IOTHREATS ZUKÜNFTIGE HERAUSFORDERUNGEN, TECHNOLOGIEN & ANFORDERUNGEN VON SMART HOMES IM SICHERHEITSRELEVANTEN KONTEXT - KIRAS SICHERHEITSFORSCHUNG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IoThreats Zukünftige Herausforderungen, Technologien & Anforderungen von Smart Homes im sicherheitsrelevanten Kontext Mag. Bernhard Jäger SYNYO GmbH 04.10.2021, Wien Das Projekt IoThreats wird unter dem KIRAS Programm für Sicherheitsforschung des österreichischen Bundesministeriums für Verkehr, Innovation und Technologie finanziert. Project number: 860641
Motivationen für IoThreats Förderinitiative: KIRAS Sicherheitsforschungsprogram: F&E-Dienstleistung Laufzeit: Oktober 2017 bis März 2019 • Ziele Erfassung des State-of-the-Art des Internet of Things im Smart Home Kontext Identifikation zukünftiger forensischer Herausforderungen im IoT Formulierung von Handlungsempfehlungen zum zukünftigen Einsatz von IoT • Projektpartner SYNYO: Projektkoordination, Anforderungsanalyse, Definition zukünftiger IoT Maßnahmen, Vernetzung & Dissemination JOANNEUM RESEARCH: Erfassung technischer Lösungen im IoT Bereich & Funktionsanalyse Austrian Center for Law Enforcement Sciences (ALES): IoT-relevante Rechtsgrundlagen & Szenarien Bundesministerium für Inneres (BMI): Einbindung und Expertise als Bedarfsträger • Leitideen • IoT – Security befindet sich zurzeit im Spannungsfeld zwischen aggressiver Preispolitik, fehlenden Standards & Kompatibilität 3
Smart Home oder „Haunted House“? „Tech Abuse“ – Eavesdropping Häusliche Gewalt mit Saugroboter mit Technik Lappeenranta Mongo DB DDoS Attacke Ransomware Angriff 4
Bekannte Smart Home Angriffe Amazon Key Ransomware auf LG-TV Puppe Cayla “Break and Enter” Hack 2014 2015 2016 2017 2018 2019 Side-Channel Attacke Ransomware Attacke Babymonitor – Hack auf Philipps HUE Lampen “Romantik Seehotel” 21.10.2021 5
Sammlung und Analyse von Smart Home-Lösungen Sammlung zu Technologien, Standards sowie nationaler und internationaler Thementreiber • > 30 internationale Projekte • > 60 Relevante Standards und Normen • > 90 zentrale Technologieanbieter • > 300 Software- und Hardware-Lösungen • > 70 relevante Literaturquellen Laufende Erweiterung • Neue Projekte und Technologien • Szenarios und Anwendungsfälle • Zusätzlicher Fokus auf Wearables • Berücksichtigung der Erkenntnisse aus Erhebungen 6
IoThreats Themenfelder Haushaltsgeräte (Smart Appliances) Smart Fridge, Staubsaugerroboter, Smart Coffee Maker Smart Toys 8
Nationale Perspektive Bedarfsträger • Ermittlung • Gegenmaßnahmen • Bewusstseinsbildung Rechtliche ExpertInnen: • Bedrohungs- und Angriffsszenarien • Gegenmaßnahmen • Bewusstseinsbildung Technische ExpertInnen • Systemarchitektur • Software • Datenverarbeitung 9
IoT-Security: Hürden & Barrieren Technische Barrieren Sicherheitsstandards • Aktuelle Iot Sicherheitstechnologie im IoT nicht • Große Player konkurrieren um die Etablierung genug ausgereift proprietärer Standards • Stakeholder sind unsicher, wie Standards / • Entwicklung von Normen und Standards Vorschriften festgelegt werden wesentlich um Lücken zu schließen Monetarisierung von IoT-Security • Kunden sind in der Regel nicht bereit, mehr für Bewusstsein für IoT Security IoT-Security zu bezahlen • Endanwender von IoT-Geräten sind für IoT- • Halbleiterunternehmen haben Schwierigkeiten in Security meist nicht ausreichend sensibilisiert Softwarelösungen einzusteigen 10
Threat Taxonomy 11
Smart Home Technologies & Threats 1 Sicherheitstechnik 1 x • Lupus-Electronics • Elro • Olympia • ABUS • Somfy 2 Smart Toys x • Princess Cayla • Sphero Mini • Fisher Price Smart Toy Bear • Mekamon AR fighting robot 3 3 Energiemanagement x • Google/NEST • QIVICON • Devolo • Tado • Homematic/eQ-3 • Danfoss 2 12
Smart Home Technologies & Threats 4 Haushaltsgeräte (Smart Appliances) • LG Smart ThinQ – z.B. derx • Samsung Smart Home InstaView ThinQ™ Refrigerator • Whirlpool smart appliances • Miele@home • Bosch Smart Home Solutions 5 Wearables x • Fitbit Flex 2 • Gear S3 • Apple Watch Series 3 • Vivosmart 3 4 6 Lifestyle x • Homee • Somfy • Innogy • A1 SmartHome • Apple-HomeKit 5 6 13
Wie wird das Smart Home sicher? • Schutzbedarfsfeststellung: Besondere Bedeutung von sicherheitskritischen Systemen (z.B. Türschlössern) • Bewusstseinsbildung: Kunde entscheidet, in welche Richtung sich der Markt entwickelt • Zertifizierungen • Standards • IoT-Security Cluster: Zentrale Meldestellen (CERT), Security Labs (ELVIS), etc. 14
Maßnahmen & Strategien Aufbereitung von Informationsmaterialien • Aufbereitung zielgruppenspezifischer Informationsmaterialien zur Bewusstseinsbildung über Schwachstellen in IoT-Geräten • Guidelines zur Analyse und Behandlung von Sicherheitsvorfällen Sichere Alternativen zur Verwendung von Standardpasswörtern • Eindeutige IoT-Gerätekennwörter • Out-of-Band Key Exchange als zusätzliche Sicherheitsmaßnahmen Optimierung des Meldeweges & Schwachstellenberichtsprozess • Mindest-Sicherheitsstandards im Zuge des Netz- und Informationssystem- Sicherheitsgesetzes (NIS-G) • Austausch von Informationen über potenzielle Schwachstellen zwischen Herstellern und Stakeholdern im Bereich IoT-Security • Schwachstellenberichtsprozess als Norm für Handhabung von Schwachstellen 15
Maßnahmen & Strategien Besserer Bildnisschutz durch das Strafrecht • Einführung eines eigenen Tatbestands, der den Eingriff in die Persönlichkeitssphäre durch illegale Bildaufnahme unter Strafe stellt Mehr Schutz vor Hacking - § 118a StGB und das Überwinden einer spezifischen Sicherheitsvorkehrung • Schaffung einer Strafbarkeit gegen Hacker, die in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt Mehr Schutz der Daten auf dem Übertragungsweg • Voraussetzung der Verwendung einer Vorrichtung zum Abfangen von bestimmten Daten Ausgleichung der Qualifikationen und Privilegen des §128a StGB an jene des Betrugs • Authentifizierung durch sichere Passwörter 16
Vielen Dank für Ihre Aufmerksamkeit Mag. Bernhard Jäger Bernhard.jaeger@synyo.com www.iothreats.at | office@iothreats.at www.synyo.com | office@synyo.com 17
Sie können auch lesen