WLAN-Sicherheit in Haustechnik und Automation
Schlüsseltechnik für das Internet der Dinge
Experten sind sich einig, dass das Internet der Dinge (Internet of Things - IoT) bis in zehn Jahren weit verbreitet sein wird. Ein Großteil dieser Geräte in Industrie und Haustechnik wird künftig WLAN als Kommunikationsinfrastruktur nutzen. Die Absicherung der Funknetze über die üblichen, vorab verteilten Netzwerkschlüssel erweist sich in IoT-Szenarien allerdings als unzureichend.
Im privaten oder beruflichen Umfeld kommt für die Anmeldung und Authentifizierung am WLAN in der Regel nur einen einziger, vorab verteilter Netzwerkschlüssel, Pre-Shared Key (PSK) genannt, zum Einsatz. In einem IoT-Szenario mit einer kaum noch überschaubaren Zahl weitgehend autonomer Endgeräte kommt dieses klassische Sicherheitskonzept an seine Grenzen: Ein ungeschützter Netzwerkschlüssel kann schnell zum Schlupfloch für Angreifer werden. Die Frage ist folglich: Wie sicher sind die Geräte, die sich mit dem Netz verbinden?
Im IoT-Bereich geht es nicht um die üblichen Clients wie Notebooks, Smartphones oder Tablets sondern um Heizungen, Lüftungen, Klimatechnik, smarte Beleuchtungssysteme oder Kühlschränke. Diese verfügen nur über die allernötigsten WLAN-Sicherheitsprotokolle, sind auf eine möglichst einfache Konfiguration ausgelegt und haben deshalb weniger Mechanismen, sich und das betreffende Funknetzwerk zu schützen. Daher lassen sie sich oft problemlos hacken - mit womöglich verheerenden Folgen für weitere Netzwerkbereiche.
Wie anfällig IoT-Geräte tatsächlich sind, zeigten beispielsweise die Sicherheitsanalysten des Security-Beratungsunternehmens "Context Information Security" am Beispiel einer smarten Beleuchtungsanlage. Indem sie sich Zugriff auf die zentrale Lampeneinheit verschafften, kontrollierten sie zunächst das gesamte Beleuchtungssystem, konnten anschließend Änderungen an der WLAN-Konfiguration vornehmen und hatten damit die Kontrolle über das gesamte Gebäude-Management.
Ein Schlüssel für alles
Problematisch bei Haustechniksystemen dieser Art beziehungsweise IoT-Geräten generell ist, dass sie in den allermeisten Fällen nur einen einzigen, vorab verteilten PSK-Schlüssel verwenden, um sich mit dem Netzwerk zu verbinden. Ein Gerät, das über diesen Schlüssel verfügt, erhält demnach automatisch uneingeschränkten Zugriff auf das Netzwerk. Wie die Untersuchung von Context gezeigt hat, sind vorab verteilte Schlüssel zwar ein bequemer Weg, Geräte zu authentifizieren, jedoch keinesfalls ein sicherer.
Administratoren erstellen daher oft für jede Gerätefamilie ein eigenes Drahtlosnetzwerk, das die jeweiligen Berechtigungen verwaltet - also ein Netzwerk für Computer, ein weiteres für die Gebäudeklimatisierung, ein drittes für die Beleuchtung etc. Die Anbindung über jeweils separate WLAN-SSIDs führt aber - abgesehen vom größeren Konfigurationsaufwand - zu einem SSID-Overhead und reduziert die Gesamt-Performance des Funknetzwerks. Es stellt sich also die Frage nach Alternativen für eine sichere Anbindung der vielen Endgeräte im IoT.
Individuell konfigurierbare Zugriffs- und Nutzungsrechte
Als erstes gilt es, den Netzwerkrand genügend abzusichern - sowohl für den kabelgebundenen als auch drahtlosen Zugang. Um Geräte dann bestmöglich einzubinden, empfiehlt es sich, diesen einmalige und für jedes Gerät spezifische Anmeldeinformationen zuzuweisen und damit nur begrenzte Rechte einzuräumen. Außerdem hilft es, für Visibilität zu sorgen und die Aktivität der Geräte zu überwachen: Sollte eine smarte Glühbirne versuchen, auf Facebook zuzugreifen, wüsste der Systemadministrator sofort, dass etwas nicht stimmt.
Um die Funktionalität und Aktivität der Geräte einzuschränken, lassen sich private, vorab verteilte Schlüssel (Private Pre-Shared Keys - PPSK) verwenden, die jeweils unterschiedliche Rechte beinhalten. Ähnlich wie bei 802.1X-basierender Autorisierung - aber ohne die dafür nötigen Zertifikate - kann die Administration dabei Gerätegruppen unterscheiden und dafür Zugriffsrechte sowie Netzwerkrichtlinien individuell konfigurieren. Ein Schlüsselsatz kann so beispielsweise für den Gast- oder für den BYOD-Zugang (Bring Your Own Device) Verwendung finden, ein anderer hingegen für das Gebäude-Management.
Mit den PPSK lassen sich Regeln wie L2-L7-Firewalling, VLAN- oder Tunnelzuweisung, QoS-Profile, Rate Limits (in welchem Umfang sind Applikationen nutzbar) sowie Zeitlimits definieren (an welchen Tagen und zu welchen Uhrzeiten ist ein Key gültig). Außerdem kann die Administration über Service Level Agreements (SLAs) Mindestbandbreiten für bestimmte Gerätegruppen definieren.
Im Beispiel eines smarten Beleuchtungssystem stellen anhand der PPSK definierte Firewall-Richtlinien sicher, dass nur die Systeme selbst, nicht jedoch andere Nutzer/Geräte, die sich im Netzwerk eingeloggt haben, Änderungen an der Haustechnik vornehmen dürfen. Ein Unbefugter kann die Sicherheitstechnik einer Glühbirne also zwar möglicherweise knacken, kommt danach aber nicht weiter, da die Zugriffsrechte auf eine Aktion wie "Licht an, Licht aus" beschränkt sind. Der Schaden für ein Unternehmen bleibt selbst bei einem erfolgreichen Hacker-Angriff begrenzt.
Implementierung privater Netzwerkschlüssel
PPSK lassen sich von Administratoren per Zugriff auf das zentrale Management-System generieren oder von Mitarbeitern auf Grundlage einer Gruppenberechtigung erstellt und anschließend auf die Access Points laden. Sie sind auch über eine CSV-Datei importierbar. Die privaten Schlüssel und die damit verbundene individuelle Zuteilung von Rechten bieten ein großes Einsatzspektrum, können zu Tausenden vergeben werden und schaffen dadurch eine gute Grundlage für das stetig wachsende Internet der Dinge. Anonymer Zugriff ist dank der spezifischen Netzwerkschlüssel und eingeschränkten Zugriffsrechte ausgeschlossen.
Administratoren können die maßgeschneiderten Zugriffsrechte zudem jederzeit weiter einschränken oder ganz widerrufen. Ferner kommen die Regelsätze direkt am Zugang des Netzes - also im Access-Point - zur Anwendung und gelangen dadurch nicht wie sonst bis zum zentralen Controller. Damit wird ungewollter und unnötiger Verkehr direkt am Netzwerkzugang verhindert und zusätzlich zur erhöhten Sicherheit des Netzwerks auch die gesamte restliche Netzwerkinfrastruktur entlastet.
Lesen Sie mehr zum Thema
