Wireless Things

Kommentieren Drucken

Das ComConsult Wireless Forum 2013 wagte zum Ende der Veranstaltung in der vergangenen Woche einen Blick über den Tellerrand der ansonsten auf die Unternehmens-IT ausgerichteten Themen: In zwei Vorträgen von Heinrich Merz von der ads-tec GmbH und Prof. Dr. Schuba von der Fachhochschule Aachen wurden die Nutzung von Wireless LANs im industriellen Umfeld und die IT eines modernen Kraftfahrzeugs diskutiert.

Beide Anwendungsfelder unterliegen ähnlichen Entwicklungen und Anforderungen, die sich zum Teil deutlich von denen im Büroumfeld unterscheiden und die nichtsdestotrotz auch netzwerktechnisch relevant sind:

  • Die Bauteile (Steuerelemente, Sensoren, Aktoren, Regler, Kommunikationssysteme für Sprache und Bild, Unterhaltselektronik etc.), die netzwerktechnisch aktiv sind und daher eingebunden werden müssen, werden immer zahlreicher, in einigen Bereichen explodiert ihre Anzahl förmlich.
  • Es ist in der Regel kein Platz zum Einbau aufwändiger IT-Technik wie wir sie im Büroumfeld gewohnt sind, insbesondere sicherheitstechnische Komponenten wie z. B. Firewalls fehlen meist vollständig. Darüber hinaus spielen die Kosten natürlich eine Rolle und gerade bei den Autoherstellern scheint das Know-How und das Verständnis für die Probleme in großen vernetzten Strukturen, die ggfls. sogar aus öffentlichen Netzen erreichbar sind, zu fehlen.
  • Es werden vermehrt preisgünstige Standardkomponenten bzw. Komponenten, die auf Standardbausteinen beruhen, verbaut.
  • Beide Anwendungsfelder sind durchaus als sicherheitskritisch bis sehr sicherheitskritisch einzustufen.

Die Folgen dieser Entwicklungen liegen auf der Hand:

  • Beides sind typische Beispiele für die Entwicklung des Internet of Things (IoT): Viele „Dinge“ werden kommunikationstechnisch aktiv und in das eine, große Netzwerk integriert.
  • Mit den Standardkomponenten ziehen vermehrt auch Standardprotokolle wie Ethernet, WLAN und IP in diese Bereiche ein, die bislang von mehr oder weniger proprietären Bussystemen und Spezialprotokollen beherrscht wurden.
  • Gerade bei bewegten und mobilen Systemen spielen Funktechnologien eine große Rolle. Das muss nicht in jedem Fall WLAN sein, gerade im Auto kommen bekanntermaßen auch öffentliche Mobilfunktechnologien bis hin zu LTE zum Einsatz.
  • Damit sind die bislang abgeschotteten und proprietären Netze jetzt plötzlich von außen erreichbar, aus dem Unternehmensnetz – was ja durchaus gewollt ist –, in vielen Fällen aber eben auch aus öffentlichen Netzen oder via Funktechniken zumindest aus dem öffentlichen Raum.
  • In diese Netze können problemlos potenziell unsichere Geräte vom Notebook bis zum Smartphone, von der CD bis zum USB-Stick eingebunden werden.

Im Folgenden will ich kurz anhand zweier Beispiele erläutern, welche Konsequenzen dies haben kann.

Einbindung ins Unternehmensnetz: Viele Systeme im industriellen Umfeld sind identisch konfiguriert. Dies hat verschiedene Gründe. Zum einen ist es natürlich für den Hersteller einfacher und billiger, einheitlich konfigurierte Systeme auszuliefern – man kennt das aus dem Consumer-Bereich. Zum anderen müssen diese Systeme aber gerade im rauen industriellen Einsatz schnell und ohne IT-Kenntnisse ausgetauscht werden können. „Identisch konfiguriert“ bedeutet aber beispielsweise auch gleiche Netzwerkadressen!

Als typisches Beispiel für eine solche Situation nannte Herr Merz selbstfahrende Transportsysteme in Lagerbereichen, die über eine WLAN-Client-Bridge angebunden werden sollen. Um Konflikte aufgrund der mehrfach vergebenen Netzwerkadressen zu verhindern, werden in solchen Szenarien WLAN-Brücken eingesetzt, die eine Routing-Komponente integriert haben und die Netze auf Layer 3 (IP) trennen. Werden dann auch noch gleiche IP-Adressen verwendet, muss zusätzlich auch NAT eingesetzt werden.

