Physische Sicherheit im IoT

Lukas Knuth

Was ist wichtig, was nicht?

Egal wie viele Schrauben oder Riegel das Gehäuse hat: einen ernsthaften Angreifer hält das nicht auf. Auch wenn wir hier von Ihren Kunden reden: Ein IoT Gerät wird immer in potentiell feindlichem Territorium betrieben - vertrauliche Daten sind hier nicht sicher.

Eine alarmierende Anzahl von Geräten, die heute auf dem Markt sind, ignorieren diese Tatsache aber komplett und verwenden Standardbenutzer und/oder Kennwörter, die häufig in jedem Gerät einer Produktlinie eingesetzt werden. Sobald diese Zugangsdaten bekannt sind, sind sie frei im Internet verfügbar. Die Verwendung von Standard-Anmeldedaten umgeht einen integralen Sicherheitsaspekt dieser Systeme, was zwangsläufig zu weniger sicheren Geräten führt. Das Ändern dieser Werkseinstellungen bei der Erstinstallation durch den Benutzer ist ein guter Kompromiss.

Vergessene serielle Anschlüsse oder Debug-Header auf der Produktionshardware vereinfachen den Zugriff auf jegliche Software, die auf dem Gerät ausgeführt wird. In manchen Fällen können diese Schnittstellen sogar verwendet werden, um die volle Kontrolle über die Hardware zu erlangen, zum Beispiel um eine völlig andere Software ausführen zu können. Dies kann sogar das best-abgeschirmte Gerät für eine sehr gründliche Untersuchung offenlegen, was erneut unterstreicht, dass Sie beim Thema Sicherheit keine Kosten sparen sollten.

Eine kurze Checkliste:

  • Verwenden Sie Sicherheitsprotokolle, die nicht auf dauerhaft gespeicherten geheimen Schlüsseln beruhen, die von mehreren Geräten gemeinsam genutzt werden
  • Falls Sie keine Wahl haben, speichern Sie geheime Informationen in einem dedizierten Hardware-Sicherheitsmodul
  • Erzwingen Sie die Vergabe von sicheren Passwörtern bei der Erstinstallation durch den Benutzer
  • Entfernen Sie alle Debug- oder seriellen Header von der Produktionshardware
  • Wenn möglich, verwenden Sie Hardware-Mechanismen, um zeitliche Abläufe mit Zufallskomponenten zu versehen, um Side-Channel-Attacken zu erschweren.

ImagineOn

ImagineOn GmbH
Neusser Str. 27-29
50670 Köln

@imagineoncgn

@AmyxIoT We probably won't find out before we actually start working on an Internet of Things. As of now, it looks… https://t.co/jKq4HGYj4D

+49 221 120 947-0

hi@imagineon.de