Internet der Dinge

Fünf Überlegungen zur Entwicklung sicherer IoT-Systeme

| Autor / Redakteur: David Kleidermacher * / Franz Graser

2. Verwenden Sie eine sichere Plattform-Architektur

Schaubild 1: Eine Architektur für IoT-Geräte wie etwa Point-of-Sale-Systeme. Die PoS-Architektur nutzt eine leichtgewichtige kritische Applikation, den Tokenizer, um die personenbezogenen Informationen zu verarbeiten. Der Tokenizer läuft direkt auf einem hochsicheren Mikrokernel-Hypervisor.
Schaubild 1: Eine Architektur für IoT-Geräte wie etwa Point-of-Sale-Systeme. Die PoS-Architektur nutzt eine leichtgewichtige kritische Applikation, den Tokenizer, um die personenbezogenen Informationen zu verarbeiten. Der Tokenizer läuft direkt auf einem hochsicheren Mikrokernel-Hypervisor. (Bild: Green Hills Software)

Die Plattform-Sicherheit von IoT-Einrichtungen beginnt mit einer Hardware Root of Trust unterhalb jeglicher Softwareebene. Dabei handelt es sich im einfachsten Fall um einen manipulationssicheren Code-Schlüssel-Speicher, der zumindest ein sicheres Booten der Firmware und der zugehörigen sicherheitskritischen Komponenten garantiert.

Die Boot-Sequenz muss Hardware-rooted Code-Schlüssel verwenden, um diese Komponenten vor dem Start einer Signaturprüfung zu unterziehen. Anschließend kann die Hardware Root of Trust auch für die Fernabfrage und zum Schutz der Code-Schlüssel für die Authentifizierung und Verschlüsselung verwendet werden. Falls ein Angreifer versucht, kritische Software mit Schadcode zu überschreiben, wird der Beglaubigungsprozess dies erkennen.

Nach dem sicheren Start ist die ausführende Software (Betriebssystem, Hypervisor oder TEE) der wohl wichtigste Baustein für sichere IoT-Einrichtungen. Es lassen sich keine sicheren Anwendungen oder IoT-Einrichtungen auf einem unsicheren Betriebssystem oder Hypervisor entwickeln. Diese Software Root of Trust hat idealerweise folgende Eigenschaften:

  • Hohe Sicherheit: design- und implementierungs-zertifizierbar nach strengsten Sicherheitsstandards (etwa Common Criteria EAL 7), einschließlich formalem Sicherheitsnachweis;
  • Skalierbar: in der Lage, einfache Echtzeit-Lasten bis hin zu umfassenden Linux-Betriebssystemen und Stacks zu unterstützen (und beides gleichzeitig);
  • Offen: mit einer Laufzeitumgebung und API, die offenen Standards entspricht und Interoperabilität sowie Software-Wiederverwendung fördert.

Diese Prinzipien zur Plattform-Architektur geben Entwickler ein leistungsfähiges Tool-Paket an die Hand, mit dem sie sichere IoT-Systeme erstellen können. Um dies zu demonstrieren, dient der Hackerangriff auf die Target Corporation als Beispiel (der zweitgrößte Discount-Einzelhändler in den USA).

Wie hätte man diesen Angriff verhindern können? In die PoS-Terminals (Point of Sale) von Target und Home Depot (größte Baumarkt-Kette in den USA) wurde Schadsoftware eingeschleust, die Kontrolle über die Speicherinhalte (RAM) übernahm und so persönliche Informationen abgriff.

Eine fortschrittliche PoS-Architektur würde ein depriviligiertes OS und eine einfache sicherheitskritische Anwendung (Tokenizer) nutzen, um persönliche Informationen zu verarbeiten. Der Tokenizer läuft direkt auf einem Thingvisor, einem hochsicheren Mikrokernel-basierten Hypervisor, und verwaltet das Kartenlesegerät, über das die Zahlung erfolgt.

Der Tokenizer nutzt eine sichere Verbindung zu einem Backend-Web-Service, um persönliche Informationen abzugleichen, führt eine virtuelle Kartenabfrage durch und erstellt ein Token. Dieses wird an das OS des PoS-System weitergeleitet. Das OS kann zwar durch Schadsoftware infiltiert sein, es können jedoch keine persönlichen Informationen gestohlen werden.

Die Thingvisor-basierte PoS-Architektur ist in Schaubild 1 dargestellt und wurde auf der NRF Big Show (US National Retail Federation's Annual Convention & EXPO) demonstriert. Target hat dieses Konzept verpasst, aber es ist noch nicht zu spät für das Unternehmen und andere Einzelhändler, einen solchen vertrauenswürdigen Ansatz für PoS-Systeme zu installieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43115031 / Recht & Sicherheit)