Kommentar von Jeff Shiner, Micron Technology

So lassen sich IoT-Geräte sicherer gestalten

| Autor / Redakteur: Jeff Shiner / Nico Litzel

Der Autor: Jeff Shiner ist Marketing Director IoT Solutions bei Micron Technology
Der Autor: Jeff Shiner ist Marketing Director IoT Solutions bei Micron Technology (Bild: Micron Technology)

Wie können wir sicherstellen, dass eine einzelne Schwachstelle in einem Netzwerkgerät nicht dazu führt, dass ein komplettes Unternehmen offline geht?

Die Technologiebranche spürt noch immer die Auswirkungen des massiven WannaCry-Cyberangriffs, nach dem Einzelpersonen und IT-Teams Mühe damit hatten, Geräte mit Microsoft-Betriebssystemen mit einer bekannten Schwachstelle wieder zum Laufen zu bringen. Von dem Vorfall betroffen waren Unternehmen wie Telefónica und das britische Gesundheitssystem NHS. Hierbei wurden nicht nur Computer infiziert, sondern im Falle des NHS auch andere vernetzte Geräte, wie MRT, Blutbankkühlschränke und OP-Ausstattungen.

Mit dem Internet der Dinge steigt die Attraktivität und die Anzahl der Ziele für die Cyberkriminellen. Deshalb benötigen wir einen proaktiven Ansatz und müssen entsprechend vorausschauen. Einschätzungen des Sage Business Researcher zufolge wird es bis 2020 rund 50 Milliarden vernetzte Geräte geben. Das ist eine atemberaubende Steigerung: 2016 waren es unter 25 Milliarden, 2012 weniger als zehn Milliarden Geräte. Die Hersteller wollten ihre IoT-Geräte so schnell wie möglich auf den Markt bringen und in manchen Fällen geht das zulasten der Sicherheit.

Erschwert wird die Problematik durch die fehlende Standardisierung im IoT -Bereich, was besonders im Vergleich mit den uniformen PC- und Smartphone-Märkten deutlich wird. IoT-Entwicklungen werden durch unterschiedlichste Sicherheitskonzepte mit zahlreichen Optionen auf der System-, Halbleiter- und Softwareebene beeinträchtigt, die in Kombination zu einer exponentiellen Verkomplizierung führen. Unterm Strich bedeutet das, dass die Verbesserung der Sicherheit einer IoT-Geräteart nicht gleichzeitig auch Milliarden anderer Geräte sicherer macht.

Rahmenkonzepte für OEMs

Es werden Anstrengungen unternommen, um Rahmenkonzepte zu entwickeln, die OEMs helfen sollen, angemessene Sicherheitsmaßnahmen in ihre Produkte zu integrieren. Die Gruppen, die sich hierfür einsetzen, unterstützen die Integration wichtiger Sicherheitskomponenten in die Hard- und die Software, die Entwicklung tiefgreifender, mehrschichtiger Sicherheitsansätze sowie andere Strategien, die sich viele der neueren Lösungen zunutze machen. Ein gutes Beispiel für diese Bemühungen wird in dem vom Industrial Internet Consortium (IIC) erstellten Dokument mit dem Titel „Industrial Internet Security Framework“ (IISF) aufgezeigt. Darüber hinaus hat auch die Federal Trade Commission (FTC) versucht, etwas gegen Bedrohungen zu unternehmen, z. B. im Jahr 2015 als IoT-Unternehmen aufgefordert wurden, sicherheitsrelevante Best Practices zu übernehmen.

Trotz dieser Anstrengungen stellen Schwachstellen weiter Risiken dar und zwar insbesondere für Unternehmen, die nicht zu den Fortune 100 gehören und sich keine starken IT-Sicherheitsteams oder Budgets erlauben können und die durch die mangelhafte Standardisierung der handelsüblichen IoT-Sicherheitslösungen beeinträchtigt werden.

Die Lösung: „Konzeptintegrierte Sicherheit“

Eine einfach umzusetzende und möglicherweise sichere Antwort auf diese Problematik könnte überraschenderweise in einer der größten Schwachstellen der aktuellen IoT-Systeme liegen: dem Codespeicher. Die kreative und neuartige Nutzung der Speichertechnologie in Kombination mit Cloud-basierten Funktionen verspricht eine verbesserte Sicherheit.

Angriff auf den Speicher

Bei fortschrittlicheren Cyberangriffen wurde Schadcode in nichtflüchtigen Speicher geschrieben. Dies geschieht üblicherweise bei Geräten am Rande des Netzwerks bzw. in dessen Nähe: den Endpunkten oder „Dingen“ des Internets der Dinge. Wenn sie erst einmal infiziert sind, lassen sich diese Geräte mit anderen zu einem großen Botnet zusammenschließen oder können einzeln zum Angriff auf ein Zielsystem eingesetzt werden. Viele Angreifer attackieren bekannte, heute veröffentlichte Sicherheitslücken und halten stets Ausschau nach neuen Zero-Day-Schwachstellen, die man ausnutzen könnte.

