Security-Grundlagen für das IoT

Anbieter zum Thema

ept GmbH

ISH Ingenieursozietät GmbH

NetModule AG

u-blox AG

Systeme im Internet of Things sind auf mehreren Ebenen anfällig für Sicherheitsbedrohungen. Mit bewährten Prozessen lässt sich jedoch die Entwicklung hochsicherer Geräte für Maschinennetze gewährleisten.

Angesichts einer sich ständig ändernden Bedrohungslandschaft benötigen Entwickler von IoT-Ökosystemen einen agilen Sicherheitsansatz, mit dem sie schnell auf neue Situationen reagieren können. Gerätehersteller und Entwickler von Ökosystemen müssen einfache, skalierbare und nachhaltige IoT-Sicherheitsstrategien anwenden, um kurz- und langfristige wirtschaftliche Ziele zu erreichen. IoT-Sicherheit erfordert spezielles Fachwissen im Bereich Cyber-Security.

Allerdings herrscht in diesem Bereich auch großer Personalmangel. Organisationen müssen sich entscheiden, ob sie diese Aufgaben intern im Unternehmen erledigen können, zusammen mit den damit verbundenen Investitionen in Aus- und Weiterbildung, oder ob sie sich Unterstützung während des gesamten Entwicklungszyklus durch Partnerschaften mit externen Organisationen holen.

Vorhandene TQM-Prozesse (Total Quality Management) in der Softwareindustrie befassen sich bereits mit Sicherheitsfragen. Der PDCA-Prozess (Plan, Do, Check, Act, Bild 1), der im ISO-27001-Standard für Informationssicherheit verankert ist, wird als gängige, sichere Entwicklungsmethodik eingesetzt. Entwickler von IoT-Ökosystemen müssen außerdem nachweisen, dass einschlägige Vorschriften und Standards eingehalten werden. Die Überprüfung erfolgt durch unabhängige öffentliche Stellen.

Zu den einschlägigen Standards gehören die Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408), die Federal Information Processing Standards Publication (FIPS) der USA und in Frankreich die Baseline Security Certification (CSPN), die von der nationalen Sicherheitsbehörde ANSSI vorgegeben wurde. Innerhalb der EU werden Produkte, Prozesse und Dienstleistungen durch den EU-weiten Prozess für die Zertifizierung der Cybersicherheit zertifiziert, den die Europäische Agentur für Netz- und Informationssicherheit etabliert hat.

Dieser Prozess basiert auf dem positiven Vorbild der CSPN. Sind die Zertifikate einmal ausgestellt, werden sie in der gesamten Europäischen Union anerkannt. Organisationen, die sichere IoT-Ökosysteme entwickeln wollen, müssen nicht nur die Komplexität des PDCA-Prozesses bewältigen, sondern auch wissen, wie und wann sie mit den entsprechenden Normungsgremien und Prüfstellen interagieren müssen.

Der PDCA-Prozess: Plan, Do, Check, Act

PLAN: Das Entwickeln eines sicheren IoT-Ökosystems beginnt mit einem tragfähigen Plan. Dieser sollte schützenswerte Geschäftsrisiken und -werte von hoher Priorität aufzeigen. Außerdem sollte er eine strenge Bedrohungsbewertung enthalten und die für eine wirksame Risikominderung erforderlichen Maßnahmen detailliert beschreiben. Das Modellieren und Bewerten von Bedrohungen ist wichtig. In dieser Phase wird häufig die STRIDE-Methodik (Bild 2) verwendet. Das Ergebnis dieser Bewertung ist ein Dokument, das die Grundlage für den integrierten Risikomanagement-Ansatz bildet und eine wichtige Voraussetzung für die künftige Einhaltung der Vorschriften und die formelle Zertifizierung ist.

DO: Die Ergebnisse der Bedrohungsanalyse fließen in das Design der Sicherheitsarchitektur der IoT-Lösung ein. Es umfasst sowohl Hardware als auch Software. Um eine optimale Widerstandsfähigkeit gegenüber volatilen Cyber-Bedrohungen zu erreichen, müssen Designer folgendes sicherstellen:

• Jedes IoT-Gerät hat eine eindeutige ID, die nicht geklont werden kann. Dadurch wird die Grundlage für alle anderen Sicherheitsfunktionen gelegt. Diese Vertrauensanker-Funktionalität (Root of Trust, RoT) ermöglicht es allen Beteiligten, der Identität, Authentifizierung, Kommunikation und den vom Gerät kommenden Daten zu vertrauen. Der Vertrauensanker bietet auch die erforderlichen kryptografischen Hardware- und Software-Fähigkeiten, damit vertrauenswürdige Funktionen und API-Ebenen für externe Anwendungen den Zugriff auf diese Funktionen ermöglichen.

• CPU, Speicher und Konnektivität werden ausschließlich von vorgesehenen Aufgaben verwendet. Dadurch wird die Bedrohung durch Hacker-Aktivitäten begrenzt.

• Datenschutz, Vertraulichkeit und Einhaltung von Vorschriften werden durch den Schutz der Integrität aller Daten, ob statisch oder in Bewegung, sichergestellt.

• Entscheidungen, die auf der Grundlage von Daten aus einem IoT-Ökosystem getroffen werden, kommen in einer sicheren Umgebung zur Ausführung, die vor Manipulation und Diebstahl geistigen Eigentums geschützt ist.

• Alle an ein IoT-Gerät gesendeten Befehle (z. B. „Insulin injizieren“, „Ventil öffnen/schließen“, „Bremsen betätigen“ usw.) werden als von einer legitimen Quelle stammend validiert.

Diese Phase des Projekts ist der Schlüssel zum Aufbau einer effektiven IoT-Sicherheitsarchitektur und erfordert den Einsatz von hochqualifizierten Experten. In der Branche herrscht jedoch ein Fachpersonalmangel, und es ist schwierig und teuer, diese Experten durchgängig zu beschäftigen, da die Produktentwicklung immer wieder neue Zyklen durchläuft: Das Sicherheitsdesign wird in der Regel aber nur einmal erstellt und dann für eine ganze Produktfamilie wiederverwendet. Daher kann es für Firmen sinnvoll sein, die Zusammenarbeit mit externen Partnern in Erwägung zu ziehen, die nicht nur die erforderliche Expertise im Bereich Sicherheitsdesign mitbringen, sondern auch Beratung und Betreuung während des gesamten PDCA-Prozesses bieten können. Nach Abschluss der DO-Phase des PDCA-Prozesses ist das Design der sicheren Architektur bereit für Penetrationstests.

CHECK: Um sicherzustellen, dass das Gerät die Sicherheitsanforderungen des Zielmarktes erfüllt, muss es von einer unabhängigen Stelle, etwa der CSPN, auf Konformität geprüft oder formell zertifiziert werden. Die objektive Prüfung durch eine unabhängige Organisation vermeidet Interessenskonflikte, die mit von der Wirtschaft unterstützten Gremien und Standards wie den Common Criteria bestehen könnten. Die Bewertung des Sicherheitsniveaus eines IoT-Geräts erfordert die Verwendung anerkannter Referenzen und Methoden, um seine Widerstandsfähigkeit gegenüber formell identifizierten Bedrohungen zu bewerten. Diese Bewertung kann entweder mit einem quantitativen oder einem qualitativen Ansatz durchgeführt werden.

Die Angriffsbewertung ist eine weit verbreitete quantitative Methode, bei der der Evaluation Assurance Level (EAL) mit einer Bewertung verfeinert wird, die durch ein von einem unabhängigen Sicherheitslabor durchgeführtes Prüfungsverfahren ermittelt wird. Die beiden gemeinsam angewendeten Bewertungsmechanismen sind entweder die von der CSPN verwendete Methodik der Joint Interpretation Library oder das von FIRST (Forum of Incident Response and Security Teams) verwaltete Common Vulnerability Scoring System.

Qualitative Evaluierungen, die ebenfalls von unabhängigen Sicherheitslaboren durchgeführt werden, testen auf Sicherheitslücken innerhalb des Geräts, die den Erfolg von Angriffen mit hoher Wahrscheinlichkeit und hoher Wirkung ermöglichen würden. Der Grad der Evaluierung dieser Methodik basiert auf dem Niveau der Fachkenntnisse und der Komplexität der Werkzeuge, die für einen realistischen Angriff erforderlich wären. Bei diesem Ansatz wird ein Sicherheits- oder Vertrauensniveau in dem Gerät festgelegt, wobei das zugewiesene Sicherheitslevel erreicht wird, wenn die Testaktivitäten keine Lücke für den definierten Angriff aufzeigen.

