Internet der Dinge - zu Risiken und Nebenwirkungen bitte vorab Gedanken machen! - VDE Berlin-Brandenburg
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Prof. Dr.-Ing. Jochen H. Schiller
Computer Systems & Telematics @ Freie Universität Berlin
Einstein Center Digital Future
Internet der Dinge –
zu Risiken und Nebenwirkungen bitte vorab
Gedanken machen!
ETV- Donnerstagslektionen
www.vde-etv-berlin.de
8. März 2018
Überblick – viele Fragen!
• Internet der Dinge – ist das neu?
• Falls ja – was ist neu? © GE Lighting 2017
History Repeating
• Ein Schritt zurück… The word is about, there's something evolving,
Whatever may come, the world keeps revolving...
• Welche Entwicklungen prägen die IKT die They say the next big thing is here,
That the revolution's near,
letzten Jahrzehnte? But to me it seems quite clear
• Beherrschen wir „klassische“ IT-Systeme? That's it's all just a little bit of history repeating.
• Wissen wir, was wir tun? The newspapers shout a new style is growing,
But it don't know if it's coming or going,
• Zurück zum Internet der Dinge There is fashion, there is fad
Some is good, some is bad
• Ist das sicher? And the joke rather sad,
That it's all just a little bit of History repeating.
• Wie kann es in sicherheitskritischen
Systemen genutzt werden? And I've seen it before
And I'll see it again
• Gibt es ein Geschäftsmodell? Yes I've seen it before
Just little bits of history repeating
• Was ist zu tun? …
Propellerheads feat. Shirley Bassey
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 3
Seit 30 Jahren: Konvergenz zu einer Netzwerktechnologie
„Klassisches“
Mobile Netze
Internet
GSM FTP
Festnetze Kabelnetze
GPRS WWW
UMTS Web2
PSTN P2P Broadcast
LTE
ISDN VoD
Heimnetze
Firmennetze DSL iTV
Content
UMS Sharing
3/4/5G VoIP IPTV
WiFi
WiMax Communities
Eine
Technologie
(Alles über IP)
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 4
Neu: Konvergenz mit neuen Anwendungen
„Klassisches“ Internet der
Mobile Netze Dinge
Internet
GSM FTP
Industrie-
Festnetze steuerung
WWW Kabelnetze
GPRS
UMTS Web2
PSTN P2P Broadcast Energie-
LTE versorgung
ISDN VoD
Heimnetze
Firmennetze DSL iTV
Medizin-
Content geräte
UMS Sharing
3/4/5G VoIP IPTV
WiFi
Autonome
WiMax Communities Fahrzeuge
Eine
Technologie
(Alles über IP)
…
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 5
Aktueller Hype: Das Internet der Dinge
Fahrzeuge, Personen… Landwirtschaft Energie Sicherheit Gebäudeauto-
Überwachung Überwachung matisierung
Eingebettete
Systeme
Maschinenkommunikation
Sensornetze Alltagsgegenstände Smart Home / City Gesundheitsbereich
Quelle: The Telecare Blog, thetelecareblog.blogspot.de, 24.10.14
Eine Basistechnologie für alles!
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 6
Aktueller Hype
IoT - Platform
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 7
Aktueller Hype: Das Internet der Dinge
© Business World, 2018
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 8
Aktueller Hype: Das Internet der Dinge … nun ja …
© Amazon, 2018
© Business World, 2018
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 9
Internet der Dinge – ist es wirklich neu? 1991: Mark Weiser - The Computer for the 21st Century, allgegenwärtige IT-Nutzung, verschwindende Computer 1999: Kevin Ashton - Prägte den Ausdruck Internet of Things im Zusammenhang mit Logistik/Versorgungsketten, erweiterten Funketiketten Netzwerk von miteinander verbundenen, typ. eingebetteten Kleinstrechnern - Datensammlung und -verteilung, Internet-Technologien als gemeinsame Basis, umfasst erweiterte RFID, Funksensornetze, Aktoren, Mobilkommunikation, cyber physical systems, „intelligente“ Objekte, … - Nächste Generation eingebetteter Systeme + Funksensornetze + Aktorik + Internet-Protokolle + … Bereits heute gibt es viel mehr miteinander kommunizierende Systeme als Menschen – über 10 Milliarden In der Zukunft: - Manche Schätzungen > 25 Milliarden 2020, andere Schätzungen > 50 Milliarden – ok, es sind SEHR viele … - Wie immer hohe Erwartungen: 202x - 1 Billion € Umsatz pro Jahr geschätzt von GSMA Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 10
Großes Wachstum erwartet Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 11
Was ist nun wirklich neu beim Internet der Dinge?
