Drahtlose Sensornetze stellen eine noch relativ junge Technologie zur Informationsgewinnung und -verarbeitung dar. Ein Sensornetz besteht üblicherweise aus vielen kleinen, in ihren Ressourcen stark beschränkten Sensorknoten. Diese führen Messungen über physikalische Phänomene durch, verarbeiten diese Daten, erzeugen einen Report und senden diesen mittels Hop-zu-Hop Kommunikation zu einer zentralen Datenverarbeitungseinheit, genannt Sink. Je nach Szenario erfolgt die Datenerfassung und -verarbeitung auch durch mehrere Sensorknoten gemeinsam, z.B. zur Bestimmung der mittleren Temperatur in einem größeren Areal. Durch ihre vielfältigen Einsatzmöglichkeiten erhalten Sensornetze immer größere Aufmerksamkeit. Entstammten die ursprünglichen Einsatzszenarien noch größtenteils dem militärischen Umfeld, z.B. Erfassung von feindlichen Truppenbewegungen, zeichnen sich mittlerweile immer mehr zivile Einsatzszenarien, wie z.B. die Überwachung der strukturellen Integrität von Gebäuden und kritischen Infrastrukturen, ab. Um die Funktionalität eines Sensornetzes insbesondere unter Angriffsbedingungen zu gewährleisten, müssen Sicherheitsmechanismen integraler Bestandteil jedes Sensornetzes sein. Sensornetze unterscheiden sich jedoch von klassischen (drahtlosen) Netzen, was die Absicherung erheblich erschwert. Gründe hierfür sind die Ressourcenbeschränkung der einzelnen Sensorknoten, die drahtlose Multihop-Kommunikation und die meist vorhandene Möglichkeit der Kompromittierung von Sensorknoten durch einen Angreifer. Knotenkompromittierungen sind in Sensornetzen besonders einfach durchzuführen, da Sensorknoten meist in unkontrollierten oder sogar feindlichen Gebieten ausgelegt sind und aus Kostengründen üblicherweise keine manipulationsresistente Hardware eingesetzt wird. Durch eine Knotenkompromittierung erhält ein Angreifer somit Zugriff auf alle Daten, wie z.B. kryptographische Schlüssel, die auf einem Sensorknoten gespeichert sind. Hierdurch werden Sicherheitsmechanismen, wie z.B. wechselseitige Authentifikation der einzelnen Sensorknoten, wirkungslos. Als Folge dessen kann sich ein Angreifer als berechtigter Sensorknoten ausgeben und als legitimes Mitglied des Sensornetzes Angriffe durchzuführen. Solche Angriffe werden in dieser Arbeit als Insider Angriffe bezeichnet und stellen ein ernsthaftes Problem für viele Sensornetze dar. In dieser Arbeit werden Konzepte und Mechanismen entwickelt, wie man mit Insiderangriffen in Sensornetzen umgehen kann. Den Beitrag dieser Arbeit kann man grob in zwei Teile gliedern: Zunächst wird eine allgemeine Klassifikation von Schutzmaßnahmen gegen Insiderangriffe vorgeschlagen. Im zweiten Teil werden Sicherheitsprotokolle vorgeschlagen, die verschiedene Insiderangriffe abwehren oder deren mögliches Schadenspotential begrenzen. In der Klassifikation wird zunächst nach den grundsätzlichen Strategien unterschieden, die man verfolgen kann, um mit Insiderangriffen umzugehen. Die Strategien werden anschließend weiter nach den Mechanismen die sie umsetzen unterteilt. Bestehende Arbeiten werden nach den eingesetzten Mechanismen und verfolgten Strategien eingeordnet, um so systematisch offene Probleme und besondere Eigenschaften in den jeweiligen Bereichen zu identifizieren. Solch eine systematische Betrachtung wurde in Sensornetzen bisher noch nicht durchgeführt. Die erarbeiteten Ergebnisse können als Basis für den Entwurf von neuen Sicherheitsprotokollen verwendet werden. Die im zweiten Teil dieser Arbeit vorgestellten Protokolle decken verschiedene Bereiche ab. Zunächst wird ein Protokoll zum Schutz gegen einen Denial-of-Service Angriff vorgeschlagen bei dem der Insider viele gefälschte Nachrichten einschleust oder alte Nachrichten wieder einspielt. Diese Nachrichten werden über viele Sensorknoten weitergeleitet, die sowohl hierdurch überlastet werden als auch ihre knappen Energiereserven (vollständig) verschwenden. Im Gegensatz zu bestehenden Arbeiten, die grenzwertbasiert gefälschte Nachrichten probabilistisch ausfiltern, ermöglicht das vorgeschlagene Protokoll gefälschte Nachrichten sofort auszufiltern und toleriert eine beliebige Anzahl an kompromittierten Sensorknoten. Anschließend werden Protokolle zum Schutz gegen Insiderangriffe bei denen kompromittierte Sensorknoten zur Täuschung des Sinks falsche Reports einschleusen vorgestellt. Bestehende Protokolle verwenden hierzu einen redundanzbasierten Ansatz, bei dem mehrere Sensorknoten gemeinsam einen Report erzeugen müssen, damit er gültig ist. Hierbei ist es jedoch möglich, dass ein einzelner kompromittierter Sensorknoten eine erfolgreiche Reporterzeugung verhindern kann. Bisher wurde eine ausschließlich auf ein Protokoll anwendbare Erweiterung für dieses Problem vorgeschlagen, bei der die angreifenden Sensorknoten nicht identifiziert und ausgeschlossen werden können. In dieser Arbeit werden zwei Protokolle zum Schutz gegen eingeschleuste Reports vorgestellt, die es erstmals ermöglichen solche Angriffe zu erkennen und die verantwortlichen Sensorknoten auszuschließen. Weiterhin können die vorgeschlagenen Protokolle als Erweiterung zu beliebigen anderen Protokollen eingesetzt werden. Neben diesen Protokