Call des Monats

März

Cybersecurity: Sicherheit im Internet der Dinge

Das Internet der Dinge boomt weltweit, schon für 2020 erwarten Marktforscher weltweit mehrere Milliarden IoT Endpunkte. Aber das Thema Sicherheit scheint für viele Anwendungen nicht an erster Stelle zu stehen. In 2018 haben 86 Prozent der befragten IT- und Sicherheitsentscheider in einer Umfrage angegeben, dass in ihrem Unternehmen das Bewusstsein für IoT-Bedrohungen verbesserungswürdig ist. Es haben sich sogar 47 Prozent der Befragten beklagt, dass die Sicherheit bei IoT-Projekten häufig vernachlässigt wird. Dabei sollte den Unternehmen bekannt sein, dass wir vernetzte Systeme gut gegen Bedrohungen von außen absichern müssen. Wer ein Netzwerk nicht vor dem Eindringen von außen schützt, macht es Angreifern zu einfach.
Eine ganz neue Art IoT-Projekte zu schützen hat das Start-up PHYSEC aus Bochum entwickelt. Ihr Verfahren geht weit über eine reine Software-Lösung für die Sicherheit hinaus. Mehr über PHYSEC und das innovative Verfahren berichtet CEO Dr. Christoph Zenger im Interview “Call des Monats März 2019”.

PHYSEC bietet neuartige Sicherheitslösungen für IoT-Geräte an. Wie kam es zu der Idee?

Die Ursprünge von PHYSEC liegen am Horst Görtz Institut für IT-Sicherheit (HGI) in Bochum. Dort bildeten die Forschungs- und Promotionsergebnisse von Dr. Christian Zenger, dem Geschäftsführer von PHYSEC, am Lehrstuhl von Prof. Dr. Christof Paar für Embedded Security die Grundlage für die Entwicklung unserer Sicherheitslösungen. Gemeinsam mit Dr. Heiko Koepke wurde dann die Idee einer Unternehmensgründung konkretisiert und die erfolgreiche Bewertung für den EXIST-Forschungstransfer umgesetzt.
Wie kann man sich das Sicherheits-Verfahren von PHYSEC vorstellen?
Zentrales Alleinstellungsmerkmal der PHYSEC GmbH ist die sogenannte Physical-Layer Security (PHYSEC), die Ansätze der angewandten Kryptographie und Nachrichtentechnik kombiniert. Im Vergleich zur klassischen Kryptographie, stellt PHYSEC ein fundamental differenzierbares IT-Sicherheitsparadigma dar, das Sicherheitsziele durch die Ausmessung von Eigenschaften des elektromagnetischen Funkkanals und der Verwendung der physikalischen Gegebenheit sowie der Umgebung eines Gerätes erreicht. Mit der PHYSEC-Technologie wurden bislang drei post-quanten resistente IoT-Security Lösungen entwickelt:

1. Die IoT-Schlüsseletablierungslösung IoTree entwickelt, die es Benutzern besonders einfach ermöglicht selbst Kleinstgeräte im IoT (z.B. 8-bit μC) mit individuellen, sicheren kryptographischen Schlüsseln und Relay-resistenten Kommunikationskanälen auszustatten. IoTree ist auch die Grundlage für TLS über LoRaWAN, welches wir mit der Gelsenwasser speziell für IoT-Anwendungen im Kontext kritischer Infrastrukturen und personenbezogener bzw. beziehbarer Daten entwickelt haben. Hier wird die Sicherheitsinfrastruktur von IoTree (Authentifizierung, Schlüsseletablierung und -management) mit der LoRaWAN-Konnektivität und den Vorgaben den Sicherheitsvorgaben des BSI (u.a. TLS) für eine WAN-Kommunikation kombiniert.

2. Ein zweiter Anwendungsbereich stellt einen unklonbaren, schlüssellosen Verifizierungsmechanismus der Authentizität, der Integrität und des „Gesundheitszustands“ eines physikalischen Gegenstands dar. Mit Hilfe elektromagnetischer (EM) Messverfahren wird aus einer dedizierten Umgebung kryptographisch verwertbares Schlüsselmaterial extrahiert, dass es bspw. ermöglicht besonders kostengünstig und einfach bestehende Systeme in nichtvertrauenswürdigen Umgebungen abzusichern. Die Lösung kommt insbesondere auch bei fehlender Stromversorgung ohne Angriffsdetektionsschaltung oder Datenlöschungsschaltkreis aus.

