News + Stories: Was ist für Sie Security?
Kay Römer: Es gibt zwei Aspekte. Der erste heißt Confidentiality, auf Deutsch kann man Geheimhaltung oder Vertraulichkeit dazu sagen. Das bedeutet, dass aus einem System nur Informationen an die Personen rausgegeben werden, die dafür berechtigt sind. Der zweite ist die Integrität oder Integrity, also dass nur die Personen ein System modifizieren können, die das auch dürfen. Das ist aus meiner Sicht unter Security zu verstehen.
Aus welcher Richtung betrachten Sie Security?
Römer: Mein Spezialgebiet ist gar nicht Security an sich, sondern ein übergeordneter Begriff, auf Englisch heißt der Dependability. Das ist eine Sammelmenge von Eigenschaften eines Systems, damit der Mensch sich darauf verlassen kann. Und dazu gehört die Sicherheit. Das schließt Confidentiality und Integrity mit ein, aber es gibt noch eine Menge mehr. Zum Beispiel die Verfügbarkeit eines Systems, also dass das System nicht immer wegen Wartung im ausgeschalteten Modus ist. Da passiert zwar nichts Schlimmes, aber es passiert auch nichts Nützliches. Ein weiterer Aspekt ist hier die Verlässlichkeit, auf Englisch Reliability, die darauf abzielt, dass das System auch das macht, was ich von ihm verlange. Die Wartbarkeit gehört ebenfalls dazu, damit ich notwendige Änderungen oder Anpassungen vornehmen kann. Mein Spezialgebiet sind nicht die Leute, die absichtlich Systeme hacken, aber die Welt ist auch so schlimm genug. Es gibt alle möglichen Umwelteinflüsse, Störungen, Dreck und noch viel mehr. Das kann ein System genauso beeinträchtigen wie ein gezielter Hack. Das haben wir im Lead-Projekt „Dependable Internet of Things in Adverse Environments“ alles angesehen und die Security war ein Teil davon. Ein Faktor bei Security ist, dass man sie kaum nachträglich an ein System dranbauen kann. Sie muss von vornherein mit einbezogen werden. Wenn man etwa ein modernes Fahrzeug entwirft, muss man das überall mitdenken. Das ist wie bei einer Kette: Ein System ist nur so sicher wie sein schwächstes Glied. Deswegen muss man sich das Gesamtsystem von vornherein an allen Stellen anschauen und das mitdenken. Das trifft für Security genauso zu wie für Dependability.
Wie stark beeinflusst die Security auch die Dependability? Wenn es mit der Security nicht funktioniert, wie stark ist dann die Dependability geschwächt?
Römer: Wenn wir die Dependability als die Liste der zuvor genannten Eigenschaften nehmen, dann ist das System nicht mehr dependable, sobald eines dieser Dinge nicht gewährleistet ist. Wenn es nicht secure ist, kann es auch nicht dependable sein. Das wäre der eine Zusammenhang. Was dabei immer noch mitschwingt, ist der Begriff Safety. Das ist auf Deutsch ein bisschen schwer zu übersetzen, weil man im Deutschen für Security und Safety das Wort Sicherheit verwendet, obwohl Safety eigentlich funktionale Sicherheit heißen müsste. Der Zusammenhang der beiden Begriffe sieht so aus: Security heißt, ich schütze das System vor dem Menschen, also vor dem Hacker. Safety heißt, ich schütze den Menschen vor dem System, damit das System, weil es gehackt wurde oder weil es fehlerhaft ist, nicht dem Menschen schadet. Das wäre etwa ein Industrieroboter, der wegen eines ausgefallenen Sensors über einen Menschen drüberfährt. Safety und Security hängen natürlich ganz eng zusammen. Wenn ein System gehackt wird, dann ist es nicht mehr sicher, aber es ist dann unter Umständen auch nicht mehr safe, weil das System durch den Hack dem Menschen schadet. In Internetvideos haben sich da bereits einige gute Beispiele gefunden. Etwa das ferngesteuerte Auto, in das sich jemand reingehackt hat und damit die Steuerung übernehmen konnte. Das ist dann auch ein Safety-Problem, weil der Mensch, der im Auto sitzt, potenziell in den Graben gefahren werden kann, obwohl er sich eigentlich vollkommen korrekt verhalten hat. Daher sind diese beiden Dinge sehr eng miteinander verkoppelt.
