Bild 2: Verschiedene Malware-Typen können ein IIoT-System infizieren. (Bild: Analog Devices)
Cyberangriffe auf IoT-Systeme sorgen für Schlagzeilen und zeigen weiterhin die Sicherheitslücken von Netzwerken, Randknoten (Edge Nodes) und Gateways auf. Ein vor kurzem aufgetauchtes Mirai-Botnet infizierte über 2,5 Millionen IoT-Nodes durch Einloggen in Geräte mit Telnet-Servern, bei denen das Standardpasswort unverändert blieb. Das Mirai-Botnet konnte einen DDoS-Angriff (Distributed Denial of Service) auf Server durchführen und den Internet-Zugang in großen Teilen der Welt beeinträchtigen.
Bei Embedded-Sensorsystemen steht die Anbindung an das Internet und die damit verbundene Gefährdung erst am Anfang. Als neuer Bestandteil des industriellen Internet der Dinge (IIoT) fehlen den Sensoren zwei Jahrzehnte der Entwicklung und Absicherung, wie sie Webserver in dieser gefährlichen Umgebung bereits durchlaufen haben.
Bild 1: Ein Spoof täuscht einem Gateway einen bekannten Node vor. Analog Devices
Die vernetzte Welt birgt Risiken
IIoT-Geräte sind im Allgemeinen an ein Netzwerk, oft das Internet, angebunden, wodurch sie Cyberangriffen ausgesetzt sind. Wie in der Epidemiologie verbreitet sich eine Infektion oder Schadcode durch den Kontakt mit anderen Maschinen. Angriffsvektoren existieren dort, wo Systeme mit der Außenwelt interagieren – hier klinken sich Angreifer ein. Die erste Sicherheitsfrage bei der Systementwicklung sollte daher lauten: Benötigt das Gerät wirklich eine Netzwerkanbindung. Denn durch die Netzwerkanbindung erhöht sich das Sicherheitsrisiko enorm.
Sicher gegen Manipulation von außen ist ein System nur ohne Netzwerkanbindung oder zumindest mit beschränkter Anbindung an ein geschlossenes Netzwerk. Viele IIoT-Geräte sind nur deswegen mit Netzwerken verbunden, weil es technisch möglich ist. Aber überwiegt dieser Vorteil die damit verbundenen Sicherheitsrisiken? Darüber hinaus sind ältere Systeme, die mit einem an das Internet angebundenen System interagieren, ebenfalls Gefahren ausgesetzt.
In vielen Fällen müssen ansonsten sichere Netzwerke und Nodes auch mit älteren Netzwerken zusammenarbeiten, die sicherheitsmäßig weit unterlegen sein können. Dies stellt insofern ein neues Problem dar, als dass das größte Sicherheitsrisiko außerhalb des Einflussbereichs des IIoT-Systems liegen könnte. In diesem Fall muss das IIoT-System auch sich selbst innerhalb des Netzwerks schützen. Bild 1 zeigt ein Beispiel für eine Spoof-Attacke (Scherzangriff).
Systeme voneinander isolieren
Ein mögliches Sicherheitskonzept besteht darin, Systeme voneinander oder vom Netzwerk zu isolieren, was die Angriffsoberfläche verringert und die Verbreitung von Malware begrenzt. Für Hochrisikosysteme sollte ein separates oder ein genau überwachtes Netzwerk in Erwägung kommen, das getrennt von anderen Netzwerken ist. Idealerweise sind kritische Systeme komplett von der Außenwelt isoliert.
Beispielsweise kann das Infotainmentsystem ein vernetztes Fahrzeugs noch nie da gewesenen neuen Angriffsvektoren aussetzen. Die Haupt-ECU (Engine Control Unit) und das Infotainmentsystem haben nichts miteinander zu tun und sollten nicht miteinander kommunizieren können. Obwohl sich in Fahrzeugen normalerweise zwei separate CAN-Busse befinden, die kritische Systeme vom Rest der Elektronik trennen, sind sie dennoch auf irgendeine Weise miteinander verbunden. Es ist somit möglich, ein System zu kompromittieren und die Kontrolle über das andere zu übernehmen (Bild 2). Eine strikte Trennung der beide Netzwerke würde das Risiko von potenziell lebensbedrohlich auf ein deutlich geringeres Gefahrenmaß reduzieren.