Miniaturisierung
- MEMS, smart everything, eingebettete Objekte
Verfügbarkeit vieler „neuer“ Technologien
- Cloud computing, big data, IPv6, 6LoWPAN,
content centric networking, angepasste Betriebssysteme…
Deutlich beschränktere Komponenten
- Zumindest am Anfang bzgl. Firewalls, Antivirus, … © iecetech.org
- ABER es werden die gleichen/ähnliche Protokolle und Schnittstellen genutzt
Komplexität
- Funktion(Anzahl an Knoten, Topologie, Verkehrsmuster, Stabilität, Altlasten, ?)
Quelle: RIOT OS, www.riot-os.org
1,5 kByte RAM, 5 kByte ROM,
Alles kommt nun zusammen! echtzeitfähig, multi-threaded
- Möglichkeiten und Verletzbarkeiten…
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 12Chancen – Herausforderungen – Risiken
Fakt: Rasante Entwicklung dank Miniaturisierung
Chancen
- Kostensenkung dank Vereinheitlichung der Technologien (alles „spricht“ Internet)
- Vermeidung von vendor lock-in, Nutzung von COTS-Komponenten, Profitieren von allgemeiner
Entwicklung, einfache Schnittstellen, Integration kommerzieller/öffentlicher Systeme, …
- Verbessertes Lagebild durch höher aufgelöste Echtzeitdaten
- Höhere Anzahl einfacher Sensoren, mobile Systeme, vereinfachte Vorverarbeitung, …
- Gezieltere Eingriffe durch verteilte Aktuatorik
- Aktuatoren vor Ort mit direktem Eingriff, lokale Regelkreise, … S
S
GW GSM, UMTS, LTE …
- Robustheit durch teilautonome Systeme S S S
S
GW
- Erhöhte Ausfallsicherheit durch Edge-Computing, S
S
S
vereinfachte Redundanz, Dezentralisierung, … S
GW
S
- … GW S
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 13Vernetzte Systeme – Dinge kommunizieren mit Dingen (und Menschen)
Irgendwie miteinander
verbunden…
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 14Robustheit bei Extremereignissen? Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 15
Chancen – Herausforderungen – Risiken
Herausforderungen (werden zu Risiken, wenn nicht angegangen…)
- Können wir die Komplexität der Netze beherrschen?
- Komplexität = Funktion(Anzahl an Knoten, Topologie, Verkehrsmuster, Stabilität, Altlasten, ?)
- Anzahl an Knoten: > 7 Mrd. mobil, > 1 Mrd. fest, > 30 Mrd. IoT
1969 … 2000 … 2018
© Steve Jurvetson / CC BY 2.0
Scan of ARPANET logic map, circa 1969, © SRI International
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 16Beherrschbarkeit der Komplexität
• 2006-16 bereits ~40 Mio. € p.a. Schaden durch
bekannte Cyberkriminalität in klassischen Systemen in
Banken
Deutschland (hohes Dunkelfeld!)
• Jetzt Interaktion vielfältiger Systeme – von der
Gebäudesteuerung über die Logistik bis zur
Energieversorgung
• Große Datensammlungen – big data – Datenschutz?