Durch die beschränkten Ressourcen und die Möglichkeit des physischen Zugangs kann ich viele IoT-Geräte auf viel perfidere Art und Weise knacken, als wenn ich über das Netzwerk nur Nachrichten schicken kann
Was ist die Gefahr, wenn Cybersecurity im IoT nicht vorhanden ist?
Römer: Die Geräte im Internet der Dinge haben meist wenig Speicher, wenig Rechenleistung und eine sehr begrenzte Energiereserve. Oftmals sind sie batteriebetrieben, sollen aber über zehn Jahre funktionieren, ohne dass man die Batterie tauschen muss. Besonders in puncto Security ist das eine Herausforderung, da ich viele Sachen nicht machen kann, die mit einem PC oder einem Server funktionieren. Dafür fehlen mir die Rechenleistung, Speicher und die Energie. Das ist eine besondere Herausforderung, sodass man sich meistens etwas Spezielles einfallen lassen muss. Eine zweite sehr spezifische Sache in Bezug auf Cybersecurity im IoT ist, bei Hacks auf klassischen Computersystemen schickt man meistens über das Internet bestimmte Nachrichten an den Computer, die dann zum Beispiel einen Stack- oder Buffer-Overflow generieren und es dadurch erlauben, in das System einzugreifen. Beim Internet der Dinge, bei diesen vernetzten, eingebetteten Systemen, stehen die Geräte normalerweise nicht in einem geschützten Raum oder in einem Datacenter, sondern sind eigentlich überall. Dadurch komme ich relativ leicht an sie heran und kann auch physisch auf die Systeme zugreifen. Ein Beispiel dafür sind Seitenkanäle, wo ich den Stromverbrauch messe und dadurch etwas über das System herausfinde. Oder ich klemme ein Kabel an den Chip und kann dadurch Einfluss darauf nehmen, was das System macht. Das sind physical Attacks, und die sind im klassischen Internet oft nicht möglich, weil ich keinen direkten Zugang zum Rechner habe. Durch die beschränkten Ressourcen und die Möglichkeit des physischen Zugangs kann ich viele IoT-Geräte auf viel perfidere Art und Weise knacken, als wenn ich über das Netzwerk nur Nachrichten schicken kann. Daher sind das zwei sehr spezifische Herausforderungen.
Sie haben gesagt, die Kette ist immer so stark wie das schwächste Glied. In einem privaten Haushalt ist immer mehr vernetzt, beispielsweise der Kühlschrank, die Stereoanlage oder das Backrohr. Wie groß ist die Gefahr, dass sich durch solche Geräte, die nicht so gut abgesichert sind wie ein Computer, jemand Zugang in das gesamte Heimnetzwerk verschafft?
Römer: Das hängt sehr davon ab, wie das intern strukturiert ist. Viele Geräte in unserem Forschungsumfeld finden sich im industriellen Bereich und dienen beispielsweise dazu, in Gebäuden gewisse Dinge zu messen. Oftmals sind die Computer keine vollwertigen Teilnehmer im Internet, sondern übertragen nur Sensordaten mit einem Spezialprotokoll an leistungsfähigere Rechner. Wenn ich es schaffe, mich in dieses kleine Gerät reinzuhacken, kann ich nur bedingt andere Geräte übernehmen und dort schlimme Dinge tun. Aber es gibt neuere Systeme, da ist es de facto so, dass jeder kleine Sensor, auch wenn er noch so primitiv ist, ein gleichberechtigter Teilnehmer im Internet ist. Wenn ich die einmal gehackt habe, dann besteht schon eine gewisse Gefahr, dass ich von dieser Basis aus domino-mäßig die anderen auch angreifen oder übernehmen kann. Das hängt wirklich sehr von der internen Struktur ab. Wenn das gehackte Gerät nur ein kleines Anhängsel ist, das Messwerte irgendwo hinschickt, kann ich schlimmstenfalls die Messwerte fälschen, aber nicht automatisch den nächsten Computer in der Kette übernehmen.
Ihre Hauptforschungsbereiche sind vernetzte eingebettete Systeme und Internet of Things. Wie schauen hier die Sicherheitsanforderungen aus und welche Gefahren bestehen?
