Drahtlose Sensornetzwerke werden zunehmend in immer mehr Anwendungsszenarien eingesetzt, um vielfältige Aufgaben in unterschiedlichsten Umgebungen zu erfüllen. Ein drahtloses Sensornetzwerk (WSN) ist ein Ad-hoc-Netzwerk aus miniaturisierten, autonomen Rechengeräten, das sich selbst organisiert, verteilt, unbeaufsichtigt und heterogen ist und über mehrere Hops verfügt. Es kombiniert kleine, kostengünstige Sensorknoten (mit Einschränkungen hinsichtlich Stromversorgung/Akkukapazität, Übertragungsbandbreite, Rechenleistung/CPU und Speicher, Widerstandsfähigkeit gegen physische Angriffe usw.), Sink-Knoten/Basisstationen, universelle Rechenelemente und weitere Komponenten. Die Sensorknoten können in Clustern gruppiert werden, wobei jeder Cluster einen Knoten als Clusterkopf (CH) besitzt.
Alle Sensorknoten senden ihre Daten an den Clusterkopf, der sie wiederum über drahtlose Mehrsprungkommunikation an einen spezialisierten Knoten, den sogenannten Sink-Knoten, weiterleitet. Drahtlose Netzwerksysteme (WSNs) integrieren Sensorknoten, Sink-Knoten (Basisstationen) und vertrauenswürdige Aggregationspunkte. Die meisten WSNs bestehen aus Hunderten oder Tausenden kostengünstiger und energieeffizienter Sensorknoten, die zur Überwachung und Beeinflussung der Umgebung eingesetzt werden. Dabei kommen verschiedene drahtlose Kommunikationstechnologien zum Einsatz, wie beispielsweise Bluetooth, ZigBee/IEEE 802.14.5, Wi-Fi/LiFi, WiMAX und andere. Sie werden für eine Vielzahl von Anwendungen eingesetzt, darunter: intelligente Stromnetze, Überwachung, Logistik, Prozesssteuerung, Energieeinsparung, medizinische und Gesundheitsanwendungen (RWBSNs, drahtlose Biosensornetzwerke), industrielle Anwendungen, Präzisionslandwirtschaft, Katastrophenerkennung, militärische Anwendungen (Feindverfolgung im Krieg, Pipelineschutz, Überwachung von Aufständischen), Umweltüberwachung, Hochhaus- und Brückensicherheit, Erdbebenvorhersage, -erkennung und -überwachung, Überwachung von Industriemaschinen, Meeresüberwachung, Wildtierüberwachung, Hausautomation, Licht-/Temperatursteuerung, Anlagenmanagement (Bewegungs- und Lagerverfolgung), intelligente Gebäude, Ambient Intelligence (AmI), Geschäftsanwendungen usw. Auf Netzwerkebene sind ihre drahtlosen Verbindungen unsicher (Denial-of-Service-Angriffe, Abhören, Paketwiederholung und -einschleusung usw.), und ihre Knoten sind in der Regel nicht resistent gegen Angriffe.
Geschichtete Organisation:
Ein großes drahtloses Sensornetzwerk kann in Schichten strukturiert sein, wobei die Kommunikation von unten nach oben erfolgt. Zum Beispiel: (1) Die unterste Schicht würde Tausende kostengünstiger, spezialisierter Sensorknoten enthalten, wie z. B. Inventaretiketten/Sensorknoten. (2) Die oberste Schicht würde Hunderte von generischen Sensorknoten umfassen, wie z. B. Bewegungsmelder an Fenstern, Türen usw. (3) Die oberste Schicht würde Dutzende von Sensorknoten mit hoher Bandbreite mit Kameras, Mikrofonen usw. enthalten. (4) Die oberste Schicht würde einige Gateway-Knoten mit einer Weboberfläche, einer Datenbank und einer Internetverbindung enthalten.
Ziele der Cybersicherheit.
Unter anderem lassen sich folgende Ziele identifizieren:
(1) Datenvertraulichkeit. Diese gewährleistet, dass Informationen für unbefugte Benutzer unzugänglich sind. Daten auf Sensorknoten sollten verschlüsselt werden, sodass sie nur vom Zielknoten gelesen werden können. In manchen Einsatzszenarien werden die Daten von den Knoten nicht in einem einzigen Routing-Hop an den Zielknoten gesendet (Mehrsprung-Routing ist möglich). Der Zielknoten besucht einen Sammelpunkt, der sich möglicherweise mehrere Hops vom Sensorknoten entfernt befindet, und die Daten müssen über andere Sensorknoten gesendet werden. In diesen Fällen dürfen die zwischengeschalteten Sensorknoten die übertragenen Informationen nicht verstehen können. Datenvertraulichkeit verhindert außerdem, dass ein Angreifer die im Speicher eines kompromittierten Sensorknotens gespeicherten Daten einsehen kann.