Für die meisten IoT-Produkte ist eine qualitative, grundlegende Bewertung ausreichend. Basieren sie zudem auf Komponenten, die bereits einen Sicherheitsbewertungsprozess durchlaufen haben, kann die Bewertung vereinfacht werden. Dazu zählen Teile des Sortiments der Mobilfunk-IoT-Module von u-blox. Zertifizierte Module wurden bereits Evaluierungen unterzogen, bei denen typische Angriffspfade simuliert und die eingebettete Sicherheit der Geräte gegen Angriffe einschließlich Fehlereinstreuungen und Seitenkanalanalyse getestet werden. Durch die Integration solcher Module erhalten Entwickler die Gewissheit, dass ein Angreifer mit physischem Zugriff auf das Gerät nicht in der Lage ist, die implementierten Maßnahmen zu umgehen, und dass etwa kryptographische Algorithmen und private Schlüssel wirklich sicher sind.

ACT: Nach Planung, Design und Evaluierung muss die Sicherheit der IoT-Geräte implementiert, skaliert und während des gesamten Lebenszyklus des Geräts aufrechterhalten werden. Per Software implementierte Sicherheit reicht für Situationen mit geringer Gefährdung und geringem Geschäftswert, nicht jedoch für Geräte, die in kritischen, exponierten Anwendungen eingesetzt werden. Dann ist während des Produktionslaufs ein hardwarebasierter Vertrauensanker (Root of Trust, RoT) erforderlich, der an einem vertrauenswürdigen Ort bereitgestellt wird.

Die Sicherheitsanforderungen groß angelegter IoT-Ökosysteme bedeuten auch, dass Funktionen wie Zero-Touch-Bereitstellung, sichere Cloud-Konnektivität und energie- und bandbreiteneffizientes Schlüsselmanagement einbezogen werden müssen. Um die lebenslange Exposition gegenüber Sicherheitsbedrohungen zu reduzieren, müssen große Mengen an internen und externen Daten gesammelt und überwacht werden. Organisationen, die nicht über die erforderlichen internen Ressourcen verfügen, sollten in Erwägung ziehen, bei dieser Problematik mit einem vertrauenswürdigen Partner zusammenzuarbeiten.

Spezialisierte Sicherheitsorganisationen, beispielsweise die Partnerschaft zwischen u-blox und Kudelski, können Entwickler im gesamten PDCA-Workflow mit Sicherheitsexperten unterstützen. Das ist unabhängig davon, wo sich Kunden im Entwicklungsprozess befinden (Bild 3). Typischerweise umfassen die fachkundigen Sicherheitsanalysen, Beratungs- und Design-Dienstleistungen eine Bewertung und Evaluierung der Sicherheit auf Chip-, Platinen- und Software-Ebene durch eine maßgeschneiderte Schwachstellen- und Bedrohungsanalyse, sowie eine Beratung zu End-to-End-Sicherheitsarchitektur und umfassende Vorabtests.

Zertifizierte Module erleichtern die Evaluierung

Wie beschrieben kann der Sicherheitsprozess bei Lösungen, die auf zertifizierten Modulen wie der Mobilfunk-basierten Reihe von u-blox beruhen, vereinfacht werden. Diese Module umfassen die Kudelski IoT-Sicherheitsplattform, die eine Vertrauenskette zwischen Geräten, Daten, IoT-Plattformen und Anwendungen schafft und es den Benutzern ermöglicht, alle wichtigen IoT-Ressourcen mit einfachen APIs zu verwalten. Die Plattform besteht aus drei Elementen – einem software- oder hardwaremäßigen Vertrauensanker (Root of Trust, RoT), einem Geräte-basierten Sicherheits-Client und einem Cloud-basierten bzw. vor Ort bei den Kunden installierten Sicherheitsserver.

Die vorintegrierten Komponenten stellen Funktionen bereit, die die Implementierung sicherer Gerätedesigns und Daten für IoT-Anwendungen ermöglichen. Die Nutzer der Plattform können eine breite Palette digitaler und physischer Assets erstellen, betreiben und sicherstellen, so dass der Schutz sich an zukünftige Bedrohungen anpasst.

Das Design einer effektiven IoT-Sicherheitsarchitektur ist ein komplexer Prozess, der den Einsatz von Spezialisten erfordert. Der PDCA-Prozess stellt eine gut etablierte Methodik dar, die die notwendigen Sicherheitstests und Zertifizierungsschritte umfasst und bei richtiger Anwendung die Implementierung einer robusten IoT-Sicherheitsarchitektur gewährleistet. Unternehmen können sich je nach den Besonderheiten ihrer Entwicklungszyklen dafür entscheiden, auf interne Experten zurückzugreifen oder externe Anbieter zu beauftragen.

IoT als Schlaraffenland für Cyberkriminelle

ARM tritt IoT-Geschäftseinheit an Softbank ab

* Eric Heiser ist Head of Services/Security von u-blox

(ID:46742884)