Die Attacken durch das Botnetz Mirai im Jahr 2016 haben gezeigt, dass IoT-Geräte sehr angreifbar sind. Daher sind Sicherheitsmaßnahmen ein Muss für entsprechende Gerätehersteller und Zulieferer. Denn der Verlust an Vertrauen wird die Anbieter ansonsten sehr schnell sensibel treffen.
Das Internet of Things kann erst durch das Zusammenwirken verschiedener Geräte aus vier unterschiedlichen Schichten der IoT-Architektur funktionieren, die als Sensor-, Datenverarbeitungs-, Netzwerk- und Anwendungsschicht bezeichnet werden. Abbildung 1 zeigt den grundlegenden architektonischen Rahmen des Internet of Things mit den Geräten und Technologien der jeweiligen Schicht.
Die weitreichenden Sicherheitsherausforderungen des Internet of Things lassen sich auf technische Besonderheiten zurückführen, welche die Umsetzung eines effizienten Securitykonzeptess erschweren. Diese technologischen Herausforderungen stehen typischerweise im Zusammenhang mit Heterogenität, Wireless-Technologien, Skalierbarkeit und begrenzten Ressourcen in den Geräten, die zumeist sehr klein sind. Nachfolgend sind diese Besonderheiten beschrieben:
Wo die Attacken stattfinden
Diese Gegebenheiten der IoT-Technologie führen wiederum zu vielen Arten von Bedrohungen und Angriffen.
Attacken in physikalischen Schichten: Zu den Attacken in dieser Schicht gehören Angriffe, bei denen Angreifer physisch in die Hardware eines Hosts, in ein eingebettetes Gerät oder in eine andere Art von IoT-Plattform eindringen, um Zugriff auf den Prozessor, die Speichergeräte und andere empfindliche Komponenten zu erhalten.
Attacken in drahtlose Netzwerkschichten: Die Netzwerkschicht des IoT ist besonders anfällig für DDoS-Angriffe. Abgesehen davon kann der Gegner durch Datenverkehrsanalyse, Abhören und passive Überwachung auch auf Vertraulichkeit und Privatsphäre auf Netz-werkebene abzielen.
Attacken auf Anwendungsschichten: IoT-Geräte und -Verbindungen können durch Angriffe auf Anwendungsendpunkte ausgenutzt werden. Diese Punkte umfassen Webserver sowie Anwendungen für mobile Geräte. Da es keine einheitlichen Richtlinien und Standards zur Steuerung des Designs und der Implementierung von Algorithmen für das Internet of Things gibt, ist es schwierig, die Sicherheit zu kontrollieren. Daher sind Standards für die IoT-Applikationssicherheit ein sehr wichtiger Baustein der gesamten IoT-Sicherheit.
Bei den meisten Attacken verfolgen die Angreifer vier wichtige Ziele:
Es ist kaum möglich, diesen Attacken zu begegnen, ohne die wesentlichen Komponenten der Informationssicherheit, die bei Lösungen für IoT-Sicherheit zu berücksichtigen sind, zu kennen. Dazu zählen:
Vertraulichkeit: Vertrauliche Informationen sind geheim zu halten und zu schützen. Beispielsweise ist es wichtig, sicherzustellen, dass Sensoren die gesammelten Daten nicht an benachbarte Knoten weitergeben.
Integrität: Betreiber müssen sicherstellen, dass Informationen nicht versehentlich oder absichtlich geändert werden, ohne dass sie dies entdecken. Die Integrität kann durch Aufrechterhaltung der End-to-End-Verschlüsselung in der IoT-Kommunikation erreicht werden.
Authentifizierung: Es ist sicherzustellen, dass die Datenquelle eine bekannte Identität oder ein bekannter Endpunkt ist. Jedes Objekt im IoT muss in der Lage sein, andere Objekte eindeutig zu identifizieren und zu authentifizieren.
Unbestreitbarkeit: Beim Einsatz von IoT-Geräten im kommerziellen Bereich (beispielsweise E-Commerce) muss sichergestellt werden, dass eine Person oder ein System später nicht bestreiten kann, eine Aktion ausgeführt zu haben.
Verfügbarkeit: Die Vision des Internet of Things besteht darin, so viele intelligente Geräte wie möglich miteinander zu verbinden. Um das zu erreichen, müssen entsprechende Devices und Dienste stets verfügbar sein. Das gilt besonders für lebenskritische Anwendungen (beispielsweise Healthcare-Bereich).