Römer: Neben den bereits angesprochenen Dingen haben wir uns im Sinne der Stärke der Kette nicht nur mehrere Computer angesehen, sondern verschiedene Komponenten. Ein Computer hat ja selbst schon verschiedene Funktionen. Das geht bei den Sensoren zur Erfassung der Umgebung los, dann gibt es die Prozessoren zur Verarbeitung der Daten und so weiter. Dann habe ich noch die externen Geräte, ich habe die Funksignalübertragung - und all das kann ich angreifen. Ich kann den Sensor angreifen und ihm vorgaukeln, es wäre etwas da, das gar nicht da ist. Ich kann auch die Funkkommunikation stören und Nachrichten einschleusen, die gar nicht gesendet wurden. Oder ich kann die Nachrichtenübertragung ganz blockieren. Natürlich kann ich auch im Prozessor irgendwelche Sauereien anstellen, damit nicht das berechnet wird, was berechnet werden soll. Im Lead-Projekt haben wir diese verschiedenen Aspekte gemeinsam betrachtet, also die Sensorik, die Datenverarbeitung, die Funkkommunikation und die Übertragung, um das alles zuverlässig zu machen.
Kam dabei am Ende eine allgemeingültige Lösung heraus oder braucht es doch mehrere spezifische Lösungen?
Römer: Das sind zum Teil sehr spezifische Lösungen. Von der eierlegenden Wollmilchsau, die alles erledigt, sind wir noch relativ weit entfernt. Aber es gibt schon Verfahren, die allgemeingültiger sind. Eines davon ist auch ein gutes Beispiel dafür, was wir uns im Lead-Projekt angesehen haben. Von Funktechnologien wie Bluetooth Low Energy, die heute in fast jedem Mobiltelefon oder Laptop verwendet werden, gibt es zwar einen offiziellen Standard, der beschreibt, wie das Protokoll funktioniert. Allerdings hat jeder Hersteller eine leicht andere Implementierung davon. Wir wollten wissen, ob es auch wirklich funktioniert, wenn zwei Geräte mit Chips verschiedener Hersteller über Bluetooth miteinander kommunizieren sollen. Der klassische Ansatz wäre, dass man einfach zwei Geräte miteinander verbindet und zwei Stunden testet, ob immer alles funktioniert. Dann kann man hoffen, dass es auch die nächsten 100 Jahre funktionieren wird. Wir haben stattdessen mit maschinellen Lernverfahren erst einmal geschaut, was das eine Gerät in der Bluetooth-Kommunikation macht. Das Gerät haben wir dann wie ein Lehrer seinen Schüler systematisch befragt und geprüft, was es auf verschiedene Anfragen rückmeldet. Aus diesen Antworten haben wir eine mathematische Beschreibung, ein Modell, der Bluetooth-Implementierung des Geräts gelernt. Das gleiche machten wir mit dem zweiten Bluetooth-Gerät. Die gelernten Modelle der beiden Geräte kann man dann mathematisch vergleichen, ob das zusammenpasst. Wenn dem so ist, kann ich quasi den Stempel draufdrücken und sagen, das funktioniert. Oder aber das System findet ein Gegenbeispiel, wo es nicht funktioniert, wenn z.B. der Bluetooth-Chip in der Lampe dies und das mit dem Bluetooth-Chip im Laptop macht und es dadurch einen großen Knall gibt und nichts mehr funktioniert. Und das geht im Prinzip nicht nur für Bluetooth Low Energy, sondern für alle möglichen anderen Technologien, etwa WiFi. Es ist aber nicht so einfach, dass es auf Knopfdruck auch für WiFi funktioniert, sondern man muss sich wieder hinsetzen und viel Arbeit hineinstecken.
Im Prinzip gelten für das Internet der Dinge im Umgang mit dem Passwort und der Sicherheit die gleichen Regeln wie für den Laptop
Der Vorteil ist also, dass man für jedes Gerät die Kommunikation nur einmal „erlernen“ muss und es dann mit allen anderen verglichen werden kann, statt jedes Gerät mit jedem koppeln zu müssen...
Römer: So ist es. Man könnte praktisch von den Herstellern die Chips nehmen und lernt von jedem, was er macht. Abschließend ließe sich dann einfach zeigen, ob sie kompatibel sind oder nicht.
Immer mehr Menschen haben vernetzte technische Geräte bei sich zu Hause, sei es ein Backofen, eine Stereoanlage oder anderes. Sollten die Benutzer stärker darauf hingewiesen werden, dass auch dort Sicherheitsrisiken für sie lauern?