(2) Datenintegrität. Schützt vor unbefugter Datenänderung. Dies ist nur möglich, wenn das Netzwerk unbefugte Datenmanipulationen wie Einfügen, Ersetzen und Löschen erkennen kann. Es schützt vor Such-und-Ersetzen- sowie Such-und-Löschen-Angriffen. Wird ein Löschvorgang erkannt, müssen die Daten aus Backups wiederhergestellt werden.
(3) Datenauthentifizierung. Diese gilt für alle Knoten- und Datentypen. Sie gewährleistet die Identität des Kommunikationsknotens; beispielsweise müssen sich die beiden Kommunikationspartner gegenseitig identifizieren können. Über das Netzwerk übermittelte Informationen müssen hinsichtlich ihres Entstehungszeitpunkts, des Ursprungs (Datum und Uhrzeit), des Ursprungs, der GPS-Koordinaten usw. authentifiziert werden. Sie gewährleistet außerdem die Datenintegrität, wenn eine Nachrichtenmanipulation erkannt werden kann.
(4) Zukunftsorientierte Cybersicherheit. Die Kompromittierung eines Geheimnisses in einer Runde darf nicht zur Kompromittierung von Geheimnissen aus vorherigen Runden führen (Verwendung von Einmalschlüsseln und Nonces). Es muss sichergestellt sein, dass ein Angreifer, der den aktuellen kryptografischen Schlüssel kompromittiert, nicht in der Lage ist, frühere Schlüssel mit diesem Schlüssel zu generieren. Der Angreifer darf nicht einmal die Authentifizierungslabel für Daten fälschen können, die vor der Kompromittierung der Cybersicherheit generiert und authentifiziert wurden.
(5) Rückwärtssicherheit. Die Kompromittierung eines Geheimnisses zu einem beliebigen Zeitpunkt darf nicht zur Kompromittierung weiterer Geheimnisse führen, die später verwendet werden sollen. Wenn ein Angreifer den aktuellen Zustand des Sensorknotens erlangt, darf er die nach der Kompromittierung generierten und erneut verschlüsselten Daten nicht entschlüsseln können. Der Angreifer darf keine Authentifizierungs-Tags für Daten fälschen können, die nach der Kompromittierung der Cybersicherheit generiert und authentifiziert wurden.
Cyberangriffe auf WSNs.
Einige der häufigsten Cyberangriffe auf WSN-Umgebungen werden von Sink-Knoten erkannt, andere hingegen nicht. Beispiele für Cyberangriffe sind:
(1) Cyberangriffe auf Protokollarchitekturschichten. Auf der MAC-Schicht (Media Access Control)/L2 können Denial-of-Service-Angriffe (DoS) auftreten, bei denen das Übertragungsmedium durch kontinuierliches Senden von Rauschen monopolisiert wird. Dies kann erfolgen, ohne die Stromversorgung des Angreifers zu erschöpfen, und hängt vom Schwellenwert für die Trägererkennung auf der physikalischen Schicht/L1 ab. Der IEEE-802.11-Standard verwendet Zugriffskontrolllisten (ACLs) zur Zugriffskontrolle. Befindet sich eine L2/MAC-Adresse (48 Bit) nicht in der Liste, wird der Zugriff auf den Knoten verweigert. Das Problem besteht darin, dass MAC-Adressen leicht gefälscht werden können. Auf der Netzwerkschicht L3 lassen sich folgende Aspekte identifizieren:
(i) DoS-Cyberangriffe. Sie sind leicht einzurichten; ein Angreifer kann einen wichtigen Teil des Netzwerks lahmlegen, Gespräche führen und die Batterie anderer Knoten entladen (Strom-/Batterieentladungs-Cyberangriff). Dabei werden viele RREQ-Nachrichten gesendet, ohne die Routen zu verwenden.
(ii) Cyberangriffe, die auf der Broadcast-Natur der Kommunikation basieren. Jede Nachricht kann an allen Knoten innerhalb der Übertragungsreichweite empfangen werden. Paket-Sniffer sind einfacher einzusetzen als in kabelgebundenen Netzwerken, was die Privatsphäre beeinträchtigt.
(iii) Cyberangriffe, die auf Schwachstellen in der Routenfindung basieren. Das AOLV-Routenfindungsprotokoll verwendet RREQ/RREP, was die Erkennung von Schwachstellen in der Routenfindung erschwert. WSNs sind anfällig für RREP-Replay-Angriffe.
