Generic selectors
Exact matches only
Search in title
Search in content

Sicherheitsverbesserung für Smart TVs durch einfache und starke Authentifizierung

12.11.2014 / 0 Comments

Smart TVs ermöglichen es Nutzern bereits jetzt, sich mit einer Vielzahl von Internetdiensten wie Facebook, Twitter, Skype, Netflix, Hulu und YouTube zu verbinden. All diese Dienste erfordern bei der Nutzerauthentifizierung für die App die Eingabe von Passwörtern auf dem Smart TV. Die Verwendung dieser Dienste kann ebenfalls bedeuten, dass private Informationen übertragen, gespeichert oder weitergegeben werden.

Das bedeutet allerdings, dass Anmeldeschutz und Sicherheit des Nutzerzugangs hier entscheidend sind.   Konventionelle Authentifizierungsmethoden stellen eine erhebliche Belastung für Nutzer von Smart TVs dar. Gleichzeitig bieten sie Angreifern eine ideale Gelegenheit, Konten zu kompromittieren und sensible Daten zu stehlen.

 

Probleme bei der Passwortauthentifizierung über Smart TVs 

Bei der Authentifizierung ihres Zugangs zu einem Internetdienst auf ihrem Smart TV werden Nutzer häufig mit der lästigen Aufgabe konfrontiert, ein sicheres Passwort über ihre Fernbedienung und einer virtuellen Tastatur auf ihrem Fernsehbildschirm einzugeben.

Ein wirklich starkes Passwort ist nun normalerweise recht komplex und sollte eine Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen oder Symbole enthalten. Einige Dienste erzwingen sogar eine Mindestlänge für Passwörter sowie die Verwendung verschiedener Zeichen, um die bestmögliche Sicherheit zu erzielen.

Das macht die Sache für den Nutzer allerdings schwierig. Jeder, der schon einmal versucht hat, komplexe Passwörter über eine virtuelle Tastatur (z.B. auch auf Mobilgeräten wie Smartphone oder Tablet) einzugeben, war davon vermutlich frustriert und genervt. Die Benutzung der Fernbedienung des Smart TVs für die Eingabe der Zugangsdaten ist sogar noch umständlicher.

Entscheidender aber ist, dass der Gebrauch von Passwörtern und anderen Zugangsdaten Angreifern eine neue Möglichkeit bietet, sensible Daten und Informationen zu stehlen, sobald sie Nutzerkonten kompromittieren können und mithilfe des Einsatzes von Schadprogrammen Nutzen aus den Sicherheitsschwachstellen bei Smart TVs ziehen.

Bei einem Interview mit der britischen Tageszeitung „The Telegraph“ sagte Eugene Kapersky, der Gründer von Kaspersky Lab, einem Hersteller von Anti-Malware-Produkten: „Die Bedrohungen werden sich auf Mobiltelefone und über Fernseher, die nun mit dem Internet verbunden sind, auf das Wohnumfeld ausweiten. Es ist nur eine Frage der Zeit.“

Angreifer haben bereits erfolgreich bewiesen, dass Passwörter für Sicherheitszwecke unbrauchbar sind. Ihre gelungene Umgehung konventioneller Authentifizierungsmethoden für webbasierte Dienste wie Online Banking, und POS-Systeme – u.a. das System, das Target benutzt hat – ist ein Anzeichen dafür, dass in der Zukunft auch Besitzer von Smart TVs mit Sicherheitsbedrohungen konfrontiert sein werden.

 

Die ansteigende Zahl von Smart TVs weist auf neue Sicherheitsbedrohungen hin

Mit der stetig wachsenden Beliebtheit von Smart TVs werden auch immer mehr potentielle Risiken für die Datensicherheit offensichtlich.

Smart TVs sind und bleiben einer der ausgeprägtesten Technik-Trends, ganz besonders auf dem amerikanischen Markt. Laut dem Forschungsunternehmen Parks Associates wuchs der Erwerb von Smart TVs in nur einem Jahr um 31% . Über ein Drittel aller mit Breitband ausgestatteten US-Haushalte besitzen bereits ein solches Gerät.

Das Unternehmen schätzt zudem, dass mehr als 70% der Smart TVs mit dem Internet verbunden sind. Da Sicherheitsexperten immer wieder Sicherheitsschwächen und Angriffspunkte ausmachen, die diese Geräte Cyber-Angriffen praktisch ausliefern, ist klar, dass Privatsphäre und Daten der Besitzer von Smart TVs möglicherweise in Gefahr sind.