Römer: Im Prinzip gelten für das Internet der Dinge im Umgang mit dem Passwort und der Sicherheit die gleichen Regeln wie für den Laptop. Interessanterweise sind die meisten Probleme gar nicht, dass ich so ein System hacken kann, sondern dass die Leute die Passwörter gar nicht setzen und das vom Werk voreingestellte unverändert lassen. Auch Social Engineering ist hier ein Problem, also dass man die Passwörter aufschreibt, weil sie so kompliziert sind und dann liegen die irgendwo ungeschützt herum. Auf diese Dinge sollten die Leute schon achten. Und dann ist es so, dass die Wirkungen bei Angriffen auf IoT-Geräte und Laptops oder PCs unterschiedlich sind. Ich kann hacken, um an Informationen zu kommen oder um das System zu modifizieren – das sind die Themen Confidentiality und Integrity. Und was bewirkt das bei einem IoT-Gerät? Da sind einerseits Sensoren drin, die zum Teil Daten über mich als Person erfassen. Bei den IoT-Geräten besteht das Potenzial, dass sehr persönliche, sensorbasierte Informationen über mich und meinen Alltag gefunden werden, beispielsweise wie oft ich das WC aufsuche oder wie oft ich in der Küche bin. Ein anderer Unterschied ist, dass die Auswirkungen bei IoT-Geräten durchaus auch physischer Natur sein können. Nehmen wir den vorhin angesprochenen Kühlschrank. Mittlerweile gibt es Modelle, bei denen ich über App die Temperatur einstellen kann. Dies ließe sich von einem Angreifer dazu nutzen, die Temperatur so einzustellen, dass meine Lebensmittel verderben. Hier lässt sich wirklich ein physischer Schaden bewirken, statt einfach nur Informationen zu entwenden. Die Konsequenzen können also noch viel schlimmer sein, als wenn der Laptop gehackt wird. Die Regeln für den Umgang mit der Sicherheit sind aber auch hier die gleichen. Ich sollte nicht denken, das ist nur ein kleiner Sensor, der macht nichts Schlimmes und ich muss mich nicht darum kümmern. Darauf muss man sehr wohl achten und die Dinge entsprechend konfigurieren. Eine Firewall ist vielleicht ebenfalls notwendig, um diese Geräte von kritischen Systemen abzutrennen. Dieses Bewusstsein fehlt leider bei vielen noch.
Was wären besonders kritische Bereiche bei einem Angriff?
Römer: Ein Beispiel, mit dem wir uns intensiv beschäftigen, ist Positionsbestimmung. Im Freien hat man dafür GPS, aber in Innenräumen funktioniert das nicht. Dafür benötigt man spezielle Innenraumpositionsbestimmungssysteme, und die sind sicherheitsanfällig. Da gibt es etwa Attacken, die dem System vorspiegeln, dass der physische Abstand zwischen zwei Geräten größer oder kleiner ist als in der Realität. Wenn ein Roboter im Einsatz ist, der gewisse Sicherheitsabstände einhalten muss, wird es gefährlich. Normalerweise sollte er sich weit genug von Menschen entfernt halten. Wenn die Attacke aber vorgaukelt, dass der gemessene Abstand größer ist als der tatsächliche, würde das dazu führen, dass der Roboter Menschen überfährt oder in sie hineinfährt.
Ein Team rund um Maria Eichlseder hat an der TU Graz den Algorithmus ASCON entwickelt, der als internationaler Standard für Lightweight Cryptography ausgewählt worden ist. Was kann so ein Algorithmus leisten und worauf kann er gar keinen Einfluss nehmen?
Römer: Bei ASCON handelt es sich um einen kryptographischen Algorithmus, mit dem man Daten auf der einen Seite verschlüsseln und auf der anderen Seite wieder entschlüsseln kann. Letztendlich lässt sich damit also die Netzwerkverbindung zwischen zwei Geräten schützen. Aber bei physischen Attacken auf die Geräte selbst hilft er nicht. Ich kann nach wie vor mit einem Messgerät an die Pins vom Prozessor gehen und etwas messen. Ich kann den Sensoren nach wie vor vorgaukeln, dass sie eine Information messen, die physisch gar nicht vorhanden ist. Da hilft der Algorithmus nicht.
Aber das wäre nur dann der Fall, wenn ich physischen Zugang zu diesen Systemen habe?
Römer: Ja, das ist die Voraussetzung dafür, wobei das gerade im IoT-Bereich in vielen Fällen durchaus auch so ist.
Wenn ich nicht ständig neue, bessere Hardware und bessere Security-Protokolle einspielen kann, wie kann ich trotzdem sicherstellen, dass alles über einen ziemlich langen Zeitraum verlässlich und gut funktioniert?
