Aus Sicherheitsgründen ist es wichtig, Risikofaktoren schon zur Entwurfszeit zu berücksichtigen. Ge-fahren, die erst später deutlich werden, sind meist nicht mehr adäquat zu bekämpfen. Die folgenden Risikobetrachtungen sollen demonstrieren, welche Angriffsszenarien denkbar sind und wogegen sich die MASC-Anwendung schützen muss.
Bild 3.4 zeigt die Bereiche, in denen Angriffe erfolgen können. Angriffspunkt 1 ist das Container-Inne-re. Zwei Arten von Angriffen können aus dem Inneren lanciert werden: Zum einen kann ein Angreifer ein Gerät zur Ware hinzulegen. Dieses könnte das korrekte RFID-Auslesen stören oder bei drahtloser innerer Sensoranbindung die Datenübermittlung angreifen. Zum anderen ist ein direkter Angriff auf die Hardware in der MASC-Einheit denkbar. Angriffspunkt 2 bezieht sich auf den Datentransport von Nachrichten von der MASC-Einheit zur MASC-Gegenstelle. Der Datentransport durchläuft dabei die Luftschnittstelle zwischen Container und Basisstation, die Basisstation-Gateway-Schnittstelle und die Internetroute zwischen Gateway und MASC-Gegenstelle. Überall sind verschiedene Angriffe denkbar.
Angriffspunkt 3 ist die RSO, wo Gegenstelle und MASC-ID-Server beheimatet sind. Angriffspunkt 4 ist die Kommunikation der Gegenstelle mit den Zugreifenden über den MASC-Informationsdienst. Auf
3.4 Sicherheitsbetrachtung
MASC-Gegenstelle MASC-Informationsdienst
Gateway
Basisstation Containerstapel Zollbehörden
Transport-versicherungen
Shipper
Spediteure, Frachtführer, Reeder
Abbildung 3.4: Angriffspunkte
Angriffspunkt 5, die Workstations der Interessenten, wird in Abschnitt 6.3 eingegangen. Das Rechner-system der Teilnehmer sollte zwar gegen einen externen Angriff abgesichert sein, allerdings liegt dies im Verantwortungsbereich der einzelnen Unternehmen. Die Gefahr, dass indiskrete Mitarbeiter sen-sible Informationen weitergeben, kann durch technische Sicherungsmaßnahmen nicht ausgeschlossen werden.
3.4.1 Container-Inneres
Durch die Stahlwände des Containers ist zwar das Container-Äußere von dem Container-Inneren ge-trennt, jedoch können Angriffe aus dem Container-Inneren nicht ausgeschlossen werden. Es gibt bereits heute so genannte Hamster, die einem Container zur Innenraumüberwachung der Fracht beigegeben werden. So wird diese elektronische Einheit zum Beispiel einem Bananen-Karton zur ständigen Über-wachung des Temperaturverlaufs hinzugefügt. Ferner wäre es zu Vertuschungszwecken für Frachtfüh-rer und Einbrecher interessant, die Spuren zu verwischen, wenn es zu Diebstahl oder Beschädigung der Fracht gekommen ist. Ebenfalls könnte es für Terroristen von Interesse sein, die Radioaktivitäts- und Zugriffserkennung des Containers zu deaktivieren.
Sensoranbindung
Bei einer drahtlosen Sensorenanbindung im Container-Inneren müssen weitere Angriffe berücksichtigt werden. Die Sensoren verfügen im Normalfall über einen analogen Ausgang, der den Wert der Sen-soren zeigt. Dieser wird per Kabel an die MASC-Einheit übertragen, dort per Analog-Digital-Wandler digitalisiert und weiterverarbeitet. Wenn die Sensoren drahtlos im Container verteilt werden sollen, müssen diese ebenfalls mit einem Analog-Digital-Wandler ausgerüstet werden, um die digitalen Infor-mationen verschlüsselt zur MASC-Einheit senden zu können. Sollten diese nicht verschlüsselt werden, wäre es ein Leichtes, die Sensorinformationen durch die Verwendung von modifizierten Hamstern auszulesen und darüber hinaus sogar falsche Sensordaten zu senden. Bei Verwendung drahtloser unge-schützter Sensorkommunikation kann die MASC-Einheit nicht erkennen, von welchem Sensor die di-gitalisierten Messwerte kommen. Ferner steigt der Stromverbrauch durch das Einführen der drahtlosen Sensoren eminent. Die MASC-Einheit benötigt eine innere Antenne und jeder Sensor muss zusätzlich drahtlose Sendeleistung aufbringen und gleichzeitig die Daten verschlüsseln.