Datenvorverarbeitung am Rande des Netzwerkes
Viele IIoT-Systeme sind mit einem Cloud Server verbunden, der von den jeweiligen Geräten übermittelte Informationen sammelt und verarbeitet sowie die Geräte selbst verwaltet. Mit steigender Geräteanzahl kann die Cloud nur schwer allen Geräten folgen.
Es ist empfehlenswert, von der Cloud gesammelte irrelevante Daten schnellstmöglich zu löschen. Bestenfalls übertragen Netzwerkknoten von vornherein nur ein Minimum an wichtigen Daten ins Netz. Das erhöht nicht nur die Sicherheit gegen Missbrauch, sondern auch den Nutzen gesammelter Daten. Es ist wichtig, potenziell sensible Informationen zu erkennen, sie zu löschen oder zu verhindern, dass sie ins Netz gelangen.
Eine Datenvorverarbeitung in den Netzwerkendknoten verringert die Menge der an die Cloud zu übertragenden Daten. Je größer die Streuung der Daten an viele Orte, desto schwieriger ist es, sie vertraulich zu behandeln. Jeder innere Netzknoten ist eine weitere mögliche Gefahrenstelle, an der Daten in falsche Hände gelangen können – die Angriffsoberfläche kann schnell exponentiell wachsen. Verbleiben sensible Daten am Netzwerkendknoten, begrenzt das die Angriffsoberfläche und macht einen Diebstahl unwahrscheinlicher.
Bild 2: Verschiedene Malware-Typen können ein IIoT-System infizieren. Analog Devices
Gateway unterstützt unselbstständige Endknoten
Manche IIoT-Geräte sind nicht leistungsfähig genug, um selbstständig als Endknoten zu arbeiten. Eine Lösung dafür könnte eine Mischtopologie aus Cloud- und Edge-Systemen darstellen. Im derzeit entstehenden Fog-Modell verbinden sich die Endknoten zunächst mit einem Gateway, das Daten empfängt und vorverarbeitet, bevor sie in die Cloud gelangen. Ein Gateway kann für viele IIoT-Geräte zuständig sein. Es muss nicht im Batteriebetrieb arbeiten und kann eine wesentlich höhere Verarbeitungsleistung aufweisen, allerdings kostet dieser Ansatz mehr als die eingeschränkte Lösung allein über IIoT-Endknoten.
Zu den größten Herausforderungen im IIoT gehören der Einsatz und das Management von Geräten in großer Anzahl. Weitreichende IIoT-Systeme lassen sich bekanntermaßen schwierig einrichten und konfigurieren. Aufgrund der langen Laufzeit von IIoT-Lösungen erfolgen Installation, Pflege und Wartung der Systeme durch wechselnde Mitarbeiter, wodurch Erfahrungsschatz verlorengeht.
IIoT-Systeme besitzen standardmäßig schwache Authentifizierungsmechanismen und sind somit oft unsicher. Wie beim Mirai-Botnet ersichtlich, loggen sich die meisten Benutzer nicht in IIoT-Geräte ein, um sie zu konfigurieren; meist ist ihnen auch nicht bekannt, dass eine Konfiguration notwendig ist. Diese Systeme müssen daher standardmäßig sicher sein. Es ist davon auszugehen, dass Anwender ein Gerät nie anders konfigurieren und die Standardvorgaben beibehalten. Schwache Passwörter sind hier beispielsweise ein häufiger Fehler und zu vermieden.
Datensicherheit an den Endpunkten
Obwohl es wichtig und notwendig ist, Daten während der Übertragung zu sichern, zielen Angriffe häufiger auf die Endpunkte. Bei Netzwerkschnittstellen darf es daher keine Schwachstellen geben. Ein Gerät am Sensorknoten mit einem entsprechenden Schutz auszustatten stellt eine erste kritische Sicherheitsebene dar, weil die Geräte nicht mehr länger durch die Unternehmens-Firewall geschützt sind. Dies kann besonders für mobile Unternehmensgeräte und IIoT-Sensoren kritisch sein, die sich an entfernten Orten befinden.
