Expertenbeitrag

 David Hoffmann

David Hoffmann

Account Management, com2m GmbH

Internet of Things Mobilfunkstandard NB-IoT: Wie sicherer Datenaustausch via Narrowband-IoT gelingt

Von David Hoffmann

Ist der Einsatz von Narrowband-IoT zwar nicht in allen möglichen Praxisszenarien obligatorisch, ist es die Datensicherheit hingegen unbedingt. Wie man die NB-IoT-Vorteile nutzt und dabei relevanten Sicherheitsfaktoren wie die Ende-zu-Ende-Verschlüsselung gerecht wird, lesen Sie hier.

Anbieter zum Thema

Der sichere Datenaustausch ist auch beim Einsatz von NB-IoT essenziell.
Der sichere Datenaustausch ist auch beim Einsatz von NB-IoT essenziell.
(Bild: gemeinfrei / Pixabay )

Während sich der erste Teil unserer Artikelreihe mit der Technologie Narrowband-IoT und der Wahl des geeigneten Protokollstacks beschäftigte, steht in diesem Teil der Reihe der wichtige Aspekt der Sicherheit im Mittelpunkt.

Verschlüsselung durch DTLS

Eine echte Ende-zu-Ende-Verschlüsselung ist über die Tarife verbreiteter Mobilfunkanbieter kaum möglich. Zwar kann via VPN eine Verbindung zwischen Endgerät und Cloud-Infrastruktur aufgebaut werden und die VPN-Verbindung mag auch via IPSec verschlüsselt sein, die im VPN übermittelten Daten sind es jedoch nicht. Theoretisch verfügt der Mobilfunkanbieter somit über die Möglichkeit, Einsicht in die Daten zu nehmen und diese zu manipulieren.

NB-IoT-Lösungen sind prädestiniert für den Einsatz im Smart-Metering- oder Smart-City-Bereich – Anwendungsfälle in denen die Nicht-Verfälschbarkeit sowie Vertraulichkeit der übermittelten Daten sichergestellt werden muss. Eine solche, nicht Ende-zu-Ende-verschlüsselte Übertragung ist somit keine Option.

Wie bereits im ersten Teil der Reihe erläutert, empfiehlt es sich, für die Cloud-Kommunikation via Narrowband-IoT UDP-basierte Kommunikationsprotokolle zu nutzen, für das auf das an TCP angelehnte Protokoll DTLS, was für Datagram Transport Layer Security steht, zurückgegriffen werden muss. Die Zahl der DTLS-Implementierungen, vor allem auf Server-Seite, ist im Verhältnis zu den TLS-Implementierungen allerdings überschaubar.

Trotz alledem bietet DTLS eine Vielzahl an Algorithmen, die zur Verschlüsselung herangezogen werden können, zum Beispiel sogenannte Pre-Shared-Key-Verfahren, kurz PSK. Dabei wird ein geheimer Schlüssel, der Sender und Empfänger – also der Cloud-Plattform sowie dem Endgerät im Feld – bekannt ist, genutzt, um eine verschlüsselte Verbindung aufzubauen.

Authentifizierung durch DTLS

Wird jedoch, wie im ersten Teil beschrieben, MQTT-SN als Kommunikationsprotokoll eingesetzt, unterstützt dieses zunächst keine Authentifizierung der verbundenen Geräte und bietet aktuell keine Möglichkeit zur Feststellung der Identität der Clients – es wird lediglich eine ClientID in der CONNECT-Message übermittelt. Benötigt man eine Authentifizierung der Clients, müsste diese also in Form eines eigenen Protokolls auf MQTT-SN-Basis implementiert werden.

Die fehlende Authentifizierungsmöglichkeit mag in einem geschlossenen System ausreichend erscheinen, bietet jedoch ein hohes Angriffspotenzial. Im Fall eines Narrowband-IoT-Szenarios, das zum Beispiel die Verbindung smarter Stromzähler mit einer Cloud vorsieht, könnte beispielsweise die global eindeutige Seriennummer des Zählers als ClientID herangezogen werden. Ein Angreifer hätte somit die Möglichkeit, allein durch Zugriff auf die (Geräte-)Seriennummern, fremde ClientIDs zu ermitteln und Daten im Namen fremder Geräte auszulesen. Er könnte so vertrauliche Informationen abgreifen oder Nachrichten an die Cloud senden und so Daten manipulieren.