Wenn die Sensoren durch zugängliche Kabel verbunden sind, laufen die analogen Sensorsignale eben-falls ungeschützt über diese Datenleitung. Ein Angreifer könnte das Kabel durchtrennen und einen eigenen Sensor dort anschließen. Es wäre daher optimal, wenn alle Sensoren direkt in die MASC-Ein-heit integriert werden können. Wenn dies nicht mit allen Sensoren durchgeführt werden kann, sollte es zumindest für die Wichtigsten erfolgen.
MASC-Einheit
Die MASC-Einheit generiert Ereignisse, wenn signifikante Sensorschwankungen gemessen werden.
Diese Ereignisse werden sowohl im lokalen Speicher als auch auf dem Spiegelserver (der MASC-Gegenstelle) gespeichert. Allerdings dürfen diese Daten nicht in die Hände von Angreifern gelangen, da sie vertrauliche Informationen über die Ware und deren Zustand enthalten. Da das Auslesen von Speicherzellen für einen Angreifer, der physischen Kontakt zur Hardware erhält, ein Leichtes ist, muss die MASC-Einheit adäquat gegen Fremdauslesen gesichert werden. Des Weiteren sollte jedweder Zu-griffsversuch entdeckt werden, damit Manipulationen ausgeschlossen werden können.
Um ein unbefugtes Auslesen der Hardware zu verhindern, müssen die Ereignisse im Speicher ver-schlüsselt und der Schlüssel gut gesichert werden. Der Ablauf der Verschlüsselung wird in Abschnitt 4.3 erläutert. Die Sicherungsmaßnahmen der MASC-Einheit gegen Fremdzugriff werden in Abschnitt 6.1 behandelt. Das benötigte Initial-Schlüsselmaterial wird bereits vor der Implementierung der Ein-heit in den Container auf die EinEin-heit geschrieben. Dies geschieht unter Kontrolle der RSOs, die den Container verifizieren. Auf diese Weise ist sichergestellt, dass nur die RSO das Schlüsselmaterial in der Einheit kennt.
3.4 Sicherheitsbetrachtung
3.4.2 Container-Gegenstelle-Schnittstelle
Ein offensichtlicher Angriffspunkt ist die drahtlose Übertragung zwischen Container und Basisstation.
Alle Alarmierungen und Statusmeldungen des Containers gehen über diesen Kanal. Diese Informatio-nen sind für die Konkurrenten von hohem Interesse, weil die Kenntnis dieser InformatioInformatio-nen zu einem Marktvorteil führen kann. Der Konkurrent könnte das Verhalten des Angegriffenen abschätzen und entsprechend reagieren. Die Daten müssen also gegenAbhörengesichert sein.
Der Konkurrent hätte sogar einen noch größeren Nutzen, wenn er die Informationen verfälschen be-ziehungsweise komplett falsche Daten senden kann. Wenn es also der Konkurrent schafft, sich mit einem seiner Container als der Container des Angegriffenen auszugeben, könnte er gefälschte Scha-dens-Alarmierungen durchführen und so den Konkurrenten zu teurem Fehlverhalten zwingen. Es muss also sichergestellt werden, dass der Absenderauthentischist.
Weitere Angriffsszenarien sind denkbar, bei denen Terroristen oder einfach nur involvierte Frachtfüh-rer die potenziellen Angreifer sind. Nachrichtenintegrität und Vertraulichkeit müssen auf dieser Schnittstelle gewahrt bleiben.
In Abschnitt 4.3 wird erläutert, wie die Absicherung dieser Schnittstelle in der MASC-Anwendung realisiert wird.
Denial-of-Service
Mit Denial-of-Service (DoS) wird ein Angriff bezeichnet, der das Lahmlegen eines Dienstes zum Ziel hat. Im betrachteten Fall liegt ein erfolgreicher DoS-Angriff vor, wenn der Container keine Mitteilun-gen mehr an die GeMitteilun-genstelle senden kann oder die Batterien leer sind und die MASC-Einheit ausfällt.
Die Kommunikation auf der Luft-Schnittstelle zu stören, ist dabei ziemlich leicht, da der Zugang zum Übertragungsmedium unbeschränkt ist5. Jeder, der in Reichweite ist, kann Signale auf das Medium senden. Die Reichweite ist dabei ebenfalls nicht beschränkt, da sie lediglich von der Sendeleistung des Senders abhängt. Mit einem Störsender (engl. Jammer) ist es daher ohne Weiteres möglich, das verwendete Frequenzband so zu stören, dass keine Kommunikation mehr möglich ist. Dieser Angriff ist nicht zu verhindern. Des Weiteren sind Angriffe gegen Basisstation, Gateway und Gegenstelle denkbar, die zu einem DoS führen.
