2021

Automatisierung von Internet-of-Things-Sicherheitsanalysen in SecDevOps-Prozessen am Beispiel eines Penetrationstests einer Smart-Home-Zentrale

Sven Rath, Juni 2021
Bachelorstudiengang - Medieninformatik

In dieser Arbeit wird die Informationssicherheit von Smart-Home-Zentralen exemplarisch untersucht. Nach einem Beschreiben der Grundlagen in den Bereichen Informationssicherheit, Internet-of-Things, Smart-Home und DevOps, wurde in einem Penetrationstest diverse Sicherheitslücken und -Probleme aufgedeckt, welche teilweise schon während der Entwicklung der Firmware des Geräts hätten entdeckt werden können. Um dies zu ermöglichen, wurde in einem anschließenden Teil eine Software entwickelt, welche in einer DevOps Continous Integration Pipeline läuft, und Firmwares auf typische Internet-of-Things-Sicherheitsprobleme prüft. Dabei können jedoch nur solche Probleme gefunden werden, welche generisch zu prüfen sind und keine menschliche Interaktion benötigen. So zeigt sich, dass sich Sicherheitsprüfungen zwar teilweise automatisieren lassen, aber auch, dass ein Penetrationstest unabdingbar ist, als Ergänzung, um ein System ganzheitlich auf die Informationssicherheit überprüfen zu können. Die Arbeit entstand im Rahmen des vom BMBF geförderten Forschungsvorhabens SCRATCh (Secure and agile connected things) bei der OTARIS Interactive Services GmbH.