25.01.2021

Whitepaper: Wirksame Sicherheitsmaßnahmen für IoT-Produkte

Unsichere IoT-Produkte machen immer wieder Schlagzeilen. Von Lampen und Kinderspielzeug, über Türschlösser, bis hin zu Fahrzeugen ist bisher kaum ein Gerät verschont geblieben. Auch wenn auf diesen Missstand immer wieder hingewiesen wird, gibt es nur wenig leicht umsetzbare Hilfestellungen, IoT-Produkte sicher zu konzipieren und welche Sicherheitsmechanismen sich dafür eignen. Im Whitepaper "Wirksame Sicherheitsmaßnahmen für IoT-Produkte" erläutert das FZI Forschungszentrum Informatik konkret, wie zwei sicherheitskritische Funktionen von IoT-Produkten – Updates und Fernwartung – sicher umgesetzt werden können.

Um die Sicherheit von IoT-Produkten ist es nicht gut bestellt. Unzählige Schlagzeilen berichten von teilweise gravierenden Schwachstellen in vielen verschiedenen IoT-Produkten. Auffällig ist dabei, das es sich häufig nicht um subtile Implementierungsfehler, sondern um grobe konzeptionelle Fehler beim Systementwurf oder bei der Umsetzung von Standardmaßnahmen handelt. Solche Fehler sind besonders gefährlich, da sich die Schwachstellen einfach ausnutzen lassen und die Behebung sehr aufwändig ist. Dies bestätigten auch Sicherheitsuntersuchungen von IoT-Geräten wie Überwachungskameras, IP-Telefonen und Solarstromspeichern die am FZI durchgeführt wurden. Schwachstellen zeigten sich besonders häufig in den Mechanismen zur Aktualisierung der Software und bei der Fernwartung von Geräten. Diese Mechanismen, die eigentlich der Sicherheit der Geräte dienen sollen, werden so oft selbst zum Sicherheitsproblem.

Die sichere Konzeption von Updates und Fernwartungsmöglichkeiten ist keineswegs trivial. Zudem existieren kaum Leitfäden für Hersteller, die konkrete Empfehlungen zur Umsetzung geben. Aus diesem Grund beschreiben wir jeweils einen konkreten Umsetzungsvorschlag für Softwareupdates und Fernwartung von IoT-Geräten, inklusive konkreter Konfigurationsvorschläge dieser.

Mit diesem Whitepaper möchte das FZI Forschungszentrum Informatik einen Beitrag dazu leisten, die Sicherheit von IoT-Produkten nachhaltig zu verbessern. Die Ergebnisse sind im Rahmen des Projekts „DEAL – Demonstration, Erklärung, Anleitung und Lehre zu Prinzipien der IT-Sicherheit“ (gefördert durch das Ministerium für Wirtschaft, Arbeit und Wohnungsbau Baden-Württemberg) entstanden. 

Das vollständige Dokument steht zum Download zur Verfügung.

Downloads