3. Eine Dritte nennenswerte Lösung wird im Rahmen einer Kooperation zwischen der Harvard University, der Princeton University, der Ruhr Universität und der PHYSEC GmbH erforscht. Es handelt sich um sogenannte „Virtual Proofs of Reality“ auf Basis der PHYSEC Technologie, um neuartige und innovative Verfahren zur Abrüstung und Atomwaffenkontrolle zu finden.
Digitalisierung ist ein häufig genutztes Schlagwort, wie auch das Internet der Dinge oder die Smart-City. Welchen Stellenwert hat die Sicherheit in diesem Themenfeld für Anbieter?
Verlässliche IT-Sicherheit wird die größte Bedeutung für die Akzeptanz und das weitere Wachstum des IoT-Marktes haben. Die Sicherheit der miteinander kommunizierenden Geräte ist vor allem so wichtig, weil sie immer mehr sicherheitsrelevante Aufgaben übernehmen oder immer tiefer in die Privatsphäre von Nutzern eingreifen. Doch so groß die Vorteile der funkbasierten Geräte auch sind, so groß sind meist auch die Einfallstore für potenzielle Angreifer. Die Notwendigkeit für IT-Sicherheit besteht, egal ob im Bereich hochwertiger IoT-Geräte, der Industrie (4.0) oder kritischer Infrastrukturen.
Welche Sicherheitsrisiken gibt es bei IoT-Projekten oder Produkten?
Das grundsätzliche Problem bei der Entwicklung von IoT-Anwendungen ist, dass das Thema Sicherheit häufig erst in einem fortgeschrittenen Projektstatus berücksichtigt wird. Dies widerspricht natürlich dem Security-by-Design Grundsatz und führt meist zu Kompromissen, sodass Sicherheitslücken zwangsläufig resultieren. Wie lange es dauert, bis ein Angreifer diese ausnutzt ist eine Frage des Geldes, d.h. wenn ausreichend Systeme im Feld sind erfolgt der Angriff. Eine sehr große Herausforderung bei dem Thema Security im IoT ist das Thema Schlüsselmanagement, d.h. wie die kryptographischen Schlüssel etabliert und gemanagt werden. Darüber hinaus ist natürlich auch das Thema Updatefähigkeit elementar, damit zumindest einige Sicherheitslücken auch noch im Feld geschlossen werden können. Wir begleiten unsere Partner bei der Entwicklung sicherer IoT-Anwendungen und können mit IoTree die Herausforderungen an die IT-Sicherheit kundenspezifisch umsetzen.
Welchen Vorteil bietet die Technologie von Physec gegenüber anderen Sicherheitsverfahren?
Im Vergleich zur klassischen Kryptographie, werden bei PHYSEC Sicherheitsziele durch die Ausmessung von Eigenschaften des elektromagnetischen Funkkanals und der Verwendung der physikalischen Gegebenheit sowie der Umgebung eines Gerätes erreicht. Mit der PHYSEC-Technologie ist es erstmals gelungen, dieses Sicherheitskonzept äußerst effizient umzusetzen. Insbesondere im Vergleich zu traditionellen Ansätzen (z.B. RSA und ECC), werden keine Zufallszahlengeneratoren, sichere Speicher oder große Batterien benötigt. Indem kurzlebige Schlüssel kontinuierlich aktualisiert werden, erhöht die PHYSEC-Technologie die Widerstandsfähigkeit gegenüber Cyberattacken gravierend und hat somit auch abschreckende Wirkung. Bei der Schlüsselableitung wird der Funkkanal für die Ableitung kryptographische Schlüssel verwendet, sodass die Dynamik im Kanal die geteilte Entropiequelle der Kommunikationspartner darstellt. Die PHYSEC-Technologie kombiniert mit dem Know-how im Bereich der eingebetteten Sicherheit stellt einen sehr überzeugenden Ansatz für die IT-Sicherheit im IoT dar.
Arbeiten Sie mit Partnern zusammen oder suchen Sie Kooperationspartner?
PHYSEC arbeitet gemeinsam mit starken Partnern aus Wirtschaft und Forschung. So haben wir beispielsweise mit Gelsenwasser bereits erfolgreich das Projekt TLS über LoRaWAN zur effizienten Zählerfernauslesung durchgeführt, welches wir auch zukünftig gemeinsam weiterentwickeln werden. Die Zählerfernauslesung ist dabei der erste Anwendungsfall, dem eine Vielzahl im Bereich kritischer Infrastrukturen und Smart Cities folgen. Im Bereich Forschung kooperiert PHYSEC mit renommierten Partnern wie der Harvard University, der Princeton University oder dem Horst Görtz Institut für It-Sicherheit. Wir sind selbstverständlich auch offen gemeinsam mit neuen Kooperationspartnern die Sicherheit im Bereich des Internet der Dinge zu revolutionieren.
Das Thema Cybersicherheit betrifft nicht nur Deutschland. Planen Sie auch Ihre Leistungen international anzubieten und suchen nach Partnern für die Unterstützung?
Auf jeden Fall! Wie bereits erwähnt besteht ein starker Bedarf an IT-Sicherheit für das Internet der Dinge, und das nicht nur auf der nationalen Ebene. Da unsere Lösung kompatibel mit einer Vielzahl von Geräten ist, und keinesfalls nur auf den deutschen Markt beschränkt, wollen wir unsere Lösung selbstverständlich den anderen Regionen der Welt nicht vorenthalten. Der nächste Schritt ist die Etablierung unserer Produkte innerhalb Europas. Es ist für uns aber auch besonders interessant in Nordamerika und Asien das Internet der Dinge sicherer zu machen.
Vielen Dank für das ausführliche Interview!

Dr. Heiko Kopeke, CEO (links), Dr. Christian Zenger, CFO (links)

Kontaktinformationen

PHYSEC GmbH
Dr. Christian Zenger
Universitätsstr. 142
44799 Bochum
christian.zenger@physec.de
+49 234 544 2822
www.physec.de