SSV Software Systems

Cyber-Resilienz für IoT-Anwendungen

25. Mai 2022, 8:59 Uhr | Meinrad Happacher
Cyber-Resilienz für IoT-Anwendungen
© Melinda Nagy/stock.adobe.com

Hinsichtlich der Widerstandsfähigkeit gegen Cyberangriffe gibt es nach wie vor großen Handlungsbedarf – insbesondere in Anwendungen mit vollautomatischen Software-Update-Funktionen.

Der Alltag unzähliger Menschen und Organisationen ist immer enger mit der intensiven Nutzung digitaler Kommunikations- und Informationssysteme verknüpft. Ein vollständiger Ausfall dieser Technik wäre eine Katastrophe. Bereits einige gestörte Teilfunktionen können schon größte Schäden verursachen. Neue digitale Anwendungen werden von den Anbietern allerdings in immer kürzeren Zeitspannen entwickelt und auf den Markt gebracht, um dem immensen Wettbewerbsdruck in der IoT-Welt standzuhalten und die immer anspruchsvolleren Kundenanforderungen umzusetzen. Automatisierte Remote-Update-Lösungen – Over-the-Air-Updates (OTA) – dienen dazu, erkannte Schwachstellen zu beseitigen und nachträgliche Weiterentwicklungen zu verbreiten. Durch primär funktionszentrierte Innovationen und OTA-Updates entstehen allerdings neue Schwachstellen, die Cyberangreifer ausnutzen können.

Update-Angriffe

Zu den Lieferketten von IT-Systemen gehören auch OTA-Update-Anwendungen, wie sie von PCs, Notebooks und Smartphones bekannt sind. Bei vielen IoT-Geräten sieht es inzwischen nicht anders aus. Software-Lieferketten sind allerdings inzwischen auch ein Angriffsziel. Solche Supply-Chain-Angriffe sind nicht neu. Schon vor Jahrzehnten haben staatliche Dienste damit begonnen, Kommunikationssysteme und Computer auf dem Versandweg abzufangen, um die Hardware- und Softwarekomponenten zu manipulieren. Dadurch war während des späteren Betriebs ein unautorisierter Zugriff auf diese Geräte möglich. Auch routinemäßige Servicearbeiten am Einsatzort, die für derartige Manipulationen genutzt werden, fallen in die Kategorie der Lieferkettenangriffe. Solche Angriffsmethoden wenden aber nicht nur staatliche Dienste an. Auch die organisierte Kriminalität hat über Lieferkettenangriffe schon Geld- und Spielautomaten manipuliert oder vertrauliche Firmendaten abgegriffen und weiterverkauft.

Bedingt durch den technischen Fortschritt müssen die Angreifer aber inzwischen nicht mehr die Verpackung und das Gehäuse der zu manipulierenden Baugruppen öffnen oder sich überhaupt einen physischen Zugriff auf die Geräte verschaffen. Sie hacken sich stattdessen einfach in die Lieferketten für Software-Updates und sorgen dafür, dass eine manipulierte Firmware in die jeweiligen Zielsysteme ein- gespielt wird. Dadurch haben die Angriffe eine sehr viel größere Reichweite, als der manipulative Eingriff im Einzelfall wie etwa in Bild 1 zu sehen ist.

Cyber-Resilienz für IoT-Anwendungen
Bild 1. Der Schwachpunkt einer OTA-Update-Lösung ist der zentrale Server im Internet. Dort werden die vom Maintainer hochgeladenen Update-Dateien zwischengespeichert und von den Zielsystemen (Target Devices) direkt oder indirekt heruntergeladen. Verschafft sich ein Angreifer den Zugriff auf den Update Server, kann er alle Target Devices im Supply Chain manipulieren.
© SSV Software

Für sehr großes Aufsehen sorgte in 2021 der SolarWinds-Orion-Hack, mit dem mittels manipulierter Software-Updates ein Backdoor installiert wurde. SolarWinds liefert einen sehr populären und weit verbreiteten Network-Performance-Monitor, der als Management- und Überwachungswerkzeug für lokale, Hybrid- und Cloud-Dienste genutzt wird. Das Produkt setzen sehr großen Firmen (beispielsweise 425 Unternehmen der US-Fortune 500) und Regierungsorganisationen ein. Es lassen sich verschiedene Komponenten einbinden; praktisch alles, was in einem Netzwerk überwacht werden soll – Router, Switche, Server. Es sind auch globale Topologien überwachbar, etwa das gesamte Netzwerk eines weltweit tätigen Konzerns.