Ende 2016 waren mit den Mirai-basierten Botnet-Angriffen weitere gängige Angriffsstrategien zu beobachten, die von IoT-Geräten wie Festplattenrekordern, IP-Kameras und Routern von Endverbrauchern profitierten, die allesamt mit unsicheren Standardeinstellungen ausgeliefert worden waren. Dies gipfelte in einem DDoS-Angriff auf zahlreiche Websites, wie Twitter, Amazon, Reddit und ironischerweise KrebsOnSecurity.

Langfristig müssen die OEMs ihre Hard- und Software grundlegend verändern und Geräte und Cloud-Lösungen in Betrieb nehmen, die die Integrität der Geräte überwachen und kompromittierte Geräte wiederherstellen.

Kryptografische Authentifizierung

Schwachstellen können jedoch auch Möglichkeiten bieten. Wenn im Speicher untergebrachter kritischer Quellcode kryptografisch authentifiziert werden kann und Teil der „DNA“ des IoT-Geräts ist, kann in Kombination mit zusätzlichen Cloud-Funktionen die Möglichkeit für Hacker, Malware in ein Gerät einzuschleusen, erheblich eingeschränkt werden, und zwar sowohl mittels End-to-End-Authentifizierung wie auch durch ein kryptografisches Firmware-Management.

Seit Jahren wird die Netzwerksicherheit mithilfe einer Reihe von Funktionen namens „Root of Trust“ (RoT) verbessert. RoTs bieten Sicherheitsdienste, die üblicherweise in einem vertrauenswürdigen Computermodul untergebracht sind und von einem Betriebssystem genutzt werden können, um die Identität und den Zustand eines Geräts zu verifizieren, das heißt, es kann so überprüft werden, ob ein Gerät zum Netzwerk gehört und nicht infiziert ist.

Aktuell wird diese Art von Sicherheit von CPUs, SoCs und Hardware-Sicherheitsmodulen (HSMs) zur Verfügung gestellt. Unglücklicherweise können Hacker selbst dann, wenn solche Komponenten mit den entsprechenden Sicherheitsmerkmalen eingesetzt werden, unterhalb der logischen Komponenten in einem IoT-Gerät angreifen und das System blockieren oder stilllegen. Die Angriffe werden immer ausgereifter und dadurch, dass die Hacker sich darauf konzentrieren, ihren Code unterhalb der Gerätelogik in den Speicher des IoT-Geräts zu pflanzen, nimmt die APT-Problematik (Advanced Persistent Threats, also fortgeschrittene andauernde Bedrohungen) zu.

Die Sicherheit lässt sich verbessern, indem man diese auf zusätzliche Elemente einer Lösung ausweitet, also einen tiefgreifenden Ansatz wählt und sicherstellt, dass der Speicher Teil des Konzepts ist. Dieser Ansatz kann relativ unkompliziert, kostengünstig und reibungslos umgesetzt werden und so für IoT-Geräte genutzt werden, die schon von zahlreichen Angriffen beeinträchtigt wurden.

Ein Ansatz für die speicherbasierte Sicherheit

Micron Technology verfolgt einen Ansatz, der direkt im Speicher zwei Elemente unterbringt: die Geräte-ID und eine kleine Funktion für die kryptografische Verarbeitung. Zusammen produzieren diese Elemente die Informationen, die es einer Cloud-Lösung ermöglichen, die Identität und den Zustand des Speichers und der Daten zu verifizieren. Auf diese Weise wird die Sicherheit auf der untersten Boot-Ebene verbessert, während gleichzeitig CPUs, SoCs und HSMs entlastet werden. Beispielhaft für diesen Ansatz ist die Sicherheitspartnerschaft zwischen Microsoft und Micron. Die beiden Unternehmen konzentrieren sich darauf, dem Kunden die Realisierung von Sicherheitsmaßnahmen in puncto Zustand und Identität von IoT-Geräten zu erleichtern.

Eine hundertprozentige Sicherheit gibt es nicht, aber es gibt Möglichkeiten, die Sicherheit durch tiefgreifende Maßnahmen zu verbessern. In einer Zeit, in der das IoT immer mehr an Bedeutung gewinnt und die Zahl der gefährdeten Geräte am Netzwerkrand zunimmt, gilt das mehr denn je. Neue Lösungen und Partnerschaften, wie die von Microsoft und Micron, sorgen für ein sichereres und bezahlbareres End-to-End-Management. Die Überwachung und das Management des Zustands der IoT-Geräte gehören zu den komplexesten Themen, mit denen sich Unternehmen auseinandersetzen müssen. Das große Ziel liegt darin, bekannte Sicherheitslücken schnell zu schließen und dafür zu sorgen, dass sich ein Angriff für den Hacker nicht lohnt. Best Practices im Bereich der Computersicherheit und neu geschaffene Ökosysteme sollten in vielen Unternehmen effektivere und bezahlbarere Sicherheitsimplementierungen ermöglichen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44800108 / Recht & Sicherheit)