Smart Home Testplattform für Interoperabilität und IT - Sicherheit

Transkript

1 Smart Home Testplattform für Interoperabilität und IT - Sicherheit Siegfried Pongratz, VDE Institut, Offenbach am Main Hannover Messe, Smart Grid Forum 9. April 2014

2 Smart Home-Unternehmen arbeiten gemeinsam an der Etablierung eines Smart Home Leitmarktes Deutschland Ziel 1 Ziel 2 Ziel 3 Entwicklung eines Smart Home-Siegels (Zertifizierung) Erstellung eines Empfehlungskatalogs Aufbau einer Smart Home Community Dialog: Projektteam Unternehmen (Kernteam) Arbeitsgruppe Technik Definition der Anforderungen an die Zertifizierung/das Siegel hinsichtlich Interoperabilität IT-Sicherheit Community Building Arbeitsgruppe Markt Erarbeiten von Handlungsempfehlungen Erarbeiten eines Marketingkonzeptes für das Siegel Experten-Team Interoperabilität Experten-Team IT-Sicherheit Markterschließungsstrategie Experten-Team Marketingkonzept Siegel Smart Home Leitmarkt Deutschland = Konzertiertes Vorgehen durch Konsensbildung

3 Zielsetzung der VDE Smart Home Testplattform Einheitliche Prüf Standards Interoperabilität von Systemen und Techniken Datenschutz und Datensicherheit Test- und Prüfverfahren sowie Zertifizierung Informationssicherheit Funktionale Sicherheit

4 Drei Grundfragen der Interoperabilität 3 Grundfragen der Interoperabilität WAS (Applikationssprache) überträgt WER (Dienste und Geräte) WIE (Applikationsprotokoll & Transportprotokoll) Datenmodell: Als Grundlage der Prüfbarkeit in einem Smart Home in einem Smart Home Copyright VDE-Institute All rights reserved - Christopher Knöll Copyright VDE-Institute 2014 All rights reserved Page: 4

5 (Potenzielle) Interoperabilitäts-Schnittstellen Standards/Normen aus: Automation / Komfort Energie Entertainment Sicherheit AAL/ Gesundheit Customer Manager Kundenspezifische Applikationen/ System-Komponenten (Rules Engines etc.) Middleware (auf Normen basierend) Standards: KNX EnOcean ZigBee Propri. Lsg.: eq3 RWE Copyright VDE-Institut All rights reserved

6 Standardisierte neutrale Plattform als Basis für Interoperable Systeme Copyright VDE-Institut All rights reserved

7 Umsetzung der Interoperabilität Tests auf Basis von Use Cases User Stories (1-n) (domänenübergreifend) Im Nachgang: Sammlung über Online-Plattform Use-Case 1: Preisinformation Use-Case 2: Energieprofile Use-Case n: Interface Mapping (WAN) Interface Mapping (HAN) Signal /- Gruppe I/O Signal /- Gruppe dim Signal /- Gruppe PowerSeque. Durch Projektteam Sequenzdiagramme Copyright VDE-Institut All rights reserved

8 Abbildung der Use Cases / User Stories auf das zu prüfende Smart Home Ecosystem Zerlegung der Use Cases und User Stories in die IOP- Grundbausteine: Remote Mgmt. Service Visualisierung & User Control E WAN / (W)LAN Home Automation Platform App G D H IOP-API Cloud Service F App C Building Manager Welche Schnittstellen sind im zu prüfenden System vorhanden? Welche Geräte und Komponenten sind beteiligt? Welche Dienste gibt es? Co B m. Mod ule End A Devic e Co B m. Mod ule A End Devic e LAN/ WLAN End Devic e B Co m. Mod ule A Welche Datenobjekte werden ausgetauscht? UAG Interoperabilität Copyright VDE-Institute All rights reserved Copyright VDE-Institute 2014 All rights reserved Page: 8

9 Example of a test setup of the VDE Test Suite with different Systems TTCN3 VDE Test Suite Test Cases B B e.g. QIVICON / OSGi IOP - APP C e.g. EEBus IOP-APP C Others Com. Module ZigBee Com. Module A BidCos Com. Module Com. Module KNX PLC A Com. Module ZigBee Com. Module.. Com. Module.. A: Simulated Devices / Real Devices B: Automatic Control and Input of Test Cases via IP-Socket / XML-RPC C: IOP APP: Event-Monitoring and External Control of the System

10 Zielsetzung der VDE Smart Home Testplattform Einheitliche Prüf Standards Interoperabilität von Systemen und Techniken Datenschutz und Datensicherheit Test- und Prüfverfahren sowie Zertifizierung Informationssicherheit Funktionale Sicherheit Bereiche der VDE IT-Sicherheitsprüfung

11 Problematiken der IT-Sicherheit im Smart Home Umfeld 1. Funktionalität vor Sicherheit Sicherheit wird erst nachträglich priorisiert 2. Angriffe können mit weit verbreiteten Software-Werkzeugen durchgeführt werden Black-Hat Hacker haben bereits bewährte Tools zur Hand Foto: Petra Bork / pixelio.de 3. Smart Home Systeme werden nicht von System-Administratoren gesichert und gewartet oft nimmt der Endverbraucher das System in Betrieb und verwaltet es allein Verunsicherung der Benutzer Besondere Anforderung an Smart Home Geräte und Systeme Foto: VDE Foto: C.Nöhren / pixelio.de

