Internet of Things Security

Das „Internet of Things“ (IoT) als sogenanntes „Allesnetz“ mit seinen unterschiedlichen Ausprägungen wie Industrie 4.0, Informations- und Kommunikationstechnologie, Smart Home oder vernetzten Autos ist nur mit einem Höchstmaß an Sicherheit möglich. Dabei gehen die Anforderungen über klassische IT-Sicherheit hinaus. Vielmehr wird hier von der Sicherheit physischer Systeme, der Cyber Physical Security oder eingängiger von der Cybersicherheit gesprochen. Typische Anwendungsfälle sind die Authentifizierung von Komponenten mit ihrer eindeutigen Identität, die Überwachung und Gewährleistung der Systemintegrität sowie der Schutz von Daten und der Kommunikation. Für entsprechende Lösungskonzepte benötigt man integrierte Systemlösungen, die auf sicherer Hardware basieren, die die Infrastruktur und Komponenten vor Angriffen, Betrug und Sabotage schützt.

Kompetenzen und Angebote im Überblick

  • Penetrationstests
  • Analyse von Schwachstellen
  • Side-Channel-Analyse und Fehlerangriffe
  • Fehlererkennung und Fehlertoleranz in digitalen Schaltungen
  • Entwicklung und Verbesserung von Gegenmaßnahmen

Smart Home Kameras weisen erhebliche Mängel auf

Die Durchdringung privater Haushalte mit vernetzten Smart Home-Geräten erhöht das Risiko, Opfer eines IT-basierten Angriffs von außen zu werden. Das Fraunhofer AISEC hat Überwachungskameras für den Innenbereich untersucht, die an Cloud-Plattformen angebunden sind. Dabei wurden erhebliche Sicherheitsmängel bei allen getesteten Geräten unterschiedlicher Hersteller festgestellt. Die IT-Sicherheitsforscher konzentrierten sich bei ihrer Analyse auf die in den Kameras verbauten Steuerungselemente und deren Anbindung an die Cloud-Dienste. Sie fanden heraus, dass sensible Nutzerdaten, beispielsweise Bild- und Videoaufzeichnungen, die in der Kamera gespeichert oder in die Cloud übertragen werden, unzureichend geschützt sind. Angreifer können die Überwachungssysteme aus der Ferne angreifen und manipulieren. Möglich wird das durch das geringe Sicherheitsniveau der Kameras, welche durch unzureichende Absicherung der Datenübertragung in die Cloud, eine Manipulation nicht verhindern können.

Security Solutions for Industrial Automation

© Foto Fraunhofer AISEC

SPS-basierte Industriesteuerungssysteme gegen Manipulation absichern.

Digitalisierung und zunehmende Vernetzung der Produktion erfordern deutlich höhere Sicherheitsstandards in der Industrieautomation als bisher. Denn IT-Angriffe durch Schadsoftware, fehlerhafte Firmware-Aktualisierungen oder gefälschte Bauteile können ganze Fertigungsstraßen zum Stillstand bringen und erhebliche Kosten verursachen. Infineon Technologies und das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) haben eine Lösung entwickelt, die SPS (speicherprogrammierbare Steuerung)-basierte Industriesteuerungssysteme vor unerlaubtem Zugriff und Manipulation schützt.  

Smart Meter Security

Entwicklung eines Sicherheitskonzepts zu Smart Meter Security auf Basis des Protection Profile des BSI

Die Umsetzung des Protection Profile (PP) des BSI für Smart Meter Gateways stellt viele Hersteller vor neuartige Herausforderungen. Hierbei ist insbesondere die Anbindung des Hardware Security Modules und dessen korrekte Einbindung in das Verschlüsselungs- und Authentifizierungskonzept des Gateways eine besondere Herausforderung.

IT-Sicherheitsexperten des Fraunhofer AISEC haben im Rahmen des Projektes SmartMes wesentliche Elemente des Protection Profile nach Version [V01.01.01] mit vergleichbaren Komponenten prototypisch umgesetzt. Weiterhin wurden Sicherheitskonzepte, die über das PP hinausgehen, integriert. So wurde beispielsweise das eingesetzte Hardware Security Module (HSM) dazu verwendet, die Integrität der auf dem Gateway eingesetzten Software sicherzustellen, d.h. unautorisierte Manipulationen können so erkannt werden. Hierzu wurde ein Secure Boot umgesetzt, bei dem das HSM als Vertrauensanker agiert und beim Bootvorgang die Integrität aller Softwarekomponenten (Anwendungen, Betriebssystem, Bootloader etc.) prüft, um sicherzustellen, dass nur Software geladen und ausgeführt wird, die von einer vertrauenswürdigen Quelle freigegeben worden ist.

Die Forscher am AISEC gingen bei diesem Projekt sogar einen Schritt weiter und nahmen den gesamten Lebenszyklus eines Smart Meters und Gateways unter die Lupe. Dabei wurden alle Sicherheitsaspekte von der Herstellung, über die korrekte und sichere Einbringung von Schlüsseln bis hin zu Betrieb und Wartung berücksichtigt.

Projekte

Ecossian - European Control System Security Incident Analysis Network

 

 

Sparks – Smart Grid Protection Against Cyber Attacks