Auch der Ausfall des Satellitennetzwerks KA-SAT (Eutelsat), das zigtausend Kunden als Internetzugang nutzen, basiert wohl auf einem OTA-Supply-Chain-Angriff. Als Folge davon waren seit dem 24. Februar 2022 rund 6.000 Windkraftanlagen eines Anlagenbauers aus Aurich für mehrere Wochen nicht mehr durch Fernzugriffe erreichbar. Wie der Cyberangriff genau abgelaufen ist, wird noch untersucht. Beschädigt wurden durch die Attacke die einzelnen KA-SAT-Modems, so dass sie jeweils vor Ort ausgetauscht werden müssen.

Integrierte Widerstandsfähigkeit

Intelligente Cyberangriffe in Form manipulierter Software-Updates lassen sich auch im Internet der Dinge nicht verhindern. Es lässt sich allerdings eine Cyber-Resilienz herstellen. Ganz allgemein ist darunter die Fähigkeit eines IT-Systems zu verstehen, den Betrieb auf einem halbwegs normalen Niveau aufrechtzuhalten, obwohl ein erfolgreicher Cyber- angriff stattgefunden hat. Dem US-amerikanischen National Institute of Standards and Technology (NIST) zur Folge basiert IT-Widerstandsfähigkeit auf den drei Elementarbausteinen Protection, Detection und Recovery. Insofern sind Hersteller und Betreiber gemeinsam gefordert. Der erste Baustein entspricht dem „Security by Design“ durch den Hersteller. Die beiden weiteren Aufgaben erfordern beim gegenwärtigen Stand der Technik ein Mitwirken der Betreiber. Da IoT-Cyber-Resilienz auch ein Forschungsthema ist, sind in Zukunft wohl auch vollständig automatisierte Verfahren zu erwarten.

Vertrauensketten als Basis

Um Cyber-Resilienz in der IoT-Praxis umzusetzen, sind in erster Linie Vertrauensanker (Root of Trust, RoT) sowie darauf aufbauende Vertrauensketten, (Chain of Trust, CoT) nötig. Unter einem RoT ist in diesem Umfeld eine kryptografische Lösung zu verstehen, die auf jeden Fall fest in der Baugruppen-Hardware verankert ist. Der CoT nutzt einen RoT als Ausgangspunkt und bildet insgesamt eine Funktionskette verschiedener Bausteine, die mittels kryptografischer Verfahren eine nachprüfbare Sicherheit schaffen. CoT-Implementierungen dienen üblicherweise zur Realisierung komplexer sicherheitsrelevanter Aufgaben, wie beispielsweise die gesamte Firmware-Laufzeitumgebung (Protection) einer eingebetteten Rechnerplattform, inklusive der automatischen Erkennung eines fehlerhaften Systemverhaltens (Detection) und der erforderlichen Maßnahmen zur Wiederherstellung eines validen Ausgangszustands (Recovery).