• Wer ist Täter? OK, Staaten, Softwarefehler,
Systemkomplexität, …?
• Wer hat das Heft des Handelns noch in der Hand? Industrie
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 17„Ungeahnte“ Zusammenhänge – siehe z.B. 28.2.2017
(Handelsblatt, 2.3.17)
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 18Blackout
Software- Fehler
Hacker-Angriff
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 19Nur SEHR wenige kennen sich wirklich in einem Notfall aus!
„The Internet is not Enterprise
in Star Trek, but rather an
18th century sailing ship with
a small crew pulling the ropes.“
- Senior IT Security Consultant
Image: www.soic.se
- Es wird geschätzt, dass es weltweit nur etwas tausend Menschen gibt, welche das Internet nach
einem ernsten Vorfall „neustarten“ können (und das wird dauern …)
- Leider können SEHR viele Menschen Fehler verursachen (wobei es auch hier zum Glück nur
wenige Profis gibt, die allerdings ihre Dienste anbieten…)
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 20Umgang mit Altlasten: Beispiel Heartbleed • Schwerwiegender Programmfehler durch den über verschlüsselte Verbindungen private Daten ausgelesen werden können. • Ein großer Teil der Online-Dienste, darunter auch namhafte Websites, wie auch VoIP- Telefone, Router und Netzwerkdrucker, waren dadurch für Angriffe anfällig. • Der Fehler wurde am 7. April 2014 behoben. • Tragweite: „Katastrophal ist das richtige Wort. Auf einer Skala von 1 bis 10 ist dies eine 11.“ (Bruce Schneier) • Problem erkannt – Problem gelöst? Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 21
Heartbleed heute Situation in Deutschland 4 Jahre nach Korrektur des katastrophalen Programmfehlers • 10000 vom Internet erreichbare Geräte in D immer noch angreifbar • Auch Installationen auf zertifizierten Systemen + Firewalls Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 22
Herausforderungen des Internets der Dinge
- „Das Internet der Dinge (Internet of Things, IoT) wird neue Angriffsflächen bieten, da die meisten IoT-Geräte
keine eingebaute Sicherheit bieten und es auch nicht möglich ist, nachträglich Sicherheitssoftware zu
installieren. Falls kompromittiert, können diese Geräte ein Einfallstor für Hacker in die IT bieten, welches
monatelang unbemerkt genutzt werden kann.“ (DarkReading, www.informationweek.com, 22.12.16)
- Sehr große Heterogenität der Systeme (Hardware, Schnittstellen, Betriebssysteme)
- Sehr lange Lebenszyklen, teilweise tief integriert
- Wie heute schon Sicherheit für in 30 Jahren integrieren?
- Ein erster Ansatz: Sicherheitszertifizierte IoT-Systeme und Produkthaftung
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 23Typische Angriffsszenarien mit Dingen
28.2.2018: OMG-Botnet macht aus IoT-Geräten Proxys
• https://www.heise.de/security/meldung/
OMG-Botnet-macht-aus-IoT-Geraeten-Proxys-3982037.html
„So gibt es mehr als 5,3
Millionen anfällige IoT-Geräte
in Spanien, und davon mehr
als 493.000 in Barcelona, wo
gegenwärtig der MWC
stattfindet.“ (heise, 03/2017)
https://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 24Beispiel Photovoltaikanlagen Cyber-Angriff auf Solaranlagen lassen Energienetze durch Dominoeffekt zusammenbrechen - Das Horus-Szenario (https://horusscenario.com/) – siehe auch 50,2 Hz-Problematik, Blackout, … - 30-50% Solarenergie in Deutschland – schnelles An- und Abschalten lässt Energienetze zusammenbrechen - Viele Schwachstellen in Wechselrichtern gefunden und darüber Hersteller vor der Veröffentlichung auf der Konferenz SHA2017 informiert Aufschlussreiche Antworten des Herstellers (https://www.sma.de/fileadmin/content/global/specials/ documents/cyber-security/Whitepaper-Cyber-Security-AEN1732_07.pdf) - Nur manche Modelle seien betroffen, alle anderen nutzen „die neuesten Sicherheitsstandards“ - Alle Geräte, die nicht mit dem Internet verbunden sind, sind nicht betroffen ABER: - Wechselrichter (ab gew. Leistungen) MÜSSEN per Gesetz durch den Netzbetreiber fernsteuerbar sein - Zusätzlich nutzen diverse Webdienste der betroffenen Hersteller unverschlüsselte Datenübertragung, Austausch von Nutzername/Passwort inklusive PIN für das SIM - Warum weiß niemand so genau… Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 25
Internet der Dinge im Gesundheitsbereich
• “Global Internet of Things (IoT) in Healthcare Market is expected US IoT/Healthcare Market
to reach nearly $410 billion by 2022” (GrandView Research).
