IOTHREATS ZUKÜNFTIGE HERAUSFORDERUNGEN, TECHNOLOGIEN & ANFORDERUNGEN VON SMART HOMES IM SICHERHEITSRELEVANTEN KONTEXT - KIRAS SICHERHEITSFORSCHUNG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IoThreats Zukünftige Herausforderungen, Technologien & Anforderungen von Smart Homes im sicherheitsrelevanten Kontext Mag. Bernhard Jäger SYNYO GmbH 04.10.2021, Wien Das Projekt IoThreats wird unter dem KIRAS Programm für Sicherheitsforschung des österreichischen Bundesministeriums für Verkehr, Innovation und Technologie finanziert. Project number: 860641
IoT-Security im aktuellen Kontext
2
Motivationen für IoThreats
Förderinitiative: KIRAS Sicherheitsforschungsprogram: F&E-Dienstleistung
Laufzeit: Oktober 2017 bis März 2019
• Ziele
Erfassung des State-of-the-Art des Internet of Things im Smart Home Kontext
Identifikation zukünftiger forensischer Herausforderungen im IoT
Formulierung von Handlungsempfehlungen zum zukünftigen Einsatz von IoT
• Projektpartner
SYNYO: Projektkoordination, Anforderungsanalyse, Definition zukünftiger IoT Maßnahmen, Vernetzung & Dissemination
JOANNEUM RESEARCH: Erfassung technischer Lösungen im IoT Bereich & Funktionsanalyse
Austrian Center for Law Enforcement Sciences (ALES): IoT-relevante Rechtsgrundlagen & Szenarien
Bundesministerium für Inneres (BMI): Einbindung und Expertise als Bedarfsträger
• Leitideen
• IoT – Security befindet sich zurzeit im Spannungsfeld zwischen aggressiver Preispolitik, fehlenden Standards &
Kompatibilität
3
Smart Home oder „Haunted House“?
„Tech Abuse“ –
Eavesdropping
Häusliche Gewalt
mit Saugroboter
mit Technik
Lappeenranta Mongo DB
DDoS Attacke Ransomware Angriff
4
Bekannte Smart Home Angriffe
Amazon Key
Ransomware auf LG-TV Puppe Cayla
“Break and Enter” Hack
2014 2015 2016 2017 2018 2019
Side-Channel Attacke Ransomware Attacke
Babymonitor – Hack
auf Philipps HUE Lampen “Romantik Seehotel”
21.10.2021 5
Sammlung und Analyse von Smart Home-Lösungen
Sammlung zu Technologien, Standards
sowie nationaler und internationaler
Thementreiber
• > 30 internationale Projekte
• > 60 Relevante Standards und Normen
• > 90 zentrale Technologieanbieter
• > 300 Software- und Hardware-Lösungen
• > 70 relevante Literaturquellen
Laufende Erweiterung
• Neue Projekte und Technologien
• Szenarios und Anwendungsfälle
• Zusätzlicher Fokus auf Wearables
• Berücksichtigung der Erkenntnisse aus Erhebungen
6
Smart Home Markt Österreich
7
IoThreats Themenfelder
Haushaltsgeräte
(Smart Appliances)
Smart Fridge,
Staubsaugerroboter, Smart
Coffee Maker
Smart Toys
8
Nationale Perspektive
Bedarfsträger
• Ermittlung
• Gegenmaßnahmen
• Bewusstseinsbildung
Rechtliche ExpertInnen:
• Bedrohungs- und
Angriffsszenarien
• Gegenmaßnahmen
• Bewusstseinsbildung
Technische ExpertInnen
• Systemarchitektur
• Software
• Datenverarbeitung
9
IoT-Security: Hürden & Barrieren
Technische Barrieren Sicherheitsstandards
• Aktuelle Iot Sicherheitstechnologie im IoT nicht • Große Player konkurrieren um die Etablierung
genug ausgereift proprietärer Standards
• Stakeholder sind unsicher, wie Standards / • Entwicklung von Normen und Standards