Vor einiger Zeit hat Rick Maybury, ein britischer Journalist, der auf technische Sicherheitsthemen spezialisiert ist, als Antwort auf eine Leseranfrage einige der Sicherheitsmängel in der Betriebssoftware und der Hardware von Smart TVs zusammengefasst und den Nutzern Tipps gegeben, wie sie diese meiden können.

„Es sind einige Machbarkeitsdemonstrationen bekannt gemacht worden, in deren Verlauf es „White Hat Hackern“ (also den guten Jungs) gelang, bei mancher TV-Betriebssoftware Zugang zu verschiedenen Teilen zu bekommen, darunter dem Konfigurationsmenü, der Firmware, verbundenen USB-Laufwerken und – am beunruhigendsten – der sicheren Speicherung“, schreibt Maybury.

Er wies jedoch auch darauf hin, dass bislang noch nicht genügend Geräte in Gebrauch sind bzw. dass Hacker noch keine einfachen Methoden entdeckt haben, um Smart TVs zu infizieren und anzugreifen.

„Im Moment jedoch“, so Maybury, „ist die Bedrohung sehr niedrig, und Sie können leicht vermeiden, dass dies zu einem Problem wird, indem Sie einfach die Internetverbindung Ihres Smart TVs für nichts benutzen, das persönliche und vertrauliche Informationen, Bank- und Online-Transaktionen oder  jede geschützte Seite, die PIN oder Passwort für den Zugang abfragt, betrifft.“

Leider ist dieser Rat – obwohl gut gemeint – sowohl unpraktisch als auch unrealistisch. Er widerspricht dem wichtigsten Verwendungszweck von Smart TVs: Es den Nutzern zu erlauben, sich mit internetbasierten Diensten zu verbinden, während sie sich etwas ansehen. Ebenso wurde die Anmeldung per Smart TV als Alternative zur Anmeldung über Smartphone, Tablet oder PC gedacht. Weiterhin wird die Tatsache ignoriert, dass bereits Millionen Smart TVs an das Internet angeschlossen sind und vermutlich längst für Eingabe, Übertragung und Speicherung sensibler Daten genutzt werden.

 

Die Sicherheit von Smart TVs beginnt mit einer sicheren Authentifizierung

Die realistischere und zugleich praktische Lösung, um die Sicherheit von Smart TVs zu verbessern, ist der Fortschritt bei der Authentifizierungstechnologie und Kryptographie, anstatt von Nutzern zu erwarten, dass sie ihre Geräte nicht für den Zugang zu gängigen und beliebten Internetanwendung benutzen.

Laut Falk Goossens, dem Geschäftsführer von „Es gibt bereits jetzt Authentifizierungstechnologien, die leicht auf Smart TVs, Webseiten und in Anwendungen integriert werden können, um sowohl Risiken für die Sicherheit der Daten als auch die Belastung durch die Passworteingabe zu beseitigen,“ sagt Goossens.

„Durch Verwendung mobiler Push-Technologie und Public Key Kryptographie, können Entwickler für Smart TV Apps benutzerfreundliche und hochsichere Anmeldungen anbieten, für die Passwörter nicht erforderlich sind, und bei denen niemals sensible Zugangsdaten übertragen oder gespeichert werden.“

 

Die Integration von Public Key Infrastruktur für sichere Anmeldungen auf dem Smart TV

SecSign Technologies ist ein Unternehmen im Bereich Datensicherheit und Kryptographie und eine Schwesterngesellschaft der  SecCommerce Informationssysteme GmbH, die mehr als 16 Jahre Erfahrung in der Entwicklung von Public Key Infrastrukturen und Lösungen für die digitale Signatur vorzuweisen hat. Zu ihren Kunden zählen u.a. IBM, Siemens, Johnson & Johnson, Fujitsu, T-Systems, BMW und Audi.

Die jüngste Entwicklung der Sicherheitsexperten bei SecSign ist die SecSign ID, eine Zwei-Faktor-Authentifizierungslösung, die eine Public Key Infrastruktur (PKI) benutzt.