Eine eigene Sicherheitslösung muss IIoT-Geräte vor zahlreichen Cyberangriffen schützen und zum Beispiel eine Manipulation der Geräte-Firmware ausschließen. Außerdem muss die geräteeigene Sicherheitslösung gespeicherte Daten schützen, eingehende und abgehende Kommunikation sichern sowie Cyberangriffsversuche erkennen und melden (Bild 3). Erreichbar ist dies nur bei frühzeitiger Einbindung der Sicherheitsmaßnahmen im Entwicklungsprozess.
Für den Schutz von Embedded-Geräten vor bösartigen Angriffen kann es keine Patentlösung geben. Verfügbar sind Lösungen, die ein allgemeines Framework für OEMs bieten. Ein komplettes Sicherheits-Framework muss jedoch die Kernfähigkeiten beinhalten, um bestimmte Geräte, Netzwerke und ganze Systeme zu schützen. Auch muss es flexibel genug sein, um die Lösung an spezifische Anforderungen anzupassen. Gleichzeitig ist sicherzustellen, dass die Lösungen leistungsfähige Sicherheitsfunktionen enthalten.
Bild 3. Bei einem Man-in-the-Middle-Angriff wird ein böswilliger Zugangspunkt zwischen einem Node und einem Gateway eingebracht. Analog Devices
Edge-Systeme vor Infektionen schützen
Wenn ein System infiziert ist, erzwingt es einen unbekannten Betriebszustand. Angriffe von außen übernehmen die Steuerung des Prozessors und schleusen weiteren Schadcode in das System ein. Typischerweise wird die Firmware modifiziert oder durch Schadcode ausgetauscht, sodass sich das System anschließend anders verhält. Sobald so etwas geschieht, ist die Gerätesteuerung durch den Prozessor nicht mehr vertrauenswürdig.
Embedded-Systeme sind oft so entwickelt, dass sie sich von Angriffen nur schwer verlässlich erholen können. Oft bleibt als einzige Möglichkeit ein System zu bereinigen und auf eine erfolgreiche Schadcode-Beseitigung zu verifizieren, den Inhalt aller nichtflüchtigen Speicher physikalisch auf einen externen Reader zu speichern. Anschließend kann eine Verifikation gegenüber der Original-Firmware und im Fehlerfall ein Austausch mit dem Originalcode erfolgen. Bei den meisten Systemen ist dies aufgrund der Art ihrer Entwicklung nicht möglich.
Eine Methode zum Schutz der Systemintegrität ist, den nichtflüchtigen Speicher mit einem physikalischen Schreibschutz in Form eines mechanischen Schalters auszustatten. Wenn der Schalter auf Schreibschutz steht, ist der Speicher physikalisch durch Hardware geschützt (Bild 4). Durch die Verlagerung der Kontrolle über den Speicher auf einen Bereich außerhalb der Prozessor-Domäne ist es unmöglich, ohne physikalischen Zugang zu einem Gerät Malware in das System einzuschleusen.
Sicheres Booten nur mit Originalcode
Ein Secure Boot verhindert, dass nicht autorisierte Software während des Bootens in das Gerät gelangt. Dies ist der Anfang der Vertrauenskette (Chain of Trust). Ein Secure Boot beginnt mit dem First Stage Bootloader, programmiert in einen nichtflüchtigen Read-Only-Speicherbereich am Node. Der Bootloader überprüft lediglich die Authentizität des Second Stage Bootloaders. Der Second Stage Bootloader, der oft komplexer ist und sich in einem wiederprogrammierbaren Flash-Speicher ablegen lässt, wiederholt den Prozess. Er verifiziert die Gültigkeit des Betriebssystems und geladene Applikationen und prüft die Vertrauenswürdigkeit der Quelle.
Ein IIoT-Node mit Secure-Boot- und Firmware-Update-Fähigkeiten sorgt dafür, dass auf dem Gerät nur autorisierter Code läuft. Dies verhindert eine dauerhafte Installation von Malware oder Schadcode. Auf dem Gerät läuft dann ausschließlich Originalcode, andernfalls ist der Boot-Vorgang blockiert.
