Entwicklung eines Security Frameworks zur Bewertung der Risiken von IOT-Produkten für bestehende IT-Infrastrukturen
- Die Verbreitung von Geräten, die mit dem Internet kommunizieren und Teile des Alltags vieler Menschen sind, nimmt immer mehr zu. Das Internet of Things (IoT) kombiniert bestehende Technologien mit dem Internet, wodurch neue Einsatzgebiete erschlossen werden. IPKameras, Verkehrssteuerungssysteme und kritische Infrastrukturen wandern zunehmend in das Internet und werden dadurch für Personen erreichbar, die keinen Zugriff auf diese Systeme haben sollten. Dies führt dazu, dass neue Angriffsvektoren, die von Hackern und Kriminellen genutzt werden, entstehen und sowohl die IT-Sicherheit der IoT-Objekte selbst, als auch jene von bestehenden IT-Infrastruktur gefährdet werden. Viele IoT-Produkte, die für die Endkundin und den Endkunden konzipiert wurden, verfügen nicht über die notwendigen Sicherheitsmechanismen, die einen ordnungsgemäßen und sicheren ITBetrieb gewährleisten sollen. Die Produktentwicklung der Hersteller setzt den Fokus auf Bedienungskomfort und einfacher Konfiguration, vergisst jedoch die Gefahren, welche von ungesicherten IoT-Objekten ausgehen. Diese Gefahren reichen von Funktionsstörungen, dem Versenden von Spam-E-Mails, bis zur Nutzung von IoT-Objekten für großangelegte Hacker-Angriffe auf kritische Infrastrukturen. In dieser Arbeit wird ein IoT-Security Framework entwickelt, das auf Basis von Analysen bestehender IoT-Sicherheitsproblematiken, Sicherheitsanforderungen definiert und diese in einem Integrationsprozess zusammenfasst. Die Sicherheitsanforderungen wurden aus bereits publizierten Angriffsszenarien abgeleitet und werden sich direkt an das IoT-Objekt richten, der sicheren Kommunikation zwischen den einzelnen Objekten, sowie an die Cloudplattformen, die im Umfeld von IoT häufig zum Einsatz kommen. Das IoT-Security Framework soll es Endkonsumentinnen und Endkonsumenten ermöglichen, die IT-Sicherheit von IoT-Produkten zu bewerten und deren Risiko für sich selbst, als auch für bestehende IT-Infrastrukturen zu beurteilen.
- The distribution of electronic devices, which communicate with the internet and are part of the daily routine for many people, is constantly increasing. The Internet of Things combines existing technologies and knowledge with the internet and thus opens up new areas of use. IP-cameras, traffic control systems and critical infrastructure are shifting towards the internet. This allows people to use these tools even without access to the systems in the traditional way. However, this development leads to new attack vectors for hackers and criminals and thus endangers the IT-security of IoT-objects as well as those of already existing IT-infrastructure. Unfortunately, various IoT-products designed for clients do not have the necessary security measures which would guarantee a safe and secure IT-operation. Since the main focus of manufacturers concerning product development is set on the users’ comfort and the simple configuration, the hazards of unsecure IoT-objects are neglected. These risks can include malfunction, spamming as well as the misuse of IoT-objects for hacker attacks on critical infrastructure. This paper presents an IoT-Security Framework which, based on analyses of security issues, specifies safety requirements and condenses the information into an integration process. The security requirements are derived from already published attack scenarios and directly address the IoT-object, the secure communication between individual objects as well as cloud platforms frequently used for IoT. The IoT-Security Framework should allow the end consumer to evaluate IT-security of IoT-products and determine their risks as well as those of the IT-infrastructure.
Bundesgesetz über das Urheberrecht an Werken der Literatur und der Kunst und über verwandte Schutzrechte (Urheberrechtsgesetz)