(iv) Cyberangriffe, die auf Paketverwerfungen basieren. Mechanismen zur Überwachung von Paketverwerfungen beanspruchen erhebliche Ressourcen. Das AODV-Routing-Protokoll verfügt zwar über Timeouts, bietet aber keine theoretischen Lösungen; es ist schwierig, Paketverwerfungen (d. h. RREQs) von fehlenden Routen zu unterscheiden. Sensorknoten verhalten sich mitunter ressourcenschonend.
(v) Cyberangriffe, die auf Paketumleitung basieren. Diese sind schwer nachzuverfolgen. Sie werden daher auch als Datenebenen-Cyberangriffe bezeichnet. Der Angreifer legt zwar die Pfade offen, leitet aber keine Daten über diese Pfade weiter. Maßnahmen auf der Steuerungsebene reichen nicht aus.
Auf Anwendungsebene der Protokollarchitektur sind mobile Sensorknoten leicht zu infizieren. Die Umleitung von Inhalten über die Basisstation wirft Bedenken hinsichtlich des Datenschutzes auf.
(2) Cyberangriffe auf das Routing. Drahtlose Sensornetzwerke (WSNs) nutzen Multi-Hop-Routing, um Daten an den Zielknoten zu übertragen (wenn sich dieser in Reichweite des Sensorknotens befindet) oder um Datenantworten und Authentifizierungscodes von einem Knoten an die anderen zu senden. Alle Datenübertragungen erfolgen drahtlos, wodurch die Netzwerke anfällig für Routing-Angriffe sind. Einige dieser Angriffsarten sind:
(a) Sinkhole-Cyberangriff. Der gesamte Datenverkehr wird auf einen kompromittierten Knoten umgeleitet. Dieser Cyberangriff funktioniert, indem der kompromittierte Knoten für umliegende Knoten attraktiv erscheint. Dadurch können weitere Cyberangriffe auf das WSN, wie z. B. selektives Weiterleiten, ermöglicht werden.
b) Spoofing-Cyberangriff. Dies ist ein direkter Cyberangriff auf das Routing-Protokoll. Der Angreifer kann Routing-Informationen zwischen Sensorknoten fälschen, verändern oder wiederholen. Dadurch kann der Angreifer Routing-Schleifen erzeugen
Verlängerung oder Verkürzung von Servicerouten, Generierung falscher Fehlermeldungen und Erhöhung der End-to-End-Latenz.
(c) Sybil-Cyberangriff. Ein Sensorknoten gibt sich als mehrere Knoten im Netzwerk aus. Dieser Cyberangriff zielt auf fehlertolerante Systeme wie Mehrwege-Routing, verteilten Speicher usw. ab. Professionelle Verschlüsselungs- und Authentifizierungstechniken können diesen Cyberangriff verhindern.
(d) Selektiver Weiterleitungsangriff. Bei der Weiterleitung einer Nachricht über mehrere Routing-Hops wird üblicherweise davon ausgegangen, dass die Sensorknoten die empfangenen Nachrichten korrekt weiterleiten. Bei dieser Art von Cyberangriff verhält sich der bösartige Sensorknoten wie ein schwarzes Loch, indem er die Weiterleitung aller Nachrichten ablehnt und bestimmte Nachrichten verwirft. Dieser Cyberangriff kann unentdeckt bleiben, da der bösartige Sensorknoten nur kritische Nachrichten unterdrückt und die übrigen weiterleitet, um keinen Verdacht zu erregen.
(3) Klonangriffe. Da Sensorknoten in einem drahtlosen Sensornetzwerk unter rauen Bedingungen eingesetzt werden können, sind sie anfällig für Abfangen und Kompromittierung (Instrumentierung und Seitenkanalanalyse). Ein Angreifer kann die Kennung und die Daten des abgefangenen Sensorknotens auf einen neuen Knoten kopieren und diesen im Netzwerk einsetzen. Die Knotenreplikation kann die Netzwerkleistung erheblich beeinträchtigen. Daten können beschädigt oder falsch weitergeleitet werden. Der angreifende Sensorknoten kann falsche Messwerte an den Zielknoten senden. Gelingt es dem Angreifer, Klone in bestimmte Netzwerksegmente einzufügen, kann er Zugriff auf dieses Segment erlangen.
