Zusammenfassung der Projektergebnisse

Im Rahmen dieses Projektes wurden die Sicherheit und die Privatsphäre im Internet der Dinge aus verschiedenen Perspektiven betrachtet. So war es möglich, kritische Sicherheitslücken in ZigBee, einem verbreiteten Smart Home Funkstandard, zu finden und diese bei bekannten, auf dem Markt erhältlichen Produkten auszunutzen. Außerdem wurde nachgewiesen, dass die Sammlung und Auswertung von Raumklima-Sensordaten in die Privatsphäre der Nutzer eingreift, weil dadurch sowohl Anwesenheits- als auch Aktivitätsprofile erstellt werden können. Aus ökonomischer Perspektive wurde untersucht, was die möglichen Gründe für das schwache Sicherheitsdesign von ZigBee sein könnten und inwiefern sich dies mit anderen Untersuchungen in den sogenannten Security Economics deckt. Weiterhin wurden erste Erfolge erzielt, Sicherheit auf der physikalischen Ebene besser zu verstehen und zu erhöhen. Dabei haben diese Ergebnisse auf signifikante Art und Weise den aktuellen Forschungsstand erweitert. Im Rahmen der Forschung zu ZigBee Touchlink wurde dazu beigetragen, dass Sicherheitslücken in bekannten Smart Home Produkten namhafter Hersteller geschlossen wurden. Darüber hinaus ist mit Z3Sec ein ZigBee Penetration Testing Tool als Open Source Software auf GitHub veröffentlicht und der Allgemeinheit zur Verfügung gestellt worden. Auch die gesammelten Raumklima-Daten sind als Open Dataset für die Durchführung von Nachfolgearbeiten auf GitHub veröffentlicht. Aus den Forschungsergebnissen ergeben sich Anwendungsperspektiven, infolge derer die Sicherheit und Privatsphäre in IoT Anwendungen langfristig gestärkt werden kann. Es wurde gezeigt, dass über die Auswertung von Raumklima-Daten sensitive Informationen, beispielsweise über die Anwesenheit und Aktivitäten von Bewohner, extrahiert werden können. Eine mögliche Anwendung wäre die Entwicklung von Privatsphäre-schützenden Systemen, die Daten vor dem Upload zu aggregieren und konvertieren, sodass keine anwendungsfremden Schlüsse daraus gezogen werden können. Insbesondere bietet diese Arbeit wissenschaftliche Nachweise darüber, dass auch im Smart Home Kontext Daten gesichert werden müssen. Die Forschungsergebnisse zu ZigBee Touchlink Commissioning haben ergeben, dass dieses Commissioning-Verfahren unsicher ist und nicht weiter eingesetzt werden sollte. Die Erkenntnisse wurden mit bekannten Herstellern entsprechender Produkte (Philips, Osram, GE, IKEA) geteilt, und darauf basierend haben einige Hersteller gravierende Sicherheitslücken gepatched. In zukünftigen Arbeiten könnten weitere Wireless Personal-Area Network (WPAN) oder Low-Power Wide-Area Network (LPWAN) Standards auf ihre Sicherheitsarchitekturen analysiert werden. Darüber hinaus ist die Entwicklung von starken und intuitiv-benutzbaren Sicherheitsmaßnahmen für solch heterogene IoT Netze immer noch ein offener Punkt. Weiterhin ist die Weiterentwicklung und Abschluss unserer Arbeiten hinsichtlich Sicherheit auf der physikalischen Ebene unmittelbar geplant.

Projektbezogene Publikationen (Auswahl)

• Design Space of Smart Home Networks from a Security Perspective. In: Proceedings of the 14. GI/ITG KuVS Fachgespräche Sensornetze, 2015
  Morgner, Philipp, Zinaida Benenson, Christian Müller und Frederik Armknecht
  
• On Ciphers that Continuously Access the Non-Volatile Key. IACR Trans. Symmetric Cryptol., 2016(2):52–79, 2016
  Mikhalev, Vasily, Frederik Armknecht und Christian Müller
  
• On the security of the ZigBee Light Link touchlink commissioning procedure. In: Sicherheit 2016: Sicherheit, Schutz und Zuverlässigkeit, Beiträge der 8. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 5.-7. April 2016, Bonn, Seiten 229–240, 2016
  Armknecht, Frederik, Zinaida Benenson, Philipp Morgner und Christian Müller
  
• Insecure to the Touch: Attacking ZigBee 3.0 via Touchlink Commissioning. In: Proceedings of the 10th ACM Conference on Security and Privacy in Wireless and Mobile Networks, WiSec 2017, Boston, MA, USA, July 18-20, 2017, Seiten 230–240, 2017
  Morgner, Philipp, Stephan Mattejat, Zinaida Benenson, Christian Müller und Frederik Armknecht
  
• Privacy Implications of Room Climate Data. In: Computer Security - ESORICS 2017 - 22nd European Symposium on Research in Computer Security, Oslo, Norway, September 11-15, 2017, Proceedings, Part II, Seiten 324–343, 2017
  Morgner, Philipp, Christian Müller, Matthias Ring, Björn Eskofier, Christian Riess, Frederik Armknecht und Zinaida Benenson
  
• Exploring Security Economics in IoT Standardization Efforts. In: Proceedings of the NDSS Workshop on Decentralized IoT Security and Standards, DISS’18, San Diego, CA, USA, February 18, 2018
  Morgner, Philipp und Zinaida Benenson