Netzwerksicherheit Wie sicher ist das Internet der Dinge mit WLAN?

Autor / Redakteur: David Simon* und Franz Graser / Nico Litzel

Da das IoT für das vernetzte Leben und Arbeiten immer wichtiger wird, müssen Unternehmen Antworten auf Fragen der Netzwerksicherheit finden. Private Pre-Shared Keys (PPSK) können hier Hilfe leisten.

Firma zum Thema

Sicher in die Cloud: In einem IoT-Szenario ist es notwendig zu kontrollieren, wo und wie der Netzwerkschlüssel an die verbundenen Geräte weitergegeben wird. Nur so lässt sich verhindern, dass der ungeschützte Schlüssel einer Klima- oder Beleuchtungsanlage zum Schlupfloch für Angreifer wird.
Sicher in die Cloud: In einem IoT-Szenario ist es notwendig zu kontrollieren, wo und wie der Netzwerkschlüssel an die verbundenen Geräte weitergegeben wird. Nur so lässt sich verhindern, dass der ungeschützte Schlüssel einer Klima- oder Beleuchtungsanlage zum Schlupfloch für Angreifer wird.
(Bild: © fotogestoeber - Fotolia)

Im privaten oder beruflichen Umfeld teilen wir uns ein Funknetzwerk mit anderen Personen und verwenden für die Anmeldung und Authentifizierung in der Regel nur einen einzigen vorab verteilten Netzwerkschlüssel, Pre-Shared Key (PSK) genannt. In einem IoT-Szenario ist es hingegen besser, kontrollieren zu können, wo und wie dieser Schlüssel an die verbundenen Geräte weitergegeben wird. Nur so lässt sich verhindern, dass der ungeschützte Netzwerkschlüssel einer Klimaanlage oder smarten Beleuchtungsanlage zum Schlupfloch für Angreifer wird.

Die Frage ist: Wie sicher sind die Geräte, die sich mit dem Netz verbinden? Im IoT-Bereich sind das meist relativ einfache Produkte, die kaum Mechanismen haben, um sich und das Funknetzwerk wirksam zu schützen. Daher lassen sie sich oft problemlos hacken. Das wiederum führt dazu, dass Zugangsdaten für das Netzwerk und eventuell sogar sensible Unternehmensdaten extrem angreifbar sind.

Smarte Beleuchtung als Einfallstor

Das Ausmaß der Verwundbarkeit zeigten Experten der Security-Firma „Context Information Security“ im Jahr 2014 am Beispiel eines smarten Beleuchtungssystems. Indem sie sich Zugriff auf die zentrale Lampeneinheit verschafften, kontrollierten sie zunächst das Beleuchtungssystem, konnten dann Änderungen an der WLAN-Konfiguration vornehmen und hatten die Kontrolle über das gesamte Gebäudemanagement.

Problematisch bei Beleuchtungssystemen dieser Art und IoT-Geräten generell ist, dass sie in den allermeisten Fällen nur einen einzigen vorab verteilten Schlüssel (PSK) verwenden, um sich mit dem Netzwerk zu verbinden. Das liegt auch daran, dass viele dieser Geräte nur WPA/WPA2 und nicht RADIUS unterstützen.

Vorab verteilte Schlüssel sind kein Garant

Wie die Untersuchung von Context gezeigt hat, sind vorab verteilte Schlüssel keinesfalls ein sicherer Weg, Geräte zu authentifizieren. Auch der Umweg über die Anbindung einer separaten SSID speziell für diese Anforderung ist nicht zu empfehlen, denn jede weitere ausgestrahlte SSID verringert die Gesamt-Performance des WLAN-Netzes – ein Phänomen, das als SSID-Overhead bekannt ist. Was also sollten Unternehmen tun, um die Vielzahl der Geräte sicher und effizient einzubinden?

Zugríffsrechte individuell konfigurieren

Weichenstellung: Die PPSKs (Private Pre-Shared Keys) regeln die Zugangsrechte der Nutzer zum Unternehmensnetz per WLAN.
Weichenstellung: Die PPSKs (Private Pre-Shared Keys) regeln die Zugangsrechte der Nutzer zum Unternehmensnetz per WLAN.
(Grafik: Aerohive Networks)

Zunächst einmal muss der Netzwerkrand genügend abgesichert werden. Das gilt sowohl für den kabelgebundenen als auch drahtlosen Zugriff. Um Geräte dann optimal anzubinden, sollten ihnen einmalige und für jedes Gerät spezifische Anmeldeinformationen zugewiesen und nur begrenzte Rechte eingeräumt werden. Außerdem hilft es, die Aktivität der Geräte zu überwachen: Sollte eine Glühbirne versuchen, auf Facebook zuzugreifen, wüsste ein IT-Administrator sofort, dass etwas nicht stimmt.