• Sehr viel Kollateralschaden möglich
• Aber auch gezielte Angriffe MEDJACK (medical device hijack)
• Ungesicherte Systeme „innerhalb“ eines Krankenhauses: HW,
SW, Gebäudeautomatisierung, Leuchten, Türschloss, WLAN,
Patientenrechner etc.
Typische durch MEDJACK verwundbare
Geräte umfassen Diagnosesysteme (MRT, CT,
• Aktualisierungen bzw. Verbesserungen der Software ist schwierig PET …), therapeutische Systeme
bzw. teilweise schlicht verboten (Infusionspumpen, Laser, OP-Roboter…),
lebenserhaltende Systeme (Herz-Lungen-
Maschine, Dialysesysteme…) etc.
• Firewalls können „Uraltangriffe“ oft gar nicht mehr erkennen
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 26Ist das Internet der Dinge sicher?
OWASP Internet of Things Top 10:
1. Unsichere Web-Schnittstelle
2. Ungenügende Authentifizierung/Autorisierung
3. Unsichere Netzwerkdienste
4. Fehlende Transportverschlüsselung
5. Verletzung des Datenschutzes
6. Unsichere Cloud-Schnittstellen
7. Unsichere mobile Schnittstelle
8. Ungenügende Konfigurationsmöglichkeiten bzgl. Sicherheit
9. Unsichere Software/Firmware
10. Schlechte physische Sicherheit
Open Web Application Security Project (OWASP), www.owasp.org
Wo ist der Unterschied zu „klassischen“ mobilen oder festen Netzen?
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 27Internet der Dinge in sicherheitskritischen Anwendungen?
Wesentliche Unterschiede zu „klassischen“ mobilen oder festen Netzen
- Viel höherer Vernetzungsgrad
- Dinge kommunizieren mit anderen Dingen, spontan, ad-hoc
- Viel mehr Schnittstellen
- Drahtgebunden und drahtlos, immer in Betrieb
- Viel mehr „Netzbetreiber“ und Hersteller mit viel weniger Erfahrung im Vergleich zu klassischen Systemen
- Installiert und betrieben zu Hause, im industriellen Umfeld – aber oft nicht von klassischen „Netzwerkern“
Ähnlichkeiten
- Betriebssysteme und Kommunikationsprotokolle
- Ausreichend Rechenleistung (für den Einsatzzweck – aber auch Attacken)
Besteht also irgendeine Hoffnung, dass es besser wird bzgl. Angriffen, Bedrohungen, Verletzbarkeiten etc.?
- Blackouts, Viren, Softwarefehler, nachlässige Updates, Cybercrime/-terrorismus, Protokollschwächen…
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 28Beherrschen wir also die Komplexität unserer Netze?
NEIN
- Wenn wir weiterhin Dinge miteinander verbinden, nur weil es „irgendwie“ geht
- Ja, dies ermöglicht viele schöne neue Anwendungen, aber kennen wir die Nebenwirkungen?