Wo sind noch die größten Baustellen, was das Thema Sicherheit im Bereich eingebetteter vernetzter Systeme und Internet der Dinge betrifft?
Römer: Ich glaube, die eingeschränkte Leistungsfähigkeit der Geräte ist nach wie vor eine Herausforderung. Soweit ich es verstanden habe, hat auch ASCON eine gewisse Anforderung, was die Leistungsfähigkeit betrifft. Im Internet der Dinge ist es so, dass man viele Geräte hat, die sehr leistungsschwach sind, und nur wenige Geräte mit höherer Leistungsfähigkeit. Nach meinem Verständnis wäre es nicht möglich, ASCON am unteren Ende des Leistungsspektrums entsprechend einzusetzen. Gerade in dem Bereich muss man sich also noch etwas einfallen lassen. Ein weiterer Punkt ist: Bei den IoT-Geräten wäre ja der Wunsch, dass man die einmal installiert, und dann funktionieren die 20 Jahre, ohne dass ich mich darum kümmern oder sie warten muss. Die Prognosen sprechen davon, dass es irgendwann 100 Milliarden von diesen Geräten gibt, und das sind dann nicht nur Kühlschränke und Autos. Das werden auch kleinste Sensoren in Gebäuden sein, die bestimmte Materialeigenschaften überwachen. Da gibt es dann die äußerst schwierige Herausforderung, diese periodisch zu aktualisieren. Das funktioniert nicht wie beim Smartphone, das ich alle zwei Jahre gegen ein neues austausche, weil es nicht mehr leistungsfähig genug ist oder die neuesten Security-Features nicht mehr unterstützt. Diese IoT-Geräte müssen dann zehn, 15 oder 20 Jahre laufen.
Und was mache ich, wenn da neue Sicherheitslücken gefunden werden? Ich kann ja nicht die ganze Welt auseinanderreißen, alle IoT-Geräte wegschmeißen und neu installieren. Da stellt sich recht schnell die Frage der Nachhaltigkeit. Wenn ich nicht ständig neue, bessere Hardware und bessere Security-Protokolle einspielen kann, wie kann ich trotzdem sicherstellen, dass alles über einen ziemlich langen Zeitraum verlässlich und gut funktioniert? Das ist eine ziemlich fundamentale Herausforderung und noch gibt es keine wirkliche Lösung dafür. Ein Mittel könnte die vorher genannte Vorgangsweise sein, die wir im Lead-Projekt verwendet haben. Denn bei der Sicherheitsthematik ist es ja ein bisschen wie beim Hasen und dem Igel. Die Hacker finden heraus, dass beim Programmieren irgendwo ein Fehler passiert ist, der sich ausnutzen lässt. Deswegen kommen die Security-Expert*innen, die dafür eine Lösung finden usw. Einer rennt immer dem anderen hinterher, aber es ist nie ein Ende abzusehen. Der Wunsch dafür wäre, dass es Systeme gibt, die beweisbar sicher sind. Ähnlich der Überprüfung der Bluetooth-Geräte, bei der sich beweisen lässt, dass zwei Devices miteinander funktionieren, wäre halt hier der Beweis notwendig, dass sie unter gewissen Annahmen nicht mehr gehackt werden können. Das könnte das Problem der Langlebigkeit etwas entschärfen.
Was können Laien tun, um sich zu schützen?
Römer: Aus meiner Sicht ist es das Wichtigste, dass man die von den Geräten bereitgestellten Sicherheitsmechanismen auch wirklich nutzt. Das heißt, die Passwörter entsprechend setzen und sie nicht überall auf dem Rechner oder in der Cloud speichern, weil ein Hacker sie dort auslesen kann. Und man sollte im Bewusstsein haben, dass diese kleinen Geräte genauso anfällig für Attacken sind wie mein Laptop, obwohl das auf den ersten Blick vielleicht nicht so aussieht. Wenn Laien diese Ratschläge beherzigen, können sie sich auch ohne technisches Detailverständnis schon einmal einigermaßen schützen.
Dieses Forschungsprojekt ist im Field of Expertise „Information, Communication & Computing“ verankert, einem von fünf strategischen Schwerpunktfeldern der TU Graz.
Mehr Forschungsnews finden Sie auf Planet research. Monatliche Updates aus der Welt der Wissenschaft an der TU Graz erhalten Sie über den Forschungsnewsletter TU Graz research monthly.