So lässt sich verhindern, dass über die Zugangsschlüssel einfacher Dinge Geräte gehackt und kontrolliert werden können, die persönliche Daten enthalten. Im Umkehrschluss heißt das auch: Sollte ein Unbefugter es schaffen, eine LED-Glühbirne zu hacken und bei gleichen Schlüsseln anschließend die komplette Haustechnik kontrollieren, dann muss nicht nur der Schlüssel für die Beleuchtungstechnik geändert werden, sondern auch für die Unterhaltungselektronik, Haushaltsgeräte, Rollo- oder Garagentortechnik.

Private Pre-Shared Keys

Die Funktionalität der Geräte lässt sich einschränken, indem man ihnen private vorab verteilte Schlüssel – sogenannte Private Pre-Shared Keys, kurz PPSK – zuweist, die jeweils unterschiedliche Rechte beinhalten. Ähnlich wie bei 802.1x-basierter Autorisierung, aber ohne die dafür nötigen Zertifikate, lassen sich Gerätegruppen unterscheiden und danach Zugriffsrechte sowie Netzwerkrichtlinien individuell konfigurieren.

Ein Schlüsselsatz kann etwa für den Gast- oder BYOD-Zugang (Bring your own device) genutzt werden, ein anderer hingegen für das Gebäudemanagement. Dabei stellen strikt kontrollierte L2-L7 Firewall-Richtlinien sicher, dass nur die Systeme selbst, nicht jedoch andere Nutzer/Geräte, die sich im Netzwerk eingeloggt haben, Änderungen an der Haustechnik vornehmen dürfen.

Für den Fall des Beleuchtungssystem bedeutet dies, dass ein Unbefugter eine Lampe zwar möglicherweise knacken kann, danach aber dank des PPSK nicht weit kommt, da die Zugriffsrechte auf eine Aktion beschränkt sind. Außerdem kann der gehackte individuelle Schlüssel identifiziert und anschließend unschädlich gemacht werden, während die anderen Schlüssel weiter funktionieren.

Die PPSK implementieren und konfigurieren

Beim Rollout der PPSK gibt es diverse Möglichkeiten. Administratoren können sie per Zugriff auf das zentrale Management-System generieren, oder Mitarbeiter erstellen sie auf der Basis einer Gruppenberechtigung.

Natürlich sind einige Vorkehrungen nötig, um Maschinen- oder Benutzerzertifikate für das EAP-TLS-Standardprotokoll auf IoT-Geräte ausrollen zu können. PPSK und die damit verbundene individuelle Zuteilung von Rechten für Firewalling, QoS, VLAN, usw. bieten aber ein großes Einsatzspektrum und eignen sich für diesen Zweck sehr gut. Jeder Geräte- und Benutzertyp erhält einen einmaligen und spezifischen Netzwerkschlüssel und damit eingeschränkte Zugriffsrechte.

Dadurch können alle möglichen IoT-Geräte einfach an das bestehende WLAN-Netzwerk angeschlossen werden, ohne zusätzliche Module installieren zu müssen. Tausende von privaten vorab verteilten Schlüsseln mit individuellen Verbindungsprofilen lassen sich auf diese Weise vergeben. Eine fremdgesteuerte Lampe kann unter diesen Voraussetzungen nicht zu einem Sicherheitsrisiko für die Beleuchtungsanlage werden, da ihr Netzwerkschlüssel dies nicht zulässt. Selbst bei einem erfolgreichen Hackerangriff bliebe der Schaden begrenzt.

Begrenzte Zugriffsrechte

Die PPSK bilden also eine undurchdringbare Mauer, da sie Geräten oder Benutzergruppen nur begrenzte Zugriffsrechte einräumen und von Administratoren eingeschränkt oder ganz widerrufen werden können. Ferner werden die Regelsätze direkt am Zugang des Netzes angewandt und gelangen dadurch nicht bis zum zentralen Controller. Damit wird zusätzlich zur erhöhten Sicherheit des Netzes auch die Netzinfrastruktur entlastet.

Maßgeschneiderte Zugriffsrechte können Unternehmen also helfen, ihre Daten vor Hackangriffen zu schützen, denn Unbefugte können, wenn überhaupt, nur einen kleinen Teil des Netzwerks erschließen.

Dieser Artikel stammt ursprünglich von unserem Schwesterportal Elektronikpraxis. Verantwortlicher Redakteur: Franz Graser

* David Simon ist Systems Engineer bei Aerohive Networks.

(ID:43276151)