Sollte das MASC-System zur Anwendung kommen, werden besonders in der Anfangsphase nur we-nige Schiffe und Containeryards an die MASC-Infrastruktur angeschlossen sein. Es ist davon auszu-gehen, dass sich ein Container häufiger außer Reichweite einer Basisstation befindet, als dass er seine Daten senden kann. Dazu kommt, dass die Luftschnittstelle besonders rauschanfällig ist und deswegen trotz angeschlossener Infrastruktur kein korrekter Datenempfang möglich sein kann. Es sollte davon ausgegangen werden, dass die Verbindung keinesfalls permanent besteht. Dadurch ist das Entdecken
5Die Zugänglichkeit hängt vom Containerstellplatz ab. Ein Schiff auf hoher See ist schwerer zu erreichen als ein Schiff in Hafennähe oder ein LKW auf der Autobahn.
von DoS-Angriffen relativ schwierig, weil niemand weiß, ob die Einheit einfach keine Netzwerkver-bindung hat oder ob ein Angriff auf die Datenübertragung vorliegt.
Angriffe gegen die Batterie sollten hingegen nicht möglich sein. Es sollte vermieden werden, dass der Angreifer die MASC-Einheit zu massiver unnötiger Arbeit bringt. Natürlich könnte sich ein An-greifer als Basisstation ausgeben und damit die Container dazu bringen, eine Kommunikation über die falsche Basisstation aufzubauen. Es darf aber nicht dazu führen, dass eine falsche Basisstation die MASC-Einheit zwingt, so viele Rechenoperationen durchzuführen, dass die Lebensdauer merklich sinkt. Abschnitt 4.3 greift beim Protokollentwurf diesen Punkt auf.
3.4.3 Gegenstelle
Die Gegenstelle an sich kann durch moderne Servertechniken gegen die meisten Angriffe gut geschützt werden. Es handelt sich bei der Gegenstelle lediglich um einen Internetdienst, der gleichermaßen ab-zusichern ist wie ein HTTP-Server. Die Gefahr eines verteilten DoS-Angriffs ist natürlich nicht auszu-schließen. Um die Auswirkungen eines solchen Angriffs zu minimieren, sollten die Gegenstellen für die MASC-Einheiten dezentralisiert werden.
Die Internet-Schnittstelle zu den Zugreifenden (MASC-ID) ist gleichermaßen angreifbar. Die Vertrau-lichkeit der Datenbankabfragen muss auch hier gewährleistet bleiben. Auch sollte die Integrität ge-wahrt werden, sowohl die Identität der Zugreifenden als auch die Datenkorrektheit müssen stimmen.
Der MASC-ID sollte auch verfügbar sein, allerdings gelten für ihn die Gesetze des Internets, da es sich um einen normalen Internetdienst handelt – auf die Verfügbarkeit lässt sich also nur begrenzt Einfluss nehmen.
4 MASC-ST – Erstellung des sicheren Tunnels
MASC-SecureTunnel (MASC-ST) ist die Bezeichnung für das Datenaustauschprotokoll zwischen der MASC-Einheit im Container und der MASC-Gegenstelle im Internet. Zwischen den beiden Kommu-nikationsendpunkten liegen die Basisstation und der Gateway. Letzterer ist dafür zuständig, die Umset-zung des lokalen Datentransportes auf das Internetprotokoll zu übernehmen und Statusinformationen hinzuzufügen. Jedoch ändert er nichts an den gesendeten Nutzdaten der Containereinheit, der Hauptteil des Datenstroms bleibt also unverändert.
MASC-ST basiert gemäß Abschnitt 3.1 auf einer symmetrischen Verschlüsselung. Das Initial-Schlüs-selmaterial ist ausschließlich RSO sowie Container bekannt. Basierend auf diesem geteilten Geheimnis ist es die Aufgabe des MASC-ST, eine Transportverschlüsselung herzustellen.
4.1 Problemstellung
Die Anforderungen an dieses Protokoll sind ein niedriger Energieverbrauch der MASC-Einheit (siehe 2.3), ein vertraulicher Datenaustausch, bei dem die Datenintegrität gewahrt bleibt, und ein Verhalten, welches DoS-Angriffe nicht unterstützt (siehe 3.4.2). Wie bereits erwähnt, können DoS-Angriffe nicht verhindert werden (siehe 3.4.2), aber sie sollten dem Angreifer möglichst erschwert werden.
Der Informationsfluss ist quasi unidirektional. Zwar gibt es Statusmeldungen, Anfragen, Protokoll-Handshakes und Bestätigungen, die auch zur MASC-Einheit übertragen werden, dennoch haben alle Nutzinformationen von der MASC-Einheit die Gegenstelle zum Ziel. Ausnahmen bilden die Manage-mentanfragen der Gegenstelle, die zur Erstellung neuer Sitzungsschlüssel oder zum Zurücksetzen von Zählervariablen führen. Datenintegrität ist beidseitig erforderlich. Vertraulichkeit ist für das Übermit-teln der Ereignisse sowie für die Anfragen der Gegenstelle vonnöten.