Das IoT vernetzt immer mehr Geräte. Für ein smartes Haus bietet sich eine WLAN-Infrastruktur an, allerdings nur wenn man den einzelnen Geräten unterschiedliche Schlüssel und nur die wirklich nötigen Berechtigungen einräumt.iStockphoto.jpg
Die wichtigste Verbindungstechnologie für das IoT ist und bleibt WLAN – allein schon, weil diese Infrastruktur längst großflächig existiert. Für die Anbindung an ein Netzwerk bietet sich als Alternative noch Bluetooth Low Energy an: BTLE ist eine weniger weit verbreitete und gegenüber WLAN räumlich eingeschränkte Technologie, die primär mit niedrigem Energiebedarf punktet. Beide Optionen bieten ihre Angriffsflächen, wobei BTLE den Vorteil hat, dass Eindringlinge sich – im Gegensatz zu WLAN – keinen Zugriff auf andere Systeme verschaffen können. Gemein ist beiden Technologien, dass sie eine geeignete Infrastruktur als Implementierungsbasis brauchen. BTLE eignet sich besonders im iBeacon/Alt-Beacon-Umfeld, daher empfiehlt es sich für WLAN-Anbieter bei der Entwicklung von Access-Points, beide Technologien zu kombinieren.
Zunächst gilt jedoch zu klären, wie man bei WLAN-Systemen in IoT-Szenarien die Angriffsmöglichkeiten und Gefahren einschränkt: Damit sich das Internet der Dinge mittels WLAN unternehmensweit durchsetzen kann, sind einige Hürden aus dem Weg zu räumen. Dazu zählt besonders die Frage nach der Netzwerksicherheit.
Netzwerkschlüssel als Sicherheitsrisiko
Im privaten oder beruflichen Umfeld teilen sich die Anwender ein Funknetzwerk mit anderen Personen und verwenden dabei ein- und denselben vorab verteilten Netzwerkschlüssel (Pre-Shared Key, PSK) für die Anmeldung und die Authentifizierung. Das folgt der Annahme, dass reguläre Nutzer kein Risiko darstellen. In einem IoT-Szenario hingegen muss man kontrollieren, wo und wie dieser Schlüssel an die verbundenen Geräte weitergegeben wird. Nur so lässt sich verhindern, dass ein ungeschützter Netzwerkschlüssel zum Einfallstor für Angreifer wird.
Eckdaten
Im klassischen WLAN kennen alle Teilnehmer den Zugangsschlüssel und haben die gleichen Rechte. Für private Netze mir vertrauenswürdigen Teilnehmern ist das noch angemessen; bei einem IoT-Szenario jedoch nicht: Lampen, Kühlschränke und Heizungen immer auf dem höchsten Security-Level zu halten wird sich kaum realisieren lassen. Besser, jedes Geräte erhält seinen eigenen WLAN-Schlüssel, der ihm dann auch nur die zwingend nötigen Zugriffsrechte einräumt.
Die Frage ist also weniger, wie sicher ein Netzwerk ist, sondern eher wie sicher die Geräte sind, die sich mit ihm verbinden. Das IoT vereint meist verhältnismäßig einfache Produkte, die deutlich billiger als ein üblicher WLAN-Client sind (Notebook, iPhone und Ähnliches) und wesentlich weniger Mechanismen haben, um sich und das betreffende Funknetzwerk wirksam zu schützen. Da sie auf eine einfache Konfiguration ausgelegt sind, lassen sie sich meist problemlos hacken. Das wiederum führt dazu, dass Zugangsdaten für das Netzwerk und eventuell sogar sensible Unternehmensdaten extrem verwundbar sind.
Wie groß diese Verwundbarkeit ist, zeigten die Experten der Security-Firma „Context Information Security“ am Beispiel eines smarten Beleuchtungssystems. Indem sie sich Zugriff auf die zentrale Lampeneinheit verschafften, kontrollierten sie erst das gesamte Beleuchtungssystem und danach die Konfiguration des WLAN-Netzwerks. Auf diesem Weg hätten sie das gesamte Gebäudemanagement unter ihre Kontrolle bringen können.