„Unsere Technologie ersetzt herkömmliche, passwortbasierte Anmeldung mit weitaus besserer und komfortablerer Sicherheit,“ sagt Goossens. „Unsere Lösung verwendet verschlüsselte, asymmetrische Softwareschlüssel und mobile Push-Technologie, die es Nutzern erlaubt, sich schnell für den Zugriff auf geschützte Dienste zu authentifizieren, ohne sensible Zugangsdaten über eine Webseite oder eine Anmeldung für eine App einzugeben.“

Die verschlüsselten Softwareschlüssel werden unter der Verwendung von Algorithmen erstellt, die aus mathematischer Sicht praktisch nicht durch bekannte oder zu erwartende Technologie zu kompromittieren sind.

Der erste Softwareschlüssel ist ein öffentlicher Schlüssel, der auf dem Authentifizierungsserver gespeichert wird. Dieser Schlüssel wird aufgerufen, wenn der Nutzer seinen nicht vertraulichen Benutzernamen im Rahmen des Anmeldeprozesses für den geschützten Dienst eingibt.

Dies generiert eine Authentifizierungsanfrage. Eine mobile Push-Notifizierung wird über eine kostenlose mobile App auf dem Mobilgerät des Nutzers an diesen geschickt. Der Schlüssel enthält auch den zweiten Schlüssel, einen 2048 Bit verschlüsselten privaten Schüssel, der dazu verwendet wird, um die Authentifizierungsanfrage digital zu signieren. Der private Schlüssel wird auf dem Gerät mit einem patentierten SafeKey-Mechanismus gespeichert. Dieser Mechanismus schützt den Schlüssel vor Brute-Force-Angriffen selbst dann, wenn das Gerät verloren geht oder gestohlen wird.

Nutzer können ihre Identität durch die Eingabe einer einfachen vierstelligen PIN oder eines Passcodes nachweisen. Ebenso ist es möglich, dass ein Scan des Fingerabdrucks dafür benutzt wird. All dies spielt sich auf der SecSign ID App auf dem Smartphone oder Tablet ab. Ebenso haben Nutzer die Möglichkeit, PIN oder Passcode mit dem biometrischen Faktor (dem Fingerabdruck) zu kombinieren, um so ein zusätzliches Schutzschild aufzurichten.

Sobald dieser Schritt zur Überprüfung abgeschlossen ist, kann der private Schlüssel die Authentifizierungsanfrage digital signieren. Dem Nutzer werden in der mobilen App vier Symbole angezeigt. Der Nutzer muss nun auf das Symbol tippen, das auch in der Anmeldemaske des geschützten Dienstes gezeigt wird.

 

Die Vereinfachung des Anmeldeprozesses auf Smart TVs mithilfe von stärkerer Authentifizierung 

Trotz seiner hohen Sicherheit und der Verwendung einer Zwei-Faktor-Authentifizierung ist der Anmeldevorgang mit der SecSign ID schnell, einfach und selbsterklärend. Die Authentifizierung kann in nur wenigen Sekunden abgeschlossen werden. Es gibt keinen Anlass mehr, sich lange, komplizierte Passwörter zu merken bzw. sie einzugeben. Der Nutzer kann seine Identität nachweisen und Zugriff auf sein geschütztes Konto erlangen, indem er sehr einfache Vorgänge nutzt, wie z.B. seinen Fingerabdruck mit Apples Touch ID zu scannen und auf ein Zugangssymbol zu tippen.

Dieser Public Key Kryptographie nutzende Ansatz erfüllt nicht nur branchenführende Bestimmungen für die Zukunft der Datensicherheit, sondern weist zudem Vorteile in der Benutzerfreundlichkeit für die Besitzer von Smart TVs auf, indem er die Probleme der Passworteingabe über Fernbedienung und virtuelle Tastatur beseitigt.

Durch das Ersetzen von Passwörtern durch stärkere und gleichzeitig einfachere mobile Authentifizierung ist die SecSign ID in der Lage, die Sicherheit von Smart TVs zu revolutionieren.

 

Implementierung und fachkundige Beratung zur Sicherheit von Smart TVs 

Wenn Sie mehr über die Zwei-Faktor-Authentifizierung erfahren möchten, die Public Key Infrastruktur sowie fortgeschrittene Kryptographie nutzt, besuchen Sie bitte die Webseite von SecSign Technologies. Dorf finden Sie technische Einzelheiten, Videos, Beratung und die Möglichkeit, die mobile SecSign ID App herunterzuladen und den sicheren Anmeldevorgang einmal selber auszuprobieren.

 

 

SecSign 2FA