Um der fehlenden Authentifizierung beim Einsatz von MQTT-SN zu begegnen, bietet sich der Einsatz eines DTLS-Pre-Shared-Key-Verfahrens an: Für den Aufbau der gesicherten Verbindung ist die Übermittlung korrekter, dem Server bekannter Credentials in Form eines clientIdentifiers sowie eines Pre Shared Keys erforderlich. Anschließend können eingehende MQTT-SN-Nachrichten cloud-seitig anhand des verwendeten clientIdentifiers dem jeweiligen Gerät zugeordnet werden. Der Einsatz von DTLS-PSK ermöglicht somit den Verbindungsaufbau im Austausch gegen korrekte Zugangsdaten und bietet darüber hinaus die Möglichkeit, den Datenverkehr zwischen Gerät und Cloud Ende-zu-Ende zu verschlüsseln.

Wichtig bei der Nutzung von DTLS-PSK ist allerdings die sichere Verwahrung der Credentials – sowohl cloud- als auch geräteseitig. Gerade bei im Feld befindlichen Geräten mit mehrjährigen Einsatzzeiträumen ist es daher sinnvoll, von vornherein Mechanismen für die Aktualisierung der Pre Shared Keys zu unterstützen.

DTLS-Implementierungen: hardware- oder softwareseitig?

Hat man sich für Nutzung von DTLS entschieden, stellt sich die Frage nach der Implementierung. Diese ist sowohl hardware- als auch softwareseitig möglich – sollte aber immer vom Use Case aus gedacht sein.

Vor allem server-seitig ist die Zahl der momentan Verfügbaren überschaubar: Vorhandene Implementierungen sind höchstens in einem experimentellen Stadium oder werden nicht mehr aktiv weiterentwickelt. Das in der Programmiersprache Java entwickelte Projekt Eclipse Scandium ist hier jedoch als positives Beispiel für eine software- und serverseitige DTLS-Implementierung hervorzuheben, die eine Vielzahl von Cipher-Suites, also eine standardisierte Sammlung kryptographischer Verfahren, unterstützt und aktiv weiterentwickelt wird.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Geht es jedoch um batteriebetriebene Endgeräte, die im NB-IoT-Kontext eingesetzt werden, ist die Nutzung von in der Hardware implementierten Verschlüsselungsalgorithmen der softwareseitigen Implementierung von DTLS vorzuziehen. Dies ist nicht bloß aufgrund der höheren Verarbeitungsgeschwindigkeit essenziell, sondern vor allem, da eine hardware-seitige DTLS-Implementierung einen sehr viel geringeren Energiebedarf aufweist. Sollte also die langlebige Spannungsversorgung ein relevanter Faktor sein – und das ist in der Regel einer der zentralen Vorteile von NB-IoT –, sollte man von softwareseitig implementierten Algorithmen auf den Geräten unbedingt Abstand nehmen.

NB-IoT zur Nutzung bereit

Die Anbindung von Geräten via Narrowband-IoT kann in diversen Anwendungsfällen mindestens sinnvoll, aber – aufgrund der Betriebsumgebung des Geräts – oftmals auch schlichtweg notwendig sein. Auch wenn die Technologie grundsätzlich seit mindestens einem Jahr flächendeckend zur Verfügung steht, findet sie erst nach und nach Verwendung. Die zur Verfügung stehenden Ressourcen sind somit rar gesät. Der relevanteste Fallstrick liegt hierbei in der Umsetzung der Sicherheit, also der Ende-zu-Ende-Verschlüsselung sowie der Authentifizierung von Geräten.

Dennoch steht dem Einsatz nichts mehr im Wege, sofern die eingesetzte Software sowohl auf Geräte- als auch auf Cloudseite auf den speziellen Anwendungsfall angepasst und die notwendige Architektur geschaffen wurde – und lohnt sich dann besonders im Kontext von IoT-Lösungen im Bereich des Smart Metering oder der Smart City in vielerlei Hinsicht.

(ID:48228580)