Gemeinsame Geheimnisse
Beleuchtungssysteme und andere Geräte verwenden in den allermeisten Fällen nur einen einzigen vorab verteilten Schlüssel (PSK), um sich mit dem Netzwerk zu verbinden. Das liegt auch daran, dass viele der IoT-Geräte nur WPA/WPA2 unterstützen. Um aber auch bei herkömmlichen Funknetzwerken mit einem einzelnen Schlüssel vor unbefugten Zugriffen geschützt zu sein, müssten die Unternehmen für jedes IoT-Gerät ein eigenes Netzwerk einrichten.
Wie die Context-Untersuchung gezeigt hat, sind vorab verteilte Schlüssel zwar ein bequemer Weg, Geräte zu authentifizieren, aber keinesfalls ein sicherer. Auch die Anbindung einer separaten SSID speziell für diese Anforderung ist nicht empfehlenswert, denn jede weitere ausgestrahlte SSID verringert die Gesamtperformance des WLAN-Netzwerkes – ein Phänomen, das als SSID-Overhead bezeichnet wird. Wie also können Unternehmen die Herausforderung, die Vielzahl der Geräte – das sogenannte iEverything – sicher und effizient einzubinden, meistern?
Verschiedene Schlüssel für den Zugang zu einem gemeinsamen WLAN: Diese Idee ist bei Firmen-WLANs schon oft umgesetzt, um Gäste-Laptops andere Zugriffsrechte zu geben als den Unternehmens-iPads. Im IoT lässt sich das noch sehr viel feiner aufgliedern.Aerohive
Ein Weg, um optimale Voraussetzungen für eine sichere Netzanbindung zu schaffen, besteht darin, den Geräten nur begrenzte Rechte einzuräumen. Denn wer im Internet der Dinge über den Zugangsschlüssel zum Netzwerk verfügt, dem stehen Tür und Tor offen. Er kann nicht nur das Beleuchtungssystem oder den Kühlschrank kontrollieren, sondern auch Geräte, die persönliche Daten erfassen.
Spezifische Zugangs- und Nutzungsrechte
Wenn der Netzwerkzugriff über einen vorab verteilten Schlüssel erfolgt, muss zum einen das Netzwerk gesichert sein, zum anderen sollte die Funktionalität des Geräts eingeschränkt werden, für das die Zugangsdaten gelten. Realisieren lässt sich dies, indem man den Geräten private vorab verteilte Schlüssel (Private Pre-Shared Keys, PPSK) zuweist, die jeweils unterschiedliche Rechte beinhalten.
In einem PPSK-Szenario kann ein Satz von Schlüsseln für den Gast- oder BYOD-Zugang gelten (bring your own device), ein anderer hingegen für das Gebäudemanagement. Dabei stellt eine strikt kontrollierte Firewall-Richtlinie sicher, dass nur die autorisierten Systeme selbst Änderungen an der Haustechnik vornehmen dürfen, nicht jedoch andere Nutzer/Geräte, die sich im Netzwerk eingeloggt haben. Die Beleuchtungssysteme lassen sich durch einen weiteren Schlüsselsatz mit einer eigenen Firewall-Richtlinie steuern, die den Unternehmensanwendern erlauben würde, die Beleuchtung in den Besprechungszimmern, nicht jedoch auf den Fluren ein- und auszuschalten.
Rollout und Konfiguration
Für das Rollout dieser PPSK gibt es verschiedene Strategien. Sie können durch die Administratoren per Zugriff auf das zentrale Management-System generiert werden; es besteht aber auch die Möglichkeit, Mitarbeitern die Berechtigung zu geben, PPSKs auf Grundlage einer Gruppenberechtigung zu erstellen.
