In ihrer Begrüßung betonten Prof. Johannes Blömer und Prof. Eric Bodden, dass IT-Sicherheit auch am Institut für Informatik der Universität Paderborn an Bedeutung gewonnen habe. „Der Bereich wurde mit nunmehr vier Professuren deutlich ausgebaut und wir haben gemeinsam mit dem SICP neue Kooperationsmöglichkeiten für Unternehmen geschaffen“, so Prof. Blömer. Der Software Innovation Campus Paderborn (SICP) war Organisator des 12. Paderborner Tag der IT-Sicherheit und bietet der Industrie nicht nur Verbundprojekte, sondern initiiert und unterstützt Aktivitäten in den Bereichen Weiterbildung und Auftragsforschung.
Vom Funksender zum IoT
Dr. Nils Langhammer begann seinen anschaulichen Vortrag mit einem Blick in die Historie des Miele@home Systems. Bereits 1998 präsentierte Miele unter dem Namen „InfoControl“ seine ersten vernetzten Hausgeräte. Einige Jahre später folgte die Anwendung „SuperVision“, bei der das Backofendisplay als Beobachtungsposten für angeschlossene Geräte in Küche und Waschkeller dient. Mit der Integration in Bussysteme und der komfortablen Gerätesteuerung über Touchdisplay stehen seit 2008 High-End-Lösungen für exklusive Immobilien zur Verfügung. Zeitgleich führte Miele das automatische Zusammenspiel von Kochfeld und Dunstabzugshaube (Con@ctivity) ein. 2014 folgte die Miele@mobile App mit der sich Hausgeräte von jedem beliebigen Ort per Smartphone oder Tablet kontrollieren und steuern lassen. Heute bekommt der Kunden mit Miele@home ein System, bei dem verschiedene Miele Geräte miteinander vernetzt werden. Die Gerätesteuerung und das Kommunikationsmodul sind dabei bewusst voneinander getrennt.
ZigBee Sicherheitslücken
Miele nutzt bei der Vernetzung seiner Geräte ZigBee und WiFi. Die ZigBee Sicherheitslücken veranschaulichte Nils Langhammer anhand von drei Fallbeispielen: den IoT Wurm, Mirai Botnet und ZigBee Insecure Rejoin. Dabei ging er auf Ursachen und Auswirkungen ein und zeigte den Ablauf des Angriffs auf. Die Ursache für den Vorfall bei den Miele Geräten war ein Directory Traversal Bug im verwendeten Webserver, der die Möglichkeit zum unbefugten Auslesen von Daten gab. „Unser Hauptproblem war die mangelhafte Kommunikation“, gestand Dr. Nils Langhammer. Der Bugreport eines Security-Consultants war über Monate ignoriert worden. „Es zeigte uns, dass wir keinen funktionierenden Prozess für solche Fälle hatten. Wir haben die Sicherheitslücke geschlossen.“ So kann das Gerät niemals über das Kommunikationsmodul in einen unsicheren Betriebszustand versetzt werden und bestimmte Funktionen erfordern eine zusätzliche Freigabe am Gerät.
Zusammenfassend betonte Dr. Nils Langhammer, dass unterschiedliche Anwendungen bzw. Dienste immer unterschiedliche Anforderungen an Verschlüsselung, Authentifizierung und Autorisierung bedürfen – auch wenn dies Auswirkungen auf die Latenz, benötigte Rechenleistung und Bedienungsfreundlichkeit habe. „Die Bedrohungslage muss kontinuierlich analysiert werden. Auch sollten regelmäßig Penetrationstests durchgeführt werden“, so Nils Langhammer. „Bei Hinweisen zu Sicherheitslücken gilt es schnell zu reagieren und im Kontakt mit dem Entdecker zu der Lücke zu bleiben.“
Informations- und Erfahrungsaustausch
Die Planung und Leitung des „12. Paderborner Tages der IT-Sicherheit“ oblag Prof. Dr. Johannes Blömer, Prof. Dr. Eric Bodden und Prof. Dr. Gudrun Oevel von der Universität Paderborn, sowie Dr. Gunnar Schomaker, SICP. Dank gilt auch dem Kompetenzzentrum „Digital in NRW“, dem Verein „InnoZent OWL“ und der „Regionalgruppe OWL der Gesellschaft für Informatik e. V.“, die den Tag unterstützt haben. Ziel der Veranstaltungsreihe ist der Wissens- und Erfahrungsaustausch, insbesondere zwischen Hochschule und Wirtschaft. Zudem gilt es, die Kompetenzen am Standort Paderborn kontinuierlich auszubauen.
Alle Informationen zum 12. Paderborner Tag der IT-Sicherheit finden sich hier.