code innerhalb der Plattform befindet und ausgeführt wird, kann der Angreifer die volle Kontrolle über die auf dem Gerät laufende Software übernehmen (Bild 3). Das eröffnet dem Angreifer vielfältige Möglichkeiten: Diebstahl biometrischer Informationen, Durchführung von Relay-Angriffen und jedes andere Szenario, das auf den Embedded-Anwendungen basiert.
Isolation der Applikationen sorgt für mehr Sicherheit
Um dieser Bedrohung zu begegnen, werden in der Regel Softwarelösungen eingesetzt, die Hardware-Sicherheitsmechanismen wie eine Speicherverwaltungseinheit (Memory Management Unit, MMU) oder Arm TrustZone nutzen. Dabei handelt es sich um „Isolationssoftware“, auch Hypervisoren oder virtuelle Maschinen genannt. Sie verwenden Hardware-Mechanismen zum Definieren separater Software-Container, in denen jeweils eine Anwendung läuft. Die Hauptaufgabe eines Hypervisors ist es, diesen Containern Ressourcen zuzuweisen, deren Nutzung zu überwachen und die Kommunikation zwischen den Boxen zu steuern. Viele Anwender denken, dass ein solcher Ansatz bei Arm Cortex-M-basierten Mikrocontrollern nicht möglich ist, da sie keine MMU, sondern nur eine MPU verwenden.
Doch auch ohne MMU ist ein hohes Maß an Sicherheit möglich – etwa mithilfe des DeepCover Security Framework (DSF). Diese Software-Isolationslösung von Maxim garantiert eine weitreichende Isolation zwischen den auf Cortex-M-basierten Mikrocontrollern laufenden Software-Containern. Kernstück dieser Lösung ist ein Hypervisor, der Container, erlaubte Ressourcen und Interaktionen sehr strikt per Software definiert. Anwendungen können über Gateways miteinander interagieren.
Der Hypervisor überwacht die Konfiguration jedes Containers. Er stellt auch sicher, dass die Ausführung mit der jeweiligen Container-Konfiguration übereinstimmt. Unterschiede zur beabsichtigten Konfiguration erkennt er sofort, z.B. Zugriffsversuche außerhalb erlaubter Speicherbereiche, Versuche, mit einem anderen Container außerhalb eines erlaubten Gateways zu interagieren oder ein direkter Zugriff auf unzulässige Ressourcen. Während dieser Verwaltungsaufgaben behält der Hypervisor seine eigenen Rechte und Ressourcen bei.
Ein Sicherheitslabor hat das Framework als konform mit den sehr anspruchsvollen PCI-PTS-POI-Sicherheitsanforderungen für Software-Isolation eingestuft. Diese gelten als Grundlage für sichere Bezahlprozesse und sind daher auch für das IoT geeignet. Der Fingerabdrucksensor zeigt exemplarisch, dass das DSF ein einfaches, aber effizientes Architekturdesign ermöglicht (Bild 4). Das Framework weist einen speziellen Container exklusiv der Verwaltung der biometrischen Merkmale zu, einschließlich des Zugriffs auf den Fingerabdrucksensor und der Extraktion der Daten. Das Framework verhindert Zugriffe auf diesen Sensor aus anderen Containern heraus. Jeder Versuch, den Sensor unerlaubt zu lesen, wird erkannt. Dies löst eine Ausnahmebedingung aus, die zu einem betriebssicheren Fehlerfall (safe failure) führt.
Vollständige Kontrolle durch den Hypervisor
Das Framework kann fehlerhafte Software zwar nicht in fehlerfreie Applikationen verwandeln, aber Angriffsmöglichkeiten stark einschränken. Eine Schwachstelle in einer Anwendung kann zum Beispiel nicht länger die Firmware preisgeben. Fehler bleiben im jeweiligen Container isoliert – dies verringert den Wert für einen Angreifer drastisch. Das DSF bietet den Vorteil, dass mehrere Anwendungen von verschiedenen Anbietern mit unterschiedlichen Sicherheitsniveaus und unterschiedlicher Robustheit auf einem einzigen Gerät gehostet werden können.
Der Anbieter der anspruchsvollsten Applikation kann nun auch andere Anwendungen auf demselben Hardwaregerät akzeptieren, ohne das Risiko einzugehen, seine eigene Anwendung zu schwächen und seine Assets freizulegen. Das hohe Maß an Kontrolle in Containerarchitektur und Ressourcenpartitionierung ermöglicht einfache und vertrauenswürdige Updates der Anwendungen. Der Hypervisor kontrolliert Anwendungen vollständig. Er kann sie durch einfache Schritte modifizieren, aktualisieren oder entfernen, ohne die Funktion anderer Applikationen zu beeinträchtigen.
Darüber ermöglicht dies sichere Updates für zusätzliche Dienste, etwa eine Verschlüsselung, ohne dabei die Schlüssel einem anderen Container preiszugeben. Ein weiterer wichtiger Vorteil besteht darin, dass Container sich während der Ausführung nicht gegenseitig behindern. Zertifikate eines Containers können so nicht durch Änderungen eines anderen beeinträchtigt werden: Das Zertifikat bleibt gültig. Wir sind somit von einer einzigen monolithischen Software, bei der jede Änderung einen Einfluss auf ihre Stabilität insgesamt hat und der Zertifizierung einiger Teile davon zu einer Reihe von unabhängigen, isolierten Images übergegangen, die ihre eigenen Eigenschaften und Fehler isoliert behalten.
Dieser Artikel stammt von unserem Partnerportal ElektronikPraxis. Verantwortlicher Redakteur: Michael Eckstein.
* Yann Loisel ist Director Software in der Micros, Security and Software Business Unit von Maxim Integrated.
* Stéphane Di Vito ist Senior Principal Member of Technical Staff, Software, in der Micros, Security and Software Business Unit von Maxim Integrated.
* Emmanuel Puerto ist Principal Member of Technical Staff, Applications, in der Micros, Security and Software Business Unit von Maxim Integrated.
(ID:45468925)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")