(4) Physische Cyberangriffe. Angreifer übernehmen manuell die Kontrolle über Sensorknoten und programmieren diese um. Der Hauptvorteil dieser Angriffsart liegt in ihrer Geschwindigkeit und Einfachheit. Solche Angriffe können Sensorknoten dauerhaft zerstören, und die daraus resultierenden Verluste sind irreversibel. Zwei mögliche Arten physischer Cyberangriffe sind:
(a) Störung. Bei dieser Art von Cyberangriff wird der Kanal mit Störsignalen überflutet. Um einen Knoten oder eine Gruppe von Sensorknoten im drahtlosen Sensornetzwerk außer Gefecht zu setzen, kann ein Hochfrequenzsignal gesendet werden, das die Signale der anderen Sensorknoten stört.
b) Physische Manipulation. Sensorknoten sind anfällig für physische Manipulation. Um diese Art von Cyberangriff zu verhindern, kann manipulationsresistente Hardware (wie Trusted-Path- und kryptografische kontaktlose RFID-/Smartcards) eingesetzt werden, diese ist jedoch etwas teurer.
(5) Cyberangriffe auf Daten/Code. Viele drahtlose Sensornetzwerke arbeiten unbeaufsichtigt, d. h. ihre Sensorknoten müssen Daten über längere Zeiträume im Speicher ablegen (manchmal bis zum nächsten Scan oder Besuch des Knotens). Da die Daten nicht heruntergeladen werden können, sind sie ein leichtes Ziel für Angreifer. Ein Angreifer kann kritische Informationen (Daten/Code) löschen, falsche Daten oder Messwerte in den Speicher einschleusen oder die Daten verändern.
Abschließende Betrachtungen
: Drahtlose Sensornetzwerke (WSNs) stellen eine neue Klasse von Computern dar, die Interaktion und Informationsaustausch zwischen der physischen Welt und menschlichen oder maschinellen Beobachtern ermöglichen (z. B. Prozessüberwachung in Gefahrenbereichen, Umweltüberwachung, Parkraummanagement, Gesundheitswesen, Militär und Strafverfolgung, Geschäftsanwendungen). Es gibt viele verschiedene Forschungsbereiche im Bereich der WSNs, darunter kryptografisches Schlüsselmanagement, Routing-Cybersicherheit und Cybersicherheit in Gruppen- und Broadcast-Kommunikation.
Unsere Forschungsgruppe beschäftigt sich seit über zwanzig Jahren mit der Synthese, Analyse und Bewertung von WSN-Mechanismen, -Diensten und -Anwendungen in verschiedenen Szenarien mit unterschiedlichen mehrstufigen Topologien, wobei Sicherheit ein grundlegendes Prinzip darstellt.
Dieser Artikel ist Teil der Aktivitäten, die im Rahmen des LEFIS-Themennetzwerks durchgeführt wurden.
Literatur
Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2013.
Areitio, J. „Identification and analysis of VLC/LiFi technology from a cybersecurity-cyberprivacy perspective“. Conectrónica Magazine. Nr. 164. Februar 2013.
Areitio, J. „Technical protection considerations regarding Bluetooth for WPAN“. Conectrónica Magazine. Nr. 160. September 2012.
Areitio, J. „Need for protection in environments based on ambient intelligence and CPS“. Conectrónica Magazine. Nr. 165. April 2013.
Zhao, F. und Guibas, L. „Wireless Sensor Networks: An Information Processing Approach“. Morgan Kaufmann. 2004.
Dargieand, W. und Poellabauer, C. „Fundamentals of Wireless Sensor Networks: Theory and Practice“. 1. Auflage. Wiley. Raghavendra
, C.S., Sivalingam, K. und Znati, T.M.: „Wireless Sensor Network“. Springer. 2005.
Liu, D. und Ning, P.: „Security for Wireless Sensor Networks“. Springer. 2006.
Buttyan, L. und Hubaux, J.-P.: „Security and Cooperation in Wireless Networks: Thwarting Malicious and Selfish Behavior in the Age of Ubiquitous Computing“. Cambridge University Press. 2007.
Xiao, Y., Shen, X. und Du, D.-Z.: „Wireless Network Security“. Springer. 2010.
Deng, J., Han, R. und Mishra, S.: „Security, Privacy and Fault Tolerance in Wireless Sensor Networks“. Artech House. 2005.
Chang, L., Ji, J. und Zhang, Z.: „Wireless Network Security: Theories and Applications“. Springer.Xiao
Khan, S.A. „Drahtlose Sensornetzwerke“. CRC Press. 2012.
, Y. „Sicherheit in Sensornetzwerken“. Auerbach Publications. 2006.
Wen, H. „Physikalische Schichtansätze für die Sicherheit drahtloser Kommunikationssysteme“. Springer. 2013.
Autor:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften der Universität Deusto.
Leiter der Forschungsgruppe Netzwerke und Systeme