Signalzugang auf physikalischer Ebene verhindern
Bild 4: Firmware durch einen physikalischen Schreibschutz (Schalter) zu schützen, ist eine effiziente Möglichkeit zum Schutz der Geräte-Integrität. Analog Devices
Physikalische Angriffe zielen auf die Hardwareknoten am Netzwerkrand oder auf Gateways eines IIoT-Systems und können beispielsweise Datendiebstahl am Frontend-Sensor beinhalten. Für solche Angriffe benötigen Hacker oft einen physikalischen Zugang zum System. Ebenfalls möglich sind Aktionen, die lediglich die Effizienz der IIoT-Hardware begrenzen. Angreifer können Nodes manipulieren, um die Kontrolle über Sensoren oder andere Geräte im IIoT zu erhalten. Sie können dann vertrauliche Daten abgreifen und Firmware einschleusen.
Mithilfe einer Malicious-Node-Injection-Strategie können Angreifer physikalisch Schadcode zwischen berechtigten Nodes in ein IIoT-Netzwerk einbringen. Diese Angriffsmöglichkeiten sind bestenfalls bereits in der Entwicklungsphase vorausschauend zu vermeiden. Ein einfaches physikalisches Abgreifen (Probing) von Signalen über Geräteanschlüsse, exponierte Kupfer-Vias oder ungenutzte Steckverbinder lässt sich durch deren Minimierung oder gänzlichen Entfall vermieden.
Falls für das Design nicht absolut notwendig empfielt es sich, technische Hinweise per Geräteaufdruck oder Aufkleber zu entfernen, die potenziellen Hackern zusätzliche Informationen liefern. Obwohl es die Systemkomplexität erhöhen kann, bedeutet eine industrielle Schutzlackierung (Conformal Coating) oder das Vergießen der Platine nicht nur einen Schutz der Hardware vor Umwelteinflüssen, sondern erschwert auch den physikalischen Zugang zu Signalen.
Datensicherheit von Anfang an
Das Thema Datensicherheit (Security) muss bei einem Systemdesign von Anfang an Berücksichtigung finden und sollte Teil der gesamten Entwicklungsphase sein. Bei Security geht es nicht darum lediglich Sicherheitsmerkmale hinzuzufügen, sondern vielmehr um ein Risikomanagement. Sichere Designmethodiken sind unerlässlich für alle IIoT-Systementwicklungen.
Viele der obigen Empfehlungen widersprechen sich und anderen Entwicklungszielen. Sicherheit bereitzustellen beinhaltet normalerweise einen Kompromiss, oft hinsichtlich Kosten, Funktionalität oder Benutzerfreundlichkeit. Manche Kompromisse sind effizient und kostengünstig, während andere viel kosten und wenig nützen.
Hardware mit integrierten Sicherheitsmechanismen
Um Anwender bei der Absicherung des IIoT zu unterstützen, bietet ADI mehrere Prozessoren mit per Hardware implementierten Sicherheitserweiterungen an, die helfen können, die Grenzen des Möglichen bei Edge Nodes auszudehnen. So verfügt der HF-Transceiver ADF7023 über interne AES-Verschlüsselung und nutzt das ISM-Band mit vielen unterschiedlichen Modulationsverfahren.
Der im ADuCM3029 enthaltene Transceiver bietet AES- und SHA-256-Hardwarebeschleunigung sowie einen echten Zufallszahlengenerator und ein Multiparity-geschütztes SRAM. Die Blackfin-DSP-Familie ADSP-BF70X enthält ein embedded OTP-Memory (One Time Programmable) für die sichere Speicherung von Schlüsseln (Secure Key Storage) und ein schnelles Secure Boot. Dies alles gewährleistet, dass das System nach einem Angriff wieder in einen vertrauenwürdigen sicheren Zustand gelangt.
Beim Rollback-Schutzmechnismus der Blackfin-DSPs ermöglicht ein per Hardware realisierter Increment-Only-Zähler die Aktualisierung der Firmware, um Sicherheitslücken nach dem Auftreten zu schließen. Dies, kombiniert mit der Unveränderlichkeit des Schlüsselspeichers, bildet die Basis zur Entwicklung robuster und widerstandsfähiger IIoT-Endknoten.
Ian Beavers
Erik MacLean
(jwa)