Letzteres heißt dann natürlich, dass sich das komplette Netz des Gabelstaplers hinter einer einzigen IP-Adresse versteckt und die einzelnen Teilkomponenten, also beispielsweise der Sensor für den Antrieb, gar nicht von außen erreichbar sind. Eine Datenübertragung ist nur dann möglich, wenn der Sensor selbst die Kommunikation initiiert.

Mit anderen Worten: Es fahren kleine, gut getarnte Netze durch Ihre Hallen, in die Sie nicht hineinschauen können, die ihrerseits aber fröhlich Datenverbindungen in Ihr Unternehmensnetz hinein aufbauen. Wenn Ihr Gabelstapler dann noch einen Ethernet-Port z.B. für Diagnosezwecke hat, sollten Sie Ihr Netzwerk wenigstens gut gegen das WLAN, in dem sich die Gabelstapler befinden, schützen.

Damit sind wir auch schon beim zweiten Beispiel: Wie sieht es überhaupt mit der Sicherheit für und in diesen Netzen aus? Die Vielzahl von elektronischen Komponenten in einem modernen Kfz, die alle miteinander vernetzt sind und zum Teil sogar mit der Außenwelt und mit öffentlichen Netzen kommunizieren, machen das Gesamtsystem für Angriffe äußerst anfällig. Die Szenarien sind vielfältig:

  • Als neue Sicherheitsfunktion wird eine Car-2-Car-Kommunikation entwickelt. So können vorausfahrende Fahrzeuge nachfolgende vor Gefahren warnen. Eine Autorisierung solcher Warnmeldungen erscheint zum jetzigen Zeitpunkt sehr schwierig, bei der IEEE wird als 802.11p ein entsprechender WLAN-Standard erarbeitet.
  • Es gibt Berichte, dass sich Werkstätten „proaktiv“ beim Besitzer von bestimmten Fahrzeugen gemeldet haben, um eine Service-Inspektion zu vereinbaren. Anscheinend telefoniert das Fahrzeug selbständig „nach Hause“.
  • Bei Car-Sharing-Fahrzeugen ist dieses „nach Hause telefonieren“ weitgehend üblich, auf diese Wiese meldet das Fahrzeug, wo es abgestellt wurde.
  • Erste Versicherungen bieten Zusatzmodule an, um den Fahrstil des Fahrers zu überwachen, im Gegenzug werden bei einem moderaten Fahrstil günstigere Prämien versprochen.
  • Über Standardschnittstellen (Diagnose-Port (OBD), USB, Bluetooth etc.) erlangt man Zugang zu sensiblen Daten. So ist es beispielsweise schon gelungen, über ein Notebook am OBD-Port per WLAN-Schnittstelle gefälschte Nachrichten in den CAN-Bus eines fahrenden Autos einzuspeisen. Mögliche Angriffe: falsche Geschwindigkeitsanzeige, Manipulation der Heizung, Motor ausschalten, Bremsen abschalten.
  • Ähnliche Angriffe sind sogar über Speichermedien (Firmware-Update über CD, Abspielen vermeintlicher Audioformate über USB) und beispielsweise gehackte Smartphones mit entsprechenden Trojanern möglich.

Das Fazit aus beiden Vorträgen: Wir werden es in Zukunft auch in den Unternehmensnetzen mit einer schnell wachsenden Zahl neuer Netzwerkkomponenten, Endgeräten und neuartiger Endgerätetypen zu tun bekommen und die meisten dieser Systeme werden funktechnisch, in der Regel über WLAN, eingebunden werden. Ob diese Entwicklung im Einzelfall aus dem Fuhrpark, aus der Fertigungshalle, aus der Kantine oder der Gebäudesteuerung kommt, spielt im Grunde keine Rolle, laut Murphy kommen entsprechende Anforderungen sowieso gleichzeitig aus mehreren Ecken. Niemand sollte glauben, dass er das aufhalten kann. Richtig spannend wird es aber, wenn Sie feststellen, dass ein Großteil dieser neuen Geräte weder netzwerktechnisch noch sicherheitstechnisch auf dem Stand einer modernen Unternehmens-IT ist. So oder so: Die Einbindung ins Unternehmensnetzwerk erfordert schnelle und praktikable Lösungen. Die Integration mobiler Endgeräte wie Smartphones und Tablets ist erst ein kleiner Anfang. Wenn die Netzwerkabteilung darauf keine Antworten hat, wird sie übergangen.

zugeordnete Kategorien: Endgeräte, IT-Sicherheit, Web-Techniken, WLAN
zugeordnete Tags: , , , ,

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.