Sicherheit im Internet-of-Things - Wie man das größte Botnetz der Welt absichert

1. Sicherheit im Internet-of-Things Wie man das größte Botnetz der Welt absichert André Nitze Ultra Tendency GmbH Enterprise Computing Conference 2020 https://www.cecmg.de 12.03. - 13.03.2020 | Köln, Deutschland

2. Pioneering the Future Die Vermessung der Welt 17.03.2020 2Bild: https://www.theregister.co.uk/2015/09/01/intel_nsf_tip_dollars_into_iot_security/ abgerufen am 08.12.2019

3. Pioneering the Future Schätzungen zur Anzahl der IoT-Geräte im Jahr 2020  Mozilla: 30 Mrd.  IDC: 28,1 Mrd.  ABI Research: 40,9 Mrd.  Gartner: 26 Mrd.  Frost & Sullivan: 5,1 / Person Die Angriffsfläche 17.03.2020 3 “[IoT is] a network of networks of uniquely identifiable endpoints (or "things") that communicate without human interaction using IP connectivity — be it "locally" or globally.“ Lund, Turner, MacGillivray, Morales, (IDC): Worldwide and Regional Internet of Things (IoT) 2014–2020 Forecast: A Virtuous Circle of Proven Value and Demand, 2014. Was zählt eigentlich als IoT-Gerät?

4. Pioneering the Future Unterschiede in den Nutzergruppen 17.03.2020 4Quelle: https://www.edn.com/building-the-iot-standards-and-hardware-needs/ ,abgerufen am 10.03.2020.

5. Pioneering the Future Standardisierung auf mehreren Ebenen  Hardware (Sensoren, Aktuatoren)  Software (Betriebssysteme, Protokolle)  Funk-Netzwerke (LoRa, Zigbee…)  IP-basierte Kommunikation Das Internetprotokoll (IP) als Fluch und Segen 17.03.2020 5Bilder: https://www.newgenapps.com/blog/raspberry-pi-vs-arduino-vs-beagle-board, https://ncd.io/iot-sensors/, abgerufen am 08.12.2019

6. Pioneering the Future Angriffe in Verbindung mit IoT-Geräten 17.03.2020 6 2018 https://www.darkreading.com/iot/intern et-connected-cctv-cameras- vulnerable-to-peekaboo-hack/d/d- id/1332841 2016 https://www.chip.de/news/Angriff-auf-900.000-Router-Wie- es-zum-massiven-Telekom-Ausfall-kam_104341602.html 2018 https://thehackernews.com /2018/11/usps-data- breach.html

7. Pioneering the Future Angriffe in Verbindung mit IoT-Geräten 17.03.2020 7 Mirai, 2016 DDoS-Angriff mit 620 Gbps https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/ https://www.politico.eu/article/army-of-light-bulbs-cameras-attack-defenseless-eu-internet-of- things-security/

8. Pioneering the Future OWASP IoT Top 10 (2018)  I1 Weak Guessable, or Hardcoded Passwords  I2 Insecure Network Services (on the devices)  I3 Insecure Ecosystem Interfaces (Mobile, APIs, Cloud backend)  I4 Lack of Secure Update Mechanism  I5 Use of Insecure or Outdated Components  I6 Insufficient Privacy Protection  I7 Insecure Data Transfer and Storage  I8 Lack of Device Management  I9 Insecure Default Settings  I10 Lack of Physical Hardening IoT Grundschutz: OWASP 17.03.2020 8Quelle: https://www.owasp.org/images/1/1c/OWASP-IoT-Top-10-2018-final.pdf , abgerufen am 10.03.2020

9. Pioneering the Future Defense-in-Depth im Internet der Dinge 9 Server IoT Gateway IoT Sensor Funknetz Internet DMZ, Internal network Anwendung

10. Pioneering the Future Defense-in-Depth im Internet der Dinge 17.03.2020 10 Plattformen  On-Premise  Cloud-basiert Protokolle  Einsatzgebiet  Kompatibilität Technologien  Server  Datenbanken  Virtualisierung CoAP HTTP

11. Pioneering the Future IoT-spezifische Angriffsvektoren  Key Reinstallation Attack (KRACK)  IoT resource scanning  Command injection  Unerlaubter Zugriff  DDoS-Angriffe IoT Grundschutz: Secure Software Engineering 17.03.2020 11 Gegenmaßnahmen Software  Gehärtete Betriebssysteme  Sichere Anwendungsentwicklung  Isolation (Speicher, Container, Services)  API-Management Infrastruktur  (Customer) Identity and Access Management (CIAM)  Web Application Firewalls (WAF)  Load-Balancing + Rate Limiting  DDoS-Erkennung

12. Pioneering the Future Betrieb und Wartung von IoT-Infrastrukturen 17.03.2020 12 Betrieb der Infrastruktur  Zentrale Verwaltung aller Geräte (Registrierung, Aktivierung/Deaktivierung...)  Monitoring und Alerting  Skalierung  Backup & Wiederherstellung  … Wartung der Infrastruktur  Ersetzen von Geräten  Batteriewechsel  Neue Firmwares und Sicherheits-Updates  ... Bild: https://blog.lwolf.org/post/going-open-source-in-monitoring-part-ii-creating-the-first-dashboard-in-grafana/, abgerufen am 09.12.2019.

13. Pioneering the Future Kapitel aus ISO / IEC27001:  A.8: Asset management  A.9: Access controls and managing user access  A.10: Cryptography  A.11: Physical and environmental security  A.12: Operational security  A.13: Communications security  A.14: System acquisition, development and maintenance - A.14.2.1 Secure development policy - A.14.2.5 Secure system engineering principles - A.14.2.6 Secure development environment - A.14.2.8 System security testing IoT Grundschutz: Security Controls 17.03.2020 13

14. Pioneering the Future Fazit  IoT Security lässt sich erreichen über die durchgehende Anwendung herkömmlicher Security Controls (vgl. ISO/IEC 27001) mit Blick auf die häufigsten Probleme (OWASP, Common Criteria) Ausblick SDK + Gateway + Device Management + Message Broker + IAM “aus einem Guss”  Azure Sphere  Amazon IoT Core  Ubuntu Core (OS) IoT Security 17.03.2020 14

15. Pioneering the Future Alternativen: International Data Spaces (IDS) Quelle: Prof. Dr. Boris Otto

16. Pioneering the Future Alternativen: International Data Spaces (IDS) Quelle: Prof. Dr. Boris Otto

17. Dr.-Ing. André Nitze E-Mail: andre.nitze@ultratendency.com Web: http://www.andre-nitze.de Twitter: @Andre_Nitze 17.03.2020 Vielen Dank für Ihre Aufmersamkeit!