12 Verfahren zur IT - Sicherheitsprüfung Erstellung eine Sicherheitskonzepts mit einem Anforderungskatalog für Smart Home IT-Sicherheit Entwicklung eines Prüfleitfadens für Smart Home IT-Sicherheit Foto: VDE VDE Zertifizierungsausschuss Label - Vergabe auf Grundlage der Dokumente Die im Förderprogramm Smart Home gebildete IT-Sicherheit Expertengruppe erarbeitet im DKE AK eine IT-Sicherheitsnorm für Smart Home

13 Anforderungen für den VDE Prüfleitfaden Standardpasswörter Missverständliche Dokumentation Keine Verschlüsselung Fremde Übernahme des Systems Lebenszyklen Inbetriebnahme Konfiguration Betrieb Störung Wartung Stilllegung Bedrohungen Anwendungsfälle Vertraulichkeit Integrität Verfügbarkeit Authentizität Datenschutz Informationssicherheit und Datenschutz Komfort Energie Sicherheit Multimedia AAL Ziel: Abdeckung möglichst aller sicherheitsrelevanten Bereiche

14 Prüfkriterien für IT - Sicherheit Sicherheitsaspekte Sichere Administration Offene Ports Nicht verwendete Services Datenfreigaben Softwareversionen Passwort- und Benutzerrichtlinien Betriebssystem-Härtung etc. Angriffsszenarien Brute Force Attacken Session Hijacking Code Injection Cross-Site Scripting Buffer Overflow Denial of Service Spoofing Wire tapping Man-in-the-middle etc.

15 Ziel der IT-Sicherheitsprüfung 1. Bestätigung zur grundsätzlichen Umsetzung eines IT- Schutzkonzepts Die Architektur, das Software-Design und die Implementierung ermöglicht die Einhaltung von IT-Schutz-Anforderungen in ausreichendem Maße. Prüfungen: Dokumentenprüfung, Labortests 2. Bestätigung der wirksamen Umsetzung des IT-Schutzes Die Maßnahmen wurden für Endanwender wirksam umgesetzt. Prüfungen: Labortests, Penetrations-Tests 3. Bestätigung zur Vollständigkeit der Dokumentation bezüglich IT- Sicherheit Die Dokumentation ist vollständig und bietet dem Endanwender alle notwendigen Informationen zur sicheren Verwendung Prüfung: Dokumentenprüfung

16 Prüfbereiche der Smart Home Produktprüfung Funktionsklassen: Klassifizierung von Smart Home Geräten zur Festlegung von granularen Sicherheitszielen Informationssicherheit: Schutzziele zur Informationssicherheit Datenschutz: Schutzziele zum Datenschutz Produktdokumentation: Anforderungen zur Produktdokumentation Schutzziele für die verschiedenen Phasen des Lebenszyklus: Dabei werden alle Phasen des Lebenszyklus eines Smart Home Geräts untersucht (Installation und Inbetriebnahme, Konfiguration, Betrieb, Wartung, Störung, Stilllegung).

17 Prüfung des Datenschutzes 1. Identifikation der Datenschutzrelevanz 1. Werden personenbezogene oder personenbeziehbare Daten erfasst, verarbeitet, gespeichert oder übermittelt? 2. Darauf folgt die Eingruppierung in die entsprechende Datenschutzklasse 2. Prüfung des Datenschutzes entsprechend der Datenschutzklasse 1. Wird der Benutzer über die Erfassung und Verarbeitung seiner datenschutzrelevanten Daten in der Benutzerdokumentation vollständig informiert? 2. Wenn eine Datenschutzrelevanz besteht, wird geprüft, ob eine verantwortliche Stelle klar definiert ist? 3. Zusätzlich: Prüfung ob der Zugang zu datenschutzrelevanten Daten und die Speicherung entsprechend sicher realisiert ist

18 Prüfung der Cloud-Dienste Erweiterung Die erste Version des IT-Sicherheits Architekturdokuments und Prüfleitfadens zielte primär auf Smart Home Geräte (z.b. Gateways). Dies wurde auf Smart Home Services in der Cloud (oder auch Backend ) erweitert. Zugänge Alle Zugänge zu den Server-Farmen und Dienste werden überprüft und bewertet (auch Vor-Ort-Prüfungen und Begutachtung bestehende Zertifizierungen) Implementierung Die Implementierung der Sicherheitsmaßnahmen der Cloud-Kommunikation wird über externe und interne Penetrationstests überprüft. Organisatorische und Vertraglich geregelte Sicherheitsmaßnahmen werden ebenfalls überprüft. Prüfbereiche für die Cloud-Prüfung Sichere Rechenzentren (Zugangsschutz, Brandschutz etc.) Netzwerksicherheit Anwendungs- und Plattformsicherheit Sicherheit des Life-Cycle Managements Datenschutz bei Cloud Services

19 Ihre Ansprechpartner in Deutschland: Vielen Dank für Ihre Aufmerksamkeit Dr. Siegfried Pongratz Leiter Smarte Technologien Phone: VDE Ihr zuverlässiger Partner für Prüfung und Zertifizierung