Hinsichtlich der RoT-Security-by-Design-Anforderungen reicht eine SD-Speicherkarte mit einer MD5-Prüfsumme, die in der Frontplatte einer industriellen IoT-Baugruppe steckt, definitiv nicht aus. Gleiches gilt für interne USB-Sticks oder ähnliche einfach tauschbare Steckmodule. Aus heutiger Sicht wäre zumindest ein fest aufgelöteter geräteinterner Halbleiter-Chip erforderlich, der sich nur mit einem aufwendigen SMD-Rework-Prozess plus dem dafür notwendigen Spezialwerkzeug tauschen lässt. Da aber jedes Gerät oder System von einer Person mit ausreichend Wissen, Ausrüstung und Zeit manipulierbar ist, lässt sich je nach dem anwendungsbezogenen RoT-Sicherheitsanspruch auch noch eine Manipulationserkennung hinzufügen, um den Rework zumindest nachträglich zu erkennen.

Cyber-Resilienz für IoT-Anwendungen
Bild 2. Chain of Trust einer IoT Device: Ein SoC-Hardware-Reset startet den Baustein A. Der prüft mit dem Public Key PK-A die digitale Signatur das Embedded Betriebssystems (DS-B in der Komponente B). Ist die Prüfung erfolgreich, übernimmt B die Kontrolle über den SoC. Auf die gleiche Art und Weise kann B nun bei Bedarf die Firmware-Komponenten C und D sicher starten.
© SSV Software

Der zweite wichtige Sicherheitsaspekt ist das kryptografische Verfahren, das sowohl der RoT als auch der CoT verwendet. Hier sind beispielsweise der Einsatz moderner Hash-Verfahren – etwa eine SHA-3-basierte Challenge-Response – oder digitale Signaturen mit Private Key und Public Key unter Zuhilfenahme asymmetrischer Kryptosysteme möglich. Bild 2 liefert hierzu ein IoT-Hardwarebeispiel mit vier Firmware-Komponenten A, B, C und D. Baustein A ist der Bootloader des zum Einsatz kommenden System-on-Chip (SoC), der zusammen mit einem Public Key in einem SoC-internen (unveränderbaren) Trusted-Funktionsblock gespeichert ist. Public Keys plus digitale Signaturen inklusive der dazugehörenden Prüfverfahren bilden hier die geräteinternen CoT-Kernfunktionen.

Betriebsüberwachung erforderlich

Auch mit sicheren Vertrauensketten lässt sich ein erfolgreicher Supply-Chain-Angriff nicht vollständig verhindern. Daher sind Detection und Recovery wichtige Cyber-Resilienz-Methoden. Manipulierte IoT-Baugruppen lassen sich vielfach über ein ungewöhnliches Verhalten in Bezug auf die Kommunikationsbeziehungen zu anderen Systemen detektieren.

Bei einem IoT-Sensor etwa, der als Baustein einer Condition-Monitoring-Anwendung in das Produktionsnetzwerk einer digitalisierten Fabrik eingebunden ist, ist davon auszugehen, dass dieser Sensor lediglich drei Kommunikationsbeziehungen benötigt: Zum einen sind die jeweiligen Messdaten an ein übergeordnetes Zielsystem weiterzuleiten. Zum anderen ist eine Verbindung zu einer Quelle für Software-Updates und veränderte Konfigurationseinstellungen sowie zu einem externem Authenticated Watchdog Timer (AWDT) sinnvoll. Anders als die Workstation des Produktionsleiters muss der IoT-Sensor nicht täglich andere IP-Adressen innerhalb der Fabrikumgebung oder sogar im Internet kontaktieren. Insofern sollte die IoT-Baugruppe einer industriellen Anwendung nur die Rechte und Zugriffsmöglichkeiten erhalten, die zur Aufgabenerfüllung erforderlich sind („Principle of least privilege“-Konzepte nutzen). Darüber hinaus sollten die Kommunikationsbeziehungen innerhalb des Netzwerkssegments automatisch überwacht werden. Bei entsprechenden Auffälligkeiten erfolgt die Auslösung eines Recovery und der IoT-Sensor wird in einen Ausgangszustand zurückversetzt. Sprich: es erfolgt ein Safe Fallback, etwa über das AWDT-getriggerte Booten einer Recovery-Software von einem schreibgeschützten Medium aus.


Verwandte Artikel

SSV Software Systems GmbH

Safety & Security