Schutz des IoT vor der Bedrohung, die China für die US-Infrastruktur darstellt

Sep 02, 2023

JIUJIANG, CHINA: Ein Ingenieur inspiziert Server in einem Rechenzentrum von China Telecom. (Bildnachweis: ... [+] Feature China/Future Publishing über Getty Images)

Das Verbot von in China hergestellten Telekommunikations- und Videoüberwachungsgeräten wurde erlassen, um die Netzwerkinfrastruktur und Überwachungssysteme hier in den USA zu sichern. Diese Gesetzentwürfe gehen auf den US Secure and Trusted Communications Networks Act von 2019, die Supply Chain Order von 2019 und in jüngerer Zeit auf den überparteilichen Secure Equipment Act von 2021 zurück. Zu diesen Verboten gehörte sogar das „Rip and Replacement“ von Telekommunikations- und Netzwerkgeräten Subventionen der US-Regierung zur Unterstützung von Kommunikations- und anderen Unternehmen bei der Deckung der Kosten einer solchen Anstrengung.

Nun scheint es so, als wolle die FCC ein noch umfassenderes Netzwerk von Systemen und Geräten sichern, das als IoT oder Internet der Dinge bekannt ist. Diesmal könnte sich die Initiative jedoch buchstäblich auf Millionen von Geräten und Systemen auswirken, die hier in den USA bereits im Einsatz sind, von Feuerwehr- und Polizeikommunikationssystemen bis hin zur Automobilindustrie und kritischen Infrastrukturen wie öffentlichen Versorgungsunternehmen und modernen Smart-City-Kommunikationsnetzwerken.

Stellen Sie sich vor, ein staatlich geförderter chinesischer Bedrohungsakteur könnte das gesamte Stromnetz in einer großen US-Stadt über eine Hintertür in das Kommunikationssystem eines dieser Geräte lahmlegen. Besorgniserregend ist, dass die Gefahr einer Katastrophe mit Ausnahmezustand durchaus im Bereich des Möglichen liegt und die Antenne der FCC und der ehrenwerten Jessica Rosenworcel, Vorsitzende der FCC, geweckt hat.

Warum die FCC eingreift, um das US-amerikanische IoT zu sichern

In einem Brief an den Kongress vom 7. August beschreibt Rosenworcel die Bedrohung, die von Mobilfunkmodulen, die von der Volksrepublik China (VR China) oder der Kommunistischen Partei Chinas (KPCh) hergestellt werden, für IoT-Geräte von Autos, Lastwagen und Traktoren bis hin zu medizinischen Geräten darstellt Ausrüstung, andere intelligente Geräte und mehr. Abschließend heißt es in Rosenworcels Brief: „Die Bekämpfung von Mobilfunk-IoT-Modulen in der VR China ist für die FCC ein natürlicher nächster Schritt, in Absprache mit den zuständigen nationalen Sicherheitsbehörden.“ Zum einen beliefern Quectel und Fibocom Unternehmen, deren Geräte bereits auf der Covered List der FCC stehen. Die Geräte auf dieser Liste stellen eine nationale Sicherheitsbedrohung für die USA dar und erhalten möglicherweise keine Genehmigung für den Import oder Verkauf in den USA. Eine ähnliche Prüfung sollte für alle Mobilfunk-IoT-Module aus der VR China in diesem Gerät in Betracht gezogen werden.“

Fibocom Wireless-Funkmodul, hergestellt in China

Der Schritt scheint logisch, aber die genaue Art und Weise, wie diese Drohungen umgesetzt werden könnten, könnte aus der Sicht vieler US-Bürger geradezu beängstigend sein. Diese Funkmodule bestehen typischerweise aus einem 4G-LTE- oder 5G-Modem sowie dedizierten Controllern und Firmware, die es dem Gerät ermöglichen, als Kommunikationsverbindung für das Hostsystem (IoT-Kamera, Auto, Polizeiausrüstung, medizinische oder Versorgungsausrüstung usw.) zu fungieren. ) an die Außenwelt, durch Datenübertragung über das Internet. Die offensichtliche anfängliche Gefahr besteht darin, dass über diese Funkgeräte übermittelte Daten exfiltriert und an den Hersteller und das Herkunftsland, in diesem Fall die VR China oder die KPCh, zurückgesendet werden könnten. Viel besorgniserregender ist jedoch die Kontrolle, die diese Funkmodule über die Hostsysteme haben können, in denen sie eingesetzt werden.

In ihrem Brief an den Kongress beschreibt Rosenworcel einen Vorfall, den John Deer mit einer Traktorenflotte hatte. Russland hat einem John-Deer-Händler in der Ukraine landwirtschaftliche Geräte im Wert von etwa 5 Millionen US-Dollar gestohlen, um sie nach Russland zurückzubringen. Glücklicherweise war die Ausrüstung mit Modulen westlicher Produktion ausgestattet und schließlich gelang es dem Modulhersteller, die Traktoren und Ausrüstung beim Überqueren der russischen Grenze kaputt zu machen.

Sicherung des IoT: Das Problem und die Lösung

Smart-City-Konzept in New York, USA mit Netzwerkkommunikation und Internet der Dinge. Bildnachweis: ... [+] Getty Images

Im Gespräch mit meinen Branchenvertretern erfuhr ich, dass diese Module tatsächlich vom Modulhersteller ferngesteuert werden können, typischerweise für Wartungs- und Sicherheits-Firmware-Updates usw. Es besteht jedoch die Möglichkeit, nicht nur Daten auszuspionieren, die über Funk übertragen werden , aber auch der Hersteller könnte relativ einfach das gesamte Hostsystem herunterfahren, das eigenständig und völlig außer Band läuft. Betrachtet man diese Risiken vor dem Hintergrund der Installationsbasis dieser Module, von Bodycams der Polizei über medizinische Geräte bis hin zu Ihrem eigenen Auto und sogar Ihrem örtlichen Stromnetz, ist die Sicherheitsangriffsfläche sowohl alarmierend als auch überall um uns herum reichlich vorhanden.

Die Lösung liegt hier auf der Hand. Die USA sollten unverzüglich ein Verbot des Imports und Einsatzes von in China hergestellten Mobilfunkmodulen für alle Geräte prüfen, die in den USA verkauft, versendet und eingesetzt werden. Es gibt viele US-Alternativen von Namen wie Telit, Sierra Wireless und U-blox, und alles, was wir tun müssten, wäre, die Produktionslinien in Zukunft ausschließlich auf diese Hersteller umzustellen. Im Hinblick auf das, was bereits in diesem Bereich eingesetzt wurde, müssen die USA wahrscheinlich einige Nachrüstungen von Systemen und Geräten, die aktualisiert werden können, subventionieren oder eine weitere „Rip-and-Replace“-Initiative starten, um bereits auf dem Markt befindliche Systeme zu sichern.

Sicherheitsexperten scherzen manchmal darüber, dass der beste Weg, ein Gerät zu sichern, darin besteht, es einfach vollständig vom Internet zu trennen. Während dies im Hinblick auf das IoT und kritische Infrastruktursysteme in den USA offensichtlich weder möglich noch praktikabel ist, ist die Sicherung unserer Konnektivität mit bekannten, in den USA hergestellten Lieferanten dieser Module ohne Frage ein Schritt in die richtige Richtung unserer kollektiven nationalen Sicherheitsbedenken.