By English Wikipedia user Firstfreddy, CC BY-SA 3.0
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 29Natürlich! Wenn …
NEIN
- Wenn wir weiterhin Dinge miteinander verbinden, nur weil es „irgendwie“ geht
- Ja, dies ermöglicht viele schöne neue Anwendungen, aber kennen wir die Nebenwirkungen?
JA
- Wenn wir die klassischen Ingenieurs-Prinzipien
wie in anderen Disziplinen anwenden
- Leider werden heutzutage auch grundlegende
und altbekannte Regeln oft missachtet
By English Wikipedia user Firstfreddy, CC BY-SA 3.0
- Nicht immer gibt es ein wirklich gutes
Geschäftsmodell für solide Ingenieursarbeit
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 30Neuland – auch für IT-affine Personen/Firmen
Vielen denken noch im Schema Computer = PC
• Klassische Denkweise der 80er des letzten Jahrhunderts
• Für viele nur Schlagwörter:
• Smartphone, Phablet, Tablet, Cloud, Fog, smart grid,
smart city, smart xy, Internet der Dinge,
BYOD (Bring Your Own Device) etc.
• Ohne zu verstehen, was wirklich dahinter steckt!
ABER
• Vollständiger Computer (mit Betriebssystem, Speicher, Prozessor, E/A,...) steckt in vielen „Dingen“
• Drucker, BIOS, USB-Stick, Leuchtmittel, Akkumulator, Tastatur, Kopfhörer, Brille etc.
• „Always on“ – es gibt keinen Ausschalter mehr
• Ständige Verbindung zum Internet bzw. zur Umgebung möglich
• Vielfältige Schnittstellen – auch unbekannte!
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 31IoT und Sicherheit – ein permanenter Prozess
Ansatz: Kontrollverlust entgegenwirken wo möglich, Versagen einplanen
• Rein technische Ansätze wirken nur eingeschränkt
• Wirkt nur gegen einfache Angreifer, selten gegen Profis
• Gesamtsystem oft nicht verstanden, siehe Mobiltelefon/BYOD/Firmennetze/neue und unbekannte Schnittstellen
• Nur machen, was man versteht
• Lieber weniger Funktionalität, aber sicher (z.B. eigene Cloud bei Springer-Verlag)
• Weniger, dafür einfache und klare Schnittstellen (z.B. VPN-Box statt Software-Client)
• Bekanntes auch nutzen
• Verschlüsselte Dateisysteme, Smartcard statt simples Passwort, Mehrwege-Authentifizierung
• Vielfältige Best Practices existieren – müssen aber eben auch gelebt werden!
• Siehe BSI IT-Grundschutz-Kataloge, Zertifizierung etc.
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 32Zusammenfassung
Die größte Herausforderung im Internet der Dinge heute sind weniger technische Probleme, sondern eher
Fragen des bewussten Handelns
- Es stehen viele Sicherheitsarchitekturen, -protokolle, -algorithmen, … zur Verfügung
- Aber wir setzen sie nicht angemessen ein!
Man sollte wissen was man tut – bevor IoT/CPS/… in sicherheitskritischen Systemen eingesetzt wird!
- Ansonsten wiederholt sich die Geschichte immer wieder und wieder – und der endlose Kreislauf von Patches
und Aktualisierungen gegen Missbrauch und Angriffe geht immer weiter.
Leider gibt es derzeit kein wirklich gutes Geschäftsmodell für Hersteller „Sicherheit“ in die Komponenten und
den gesamten Entwicklungsprozess einzubauen
- Es liegt letztendlich an den professionellen Kunden in sicherheitskritischen Bereichen auf solide Standards zu
bestehen und Sicherheitsmaßnahmen auch einzuhalten.
- Ebenso ist der Gesetzgeber gefordert (von Sicherheitsgesetz bis Produkthaftung)
Prof. Dr.-Ing. J. H. Schiller, ETV-Donnerstagslektionen, 2018-03-08 33Sie können auch lesen
