Fallgesteuerte Verbindungsaktivierung

Sicher vernetzt im Internet der Dinge

| Autor / Redakteur: Lawrence Miller / Andreas Donner

Wichtiges Thema im Bereich IoT ist die standardisierte Regelung der Verbindungsaufnahme der Devices mit dem Netz.
Wichtiges Thema im Bereich IoT ist die standardisierte Regelung der Verbindungsaufnahme der Devices mit dem Netz. (Bild: Telit)

Vor dem digitalen Zeitalter machte sich die M2M-Branche nur wenig Gedanken um Sicherheitsmaßnahmen. Die Zusammenführung früherer, aktueller und künftiger M2M-Produkte und -Anwendungen mit modernen Mobilfunktechnologien ist deshalb aus Security-Gesichtspunkten eine ernstzunehmende Herausforderung.

Mobilfunkmodems sind in der Regel so konzipiert, dass sie sich im Netzwerk eines Mobilfunkanbieters anmelden, eine Datenverbindung herstellen und eine öffentliche IP-Adresse anfordern, um über dieses Netzwerk auf das Internet zuzugreifen. Über die öffentlichen Adressen können Mobilgeräte mit Servern im Netz kommunizieren. Diese Verbindungsart ist allerdings sehr anfällig für feindliche Angriffe und kann zu unbeabsichtigtem Datenverbrauch über das Mobilnetz führen.

Das öffentliche Netz umgehen

Die B2B-Datenübertragung kann allerdings auch mittels IP-Protokoll stattfinden, ohne hierfür das öffentliche Internet zu nutzen. Private APNs (Access Point Name), die von einem oder mehreren Mobilnetzbetreibern bereitgestellt werden, agieren als Brücken zwischen dem Mobilfunknetz und dem paketbasierten Datennetz. Die APN-Konfiguration regelt dabei alle Aspekte der Interaktion des Mobilgeräts mit dem Internet. Sie funktioniert dabei ähnlich, wie ein VPN (virtuelles privates Netzwerk), indem sie ebenfalls eine sichere Verbindung bereitstellt.

Host-basierte VPNs verbinden einen oder mehrere Hosts mit einem M2M-/IoT-Lösungsanbieter oder einem Mobilnetzbetreiber. Der Vorteil solcher VPNs liegt darin, dass sie, im Gegensatz zu einem gerätebasierten VPN, üblicherweise den gesamten Datenverkehr von und zu allen über das Mobilnetz verbundenen Geräten eines bestimmten Subnetzes oder Kunden abdecken. Damit können die Daten übertragen werden, ohne dass diese Geräte direkt aus dem Internet erreichbar sind.

Mobilnetzbetreiber stellen meist nur sehr eingeschränkte VPN-Optionen in Verbindung mit privaten APNs bereit. Mehr Flexibilität bei VPN-Arten und Optionen bieten häufig M2M-Lösungsanbieter. Auch entfallen hier die Komplexität und die Kosten für das Einrichten eines privaten APN.

Private IP-Adressen sind nicht im Internet zugelassen. Damit ein Netzknoten mit privater Adresse das Internet erreichen kann, muss seine Quelladresse aktiv in eine öffentliche Adresse übersetzt werden. Private Adressen tragen insofern zur Sicherheit bei, als eine dritte Komponente speziell konfiguriert werden muss, damit ein Knoten mit privater Adresse mit einem Rechner im Internet kommunizieren kann. Erst dann sind auch Angriffe von dort möglich.

Vernetzte Steuerung

Mit zunehmender Zahl der M2M-/IoT-Geräte wird es immer wahrscheinlicher, dass Netzanbieter vermehrt Richtlinien gegen den Netzwerkmissbrauch durchsetzen. Dies betrifft insbesondere den Fall, dass Geräte dauerhaft mit dem Netz verbunden sind und über lange Zeiträume sehr wenige oder keine Daten übertragen.

Mit großer Wahrscheinlichkeit wird dies unter anderem zu einer Verkürzung der zulässigen Inaktivitätsintervalle sowie zu veränderten, weniger günstigen Relationen im Hinblick auf den Datenverkehr im Zeitverlauf führen. Damit sind wirtschaftliche Auswirkungen in Form vermehrter Nutzung und Problemen bei der Gerätekonnektivität unvermeidbar, unabhängig vom tatsächlichen Maßnahmenpaket. Geräte, die sich über lange Zeiträume (Stunden, Tage, Wochen) mit dem Netz eines Anbieters verbinden, nur für den Fall, dass ein Server eine Verbindung aufbauen könnte, bilden langfristig kein tragfähiges Konzept.

Die Antwort auf diese Herausforderungen bilden Methoden zur Verbindungsaktivierung, die Geräte nur dann mit dem Netz des Betreibers verbinden, wenn es erforderlich ist, und die Verbindung wieder trennen, sobald diese nicht mehr benötigt wird. Wichtig ist dabei, dass diese Verbindung lediglich die Kommunikation zwischen Gerät und Server ermöglicht; sie bezieht sich nicht auf die eigentliche Kommunikation. Diese wird von der Anwendung gesteuert und kann von jeder Seite initiiert werden. Häufig genutzte Aktivierungsarten sind ereignis- und zeitgeteuerte sowie SMS-basierte Aktivierungen.

Die ereignisgesteuerte Aktivierung stellt eine Verbindung her, wenn ein oder mehrere vorkonfigurierte Ereignisse lokal auf dem über das Mobilnetz angebundenen Gerät eintreten. Sobald die Verbindung zum Netzwerk des Betreibers hergestellt ist, können Gerät und Server die IP-Kommunikation in beide Richtungen initiieren.

Die zeitgesteuerte Aktivierung baut zu vorab festgelegten Zeitpunkten an dem über das Mobilnetz angebundenen Gerät eine Verbindung auf. Die Zeitangabe kann relativ, über einen einfachen Timer, oder absolut, durch Festlegung eines bestimmten Datums und der Uhrzeit, erfolgen. Sobald die Verbindung zum Netzwerk des Betreibers hergestellt ist, können Gerät und Server die IP-Kommunikation in beide Richtungen initiieren.

Die SMS-basierte Aktivierung baut die Verbindung auf, wenn das Gerät eine SMS von einem externen Absender erhält. Sobald die Verbindung zum Netzwerk des Betreibers hergestellt ist, können Gerät und Server die IP-Kommunikation in beide Richtungen initiieren. SMS-Mitteilungen nutzen ein Nachrichtenprotokoll und können zur Signalisierung unterschiedlicher Aktionsarten von vielen verschiedenen Absendern genutzt werden.

Bei allen Aktivierungsarten ist es wichtig, ein Abschaltverfahren vorzusehen, um eine ordnungsgemäße Trennung vom Netz sicherzustellen. Die Trennung erfolgt dabei entweder nach einer bestimmten Zeit, bei Inaktivität oder wenn der Kommunikationsvorgang seitens der Anwendung abgeschlossen ist.

Fazit

Sicherheit und Datenschutz sind unabdingbar, um das volle Potenzial von IoT auszuschöpfen. Kritische Sicherheitsmerkmale unterschiedlichster Technologien und Anwendungsbereiche sind unter anderem die Vertraulichkeit der Daten und die Authentifizierung, die Zugriffskontrolle innerhalb des IoT-Netzwerks sowie der Datenschutz und das Vertrauen zwischen Benutzern und unter den im IoT vernetzten Gegenständen, aber auch das Durchsetzen von Sicherheits- und Datenschutzrichtlinien.

Über den Autor

Lawrence Miller ist Principal Network Architect bei Telit IoT Connectivity.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43729220 / Standards)