Abt. Cyber Security. IT-Sicherheit von Smart Homes: Chancen und Risiken

Transkript

1 IT-Sicherheit von Smart Homes: Chancen und Risiken Dr. Steffen Wendzel Fachtagung Smart Home ist das sicher? Fraunhofer FKIE, Bonn Hannover, 28. Januar 2016 Abt. Cyber Security

2 Smart Home!?

3 Gründe für Sicherheitsprobleme ein historischer Blick n frühe Systeme (1950 er Jahre) n pneumatische Komponenten n später (1960 er Jahre): n erste elektronische Komponenten und robuste Netzwerke n heute: n Integration in das Internet der Dinge

4 Angriffe laufen primär über das Internet n Genaue Zahlen online verfügbarer Gebäude nicht bekannt n Malchow und Klick (2014) haben Systeme via SHODAN gezählt n die meisten Systeme wurden in den USA gefunden (ca ) n etwa jedes zehnte System wies bekannte Sicherheitslücken auf n B. Rios (2014) geht von weltweit mit dem Internet verbundenen Systemen aus

5 Sicherheitsaspekte: Akademia, Altbestand und Hersteller n Akademische Betrachtung seit den späten 1990 ern n Fokus der Hersteller: Sicherheit << FUNKTIONALITÄT n Insb. in der Vergangenheit: fehlendes Sicherheitsbewusstsein n Soft- und Hardware-Altbestand n Klimatechnik im Schnitt 25 Jahre alt n neue Sicherheitsfeatures sind nicht immer implementierbar!

6 Sicherheitsaspekte: Bewohner und Eigentümer n Sog. Patching schwierig bis unmöglich n Stellen Sie sich ein System mit Windows XP vor, das in 30 Jahren noch am Internet hängt! n Web-Interfaces und Fernzugriff teils unsicher n Angriffe relativ simpel; Fernzugriff teils unverschlüsselt

7 (un)sichere Standards

8 Sicherheits-Know-how und -Bewusstsein: IT-Welt vs. Smart Homes

9 Bekannte Angriffe

10 Bekannte Angriffe n ~102 Angriffe pro Woche (2012), 42% mehr im Vergleich zu 2011 n ~240 Tage bis Angriff bemerkt wird n Beispiele: n St. Regis 5-Star Shenzhen Hotel n Rechenzentrum einer europäischen Bank Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014.

11 Skizze einer möglichen Zukunft Smart Building Botnets

12 Smart Building Botnets: Eine mögliche Zukunft? Kurze Definition: n Viele Gebäude werden von Hackern übernommen und parallel ausgenutzt. n Nutzen physikalischer Fähigkeiten n kein Spam oder ähnliches n neuartige Angriffe denkbar Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014.

13 Beispielszenarien (1/2) Fernzugriff auf Sensordaten und auf Aktoren n Überwachung: Wann ist jemand zu Hause? Wo hält er sich auf? Lässt sein Verhalten auf eine Krankheit schließen? n Solch sensible Daten könnten ggf. verkauft werden (etwa an Krankenversicherungen). n Einbruchsplanung wird erleichtert. n Wann ist jmd. Im Haus? n per Befehl Fenster/Tür öffnen Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014.

14 Beispielszenarien (2/2) Energieverbrauch einer Smart City steigern n Lokaler Lieferant von Öl/Gas könnte Smart Homes hacken n Steigerung der Energieverbräuche der Smart Homes n Steigerung der Einnahmen des Lieferanten Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014.

15 Smart Building Botnets: Technisch realisierbar? Wie erstellen? n Shodan n BAS Wardriving n GPS-enabled Smartphones mit Malware Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, Kahler, B., Wendzel, S.: How to own a Building? Wardriving für die Gebäudeautomation, in Proc. DFN Workshop, 2012.

16 Ein Lösungsansatz:

17 Traffic Normalization Was ist das? Filtern und Modifizieren von Datenverkehr, heute Bestandteil vieler Firewalls Verhindert diverse Angriffe Bisher nicht für die Gebäudeautomation verfügbar. Internet Intranet Normalizer Source: S. Szlósarczyk, S. Wendzel et al.: Towards Suppressing Attacks on and Improving Resilience of Building Automation Systems, in Proc. GI Sicherheit, Vienna, 2014.

18 Traffic Normalization für Smart Homes n Datenverkehr des Smart Homes wird analysiert und anschließend entweder weitergeleitet, modifiziert oder verworfen. n Wie ein DSL-Router jedoch für das Gebäude! Traffic Normalizer

19 BARNI Gateway

20 Traffic Normalization für BACnet n BMBF-gefördertes Projekt : Building Automation Reliable Network Infrastructure (BARNI) n Volumen: 1 Mio. EUR n Projektpartner: n MBS GmbH, Krefeld n Fraunhofer FKIE, Bonn/Wachtberg Traffic Normalizer

21 Traffic Normalization for BACnet n BMBF-gefördertes Projekt : Building Automation Reliable Network Infrastructure (BARNI) Visualisierung von GA-Events: n Volumen: 1 Mio. EUR n Projektpartner: n MBS GmbH, Krefeld n Fraunhofer FKIE, Bonn/Wachtberg

22 Einblick in die Forschung VIRTUELLES LABOR

23 Virtuelles Labor Verbindung diverser Labore aus dem Forschungsumfeld Echte und virtuelle Komponenten Source: J. Kaur et al.: A Cost-efficient building automation security testbed for educational purposes, poster at Securware, Lisbon, 2014 (to appear).

24 Virtuelles Labor Warum? 1. Forschung (Erprobung von Angriffen und Gegenmaßnahmen) 2. Ausbildung von Studierenden Source: J. Kaur et al.: A Cost-efficient building automation security testbed for educational purposes, poster at Securware, Lisbon, 2014 (to appear).

25 ZUSAMMENFASSUNG

26 Zusammenfassung n Die IT-Sicherheit von zunehmender Relevanz für Smart Homes. n Die letzten Jahre brachten diverse Verbesserungen der IT-Sicherheit. Traffic Normalizer n Verbleibende Sicherheitsprobleme müssen jedoch zeitnah adressiert werden. n Systeme, die heute als sicher gelten, können morgen bereits unsicher sein.

27 Vielen Dank für Ihre freundliche Aufmerksamkeit! Unsere Expertise: n IT-Sicherheit für Smart Buildings n Data Leakage Protection n IT-Sicherheit (div. Themenfelder) Dr. Steffen Wendzel Head of Smart Building Security Abteilung Cyber Security Fraunhofer FKIE Friedrich-Ebert-Allee 144 D Bonn steffen.wendzel@fkie.fraunhofer.de