Um Maschinen- oder Benutzerzertifikate für das EAP-TLS-Standardprotokoll auf IoT-Geräte wie Klimaanlagen, Barcode-Scanner, Beamer, Beleuchtungssysteme und mehr ausrollen zu können, sind entsprechende Vorkehrungen nötig. Die Integration der PPSK und die damit verbundene individuelle Zuteilung von Rechten (Firewalling, Quality of Service / QoS, VLAN und andere) bieten aber ein großes Einsatzspektrum und eignen sich hierfür sehr gut. Jeder Geräte- und Benutzertyp kann damit einen einmaligen und spezifischen Netzwerkschlüssel erhalten, dem entsprechende Rechte zugewiesen sind. Dadurch ist es möglich, jegliche Arten von IoT-Geräten einfach an das bestehende WLAN-Netzwerk anzuschließen ohne zusätzliche Module installieren zu müssen.
Möglichen Schaden eindämmen
Auf diese Weise können in einem einzigen Netzwerk tausende von vorab verteilten Schlüsseln mit individuellen Verbindungsprofilen einschließlich Firewalls und VLANs vergeben sein. Im Context-Szenario würde dies bedeuten, dass eine fremdgesteuerte Lampe nicht automatisch zu einem Risiko für die gesamte Beleuchtungsanlage werden kann, da ihr Netzwerkschlüssel dies nicht zulässt. Selbst bei einem erfolgreichen Hackerangriff bliebe der Schaden begrenzt.
Die wichtigste Erkenntnis lautet also: Die Zugangsdaten zu einem IoT-Netzwerk dürfen für Eindringlinge nur von geringem Nutzen sein. Entsprechend wichtig ist die einfache und sichere Authentifizierung und Erkennung von Geräten, die sich im Netzwerk anmelden möchten. Maßgeschneiderte Zugriffsrechte können Unternehmen helfen, ihre sensiblen Daten vor Hackangriffen zu schützen, denn Unbefugte können nur einen kleinen Teil des Netzwerks erschließen.
Implementierung
Für eine optimale Implementierung der PPSK eignet sich das WLAN-Authentifizierungsverfahren WPA/WPA2 Enterprise 802.1x. Gleichzeitig kann eine Firmen-Infrastruktur auch 802.1x mit verschiedensten anderen Authentifizierungsprotokollen unterstützen, etwa für Firmen-Notebooks oder Tablets. Dabei können IT-Verantwortliche mit einem bestehenden Radius-Server oder mit sogenannten Local-Radius-Servern arbeiten, die sie aus HA-Gründen (High Availability) auf bis zu vier Access-Points betreiben können.
Mit Wi-Fi Pineapple können Admins ihre eigenen WLAN-Strukturen auf Schwächen untersuchen.Aerohive
Alle Konfigurationen wie Firewalling, QoS, PPSK, PPSK-Gruppen und Radius-AAA-Client-Einstellungen werden über Netzwerk-Richtlinien in einem globalen Network-Management-System abgebildet, Zertifikate aber nur auf Network-Devices wie Access Points (Radius-Funktion), nicht aber auf die Endgeräte, ausgerollt. Dafür werden MDM-Systeme genutzt oder mit dem im Unternehmen vorhandenen Client-Management-System realisiert, beispielsweise Microsoft Group-Policy.
Sicherheit im Griff
Da das IoT für das vernetzte Leben und Arbeiten immer wichtiger wird, müssen Unternehmen Antworten auf drängende Sicherheitsfragen finden. Dabei ist zu bedenken, dass sich das Internet der Dinge ständig weiterentwickelt und ausdehnt. Sicherzustellen, dass die Infrastruktur all diesen Szenarien gewachsen ist, wird eine anspruchsvolle Aufgabe.
Bei aller Wichtigkeit der aktuellen IoT-Debatten rund um das Gebäudemanagement und persönliche Schnittstellen zum Unternehmensnetzwerk darf nicht vergessen werden, dass sich der eigentliche IoT-Kosmos wie vernetzte Autos und Infrastrukturen gerade erst entfaltet. Angesichts dieser Zukunftsvision gewinnen Sicherheitsbedenken eine zusätzliche Dringlichkeit – und mit ihnen Lösungen, die diese Bedenken ausräumen.
David Simon
(lei)
