Wächter zum Schutz vor Angriffen auf vernetzte Geräte

Das „Internet der Dinge“ (IoT) vernetzt Menschen mit einer Vielzahl an elektronischen Systemen, Sensoren und Geräten, die untereinander kommunizieren. Der Computer bestellt Druckerpatronen selbst nach. Die Heizung lässt sich von unterwegs hochdrehen oder der Staubsauger-Roboter erledigt seine Arbeit, bevor man aus dem Urlaub nach Hause kommt. Solche Smart-Home-Anwendungen sind praktisch, aber sind sie auch gegen Hacker geschützt?

Neuartige Schadsoftware für IoT-Geräte

Genau da setze das TU-Team an, sagt Dr. Markus Miettinen, wissenschaftlicher Mitarbeiter am System Security Lab der TU Darmstadt. „Wir sind in unsere Forschung eingestiegen, weil es Probleme gab mit neuartiger Schadsoftware für IoT-Geräte.“ So wurden beispielsweise IT-Schwachstellen bei Staubsauger-Robotern entdeckt, die ein Ausspähen der Wohnung zuließen. Die TU-Forscher*innen stellten sich die Frage: „Was können wir tun, um solchen Angriffen entgegenzutreten? Wie lassen sich die Geräte kontrollieren und Sicherheitslücken schließen?“

Föderierte Deep-Learning-Modelle

Die Antwort: DÏoT, „Autonomous and Distributed Intrusion Detection for IoT Networks“. Ein Verfahren, das das Forscherteam des System Security Lab entwickelt hat. DÏoT nutzt sogenannte föderierte Deep-Learning-Modelle des maschinellen Lernens, um das Kommunikationsverhalten von IoT-Geräten wie Computern, Smartphones, Staubsauger-Robotern, Smart-TVs oder Thermostaten zu modellieren. Die Informatiker*innen analysieren die charakteristischen Merkmale, die jedes Gerät in der Netzwerk-Kommunikation hinterlässt und die mit einem „Fingerabdruck“ vergleichbar sind. Daraus lässt sich ein Profil erstellen und ein „normales“ Verhalten oder eben auch Anomalien ableiten.

Projekt-Koordinator Thien Nguyen erklärt die Vorgehensweise. DÏoT erlernt die „Sprache“ der IoT-Geräte und erkennt Veränderungen. „Wird die Sprache schneller, lauter, langsamer, ändern sich Worte und Inhalte, sind das Hinweise auf einen Angriff oder eine Schadsoftware.“ DÏoT kann darauf reagieren und Gegenmaßnahmen einleiten – etwa infizierte Geräte im Netzwerk isolieren oder zurücksetzen, um den Angriff zu stoppen.

Rohdaten bleiben innerhalb des Netzwerks

Föderierte Deep-Learning-Modelle des maschinellen Lernens ermöglichen den schnellen, globalen Austausch und die fortlaufende Verbesserung der Informationen zu den jeweiligen Geräten über einen sogenannten Aggregator. Dabei bleiben die Rohdaten zum Schutz der Datensicherheit und Privatheit innerhalb des Netzwerkes. Sie gehen nicht an einen externen Server.“ Eine von zahlreichen Maßnahmen, die den Usern, aber auch dem eigenen Schutz von DÏoT vor Angriffen dienen.

DÏoT kann als Hardware ins Haus geholt oder als Software im Wifi-Router integriert werden. Das ist auch für Netzwerkbetreiber interessant, die ihre Nutzer*innen schützen wollen. So kann etwa eine Alarmfunktion als Service angeboten werden. Für Netzwerkbetreiber selbst ist DÏoT ebenfalls spannend – beispielsweise, wenn sie Webseiten für große Kunden hosten und diese vor Angriffen schützen wollen. Mit Hilfe des Pioneer Funds soll der Prototyp als Hard- und Software jetzt weiterentwickelt werden.