Vorschriften festgelegt werden wesentlich um Lücken zu schließen
Monetarisierung von IoT-Security
• Kunden sind in der Regel nicht bereit, mehr für Bewusstsein für IoT Security
IoT-Security zu bezahlen • Endanwender von IoT-Geräten sind für IoT-
• Halbleiterunternehmen haben Schwierigkeiten in Security meist nicht ausreichend sensibilisiert
Softwarelösungen einzusteigen
10Threat Taxonomy
11Smart Home Technologies & Threats
1
Sicherheitstechnik
1 x
• Lupus-Electronics • Elro • Olympia
• ABUS • Somfy
2
Smart Toys
x
• Princess Cayla • Sphero Mini
• Fisher Price Smart Toy Bear • Mekamon AR fighting robot
3
3
Energiemanagement
x
• Google/NEST • QIVICON • Devolo
• Tado • Homematic/eQ-3 • Danfoss
2
12Smart Home Technologies & Threats
4
Haushaltsgeräte (Smart Appliances)
• LG Smart ThinQ – z.B. derx • Samsung Smart Home
InstaView ThinQ™ Refrigerator • Whirlpool smart appliances
• Miele@home • Bosch Smart Home Solutions
5
Wearables
x
• Fitbit Flex 2 • Gear S3
• Apple Watch Series 3 • Vivosmart 3
4
6
Lifestyle
x
• Homee • Somfy • Innogy
• A1 SmartHome • Apple-HomeKit
5 6
13Wie wird das Smart Home sicher?
• Schutzbedarfsfeststellung: Besondere
Bedeutung von sicherheitskritischen
Systemen (z.B. Türschlössern)
• Bewusstseinsbildung: Kunde entscheidet, in
welche Richtung sich der Markt entwickelt
• Zertifizierungen
• Standards
• IoT-Security Cluster: Zentrale Meldestellen
(CERT), Security Labs (ELVIS), etc.
14Maßnahmen & Strategien
Aufbereitung von Informationsmaterialien
• Aufbereitung zielgruppenspezifischer Informationsmaterialien zur
Bewusstseinsbildung über Schwachstellen in IoT-Geräten
• Guidelines zur Analyse und Behandlung von Sicherheitsvorfällen
Sichere Alternativen zur Verwendung von Standardpasswörtern
• Eindeutige IoT-Gerätekennwörter
• Out-of-Band Key Exchange als zusätzliche Sicherheitsmaßnahmen
Optimierung des Meldeweges & Schwachstellenberichtsprozess
• Mindest-Sicherheitsstandards im Zuge des Netz- und Informationssystem-
Sicherheitsgesetzes (NIS-G)
• Austausch von Informationen über potenzielle Schwachstellen zwischen
Herstellern und Stakeholdern im Bereich IoT-Security
• Schwachstellenberichtsprozess als Norm für Handhabung von
Schwachstellen
15Maßnahmen & Strategien
Besserer Bildnisschutz durch das Strafrecht
• Einführung eines eigenen Tatbestands, der den Eingriff in die
Persönlichkeitssphäre durch illegale Bildaufnahme unter Strafe stellt
Mehr Schutz vor Hacking - § 118a StGB und das Überwinden
einer spezifischen Sicherheitsvorkehrung
• Schaffung einer Strafbarkeit gegen Hacker, die in ein fremdes, gegen seinen
Zugriff besonders gesichertes Datenverarbeitungssystem eindringt
Mehr Schutz der Daten auf dem Übertragungsweg
• Voraussetzung der Verwendung einer Vorrichtung zum Abfangen von
bestimmten Daten
Ausgleichung der Qualifikationen und Privilegen des §128a
StGB an jene des Betrugs
• Authentifizierung durch sichere Passwörter
16Vielen Dank für Ihre Aufmerksamkeit
Mag. Bernhard Jäger
Bernhard.jaeger@synyo.com
www.iothreats.at | office@iothreats.at www.synyo.com | office@synyo.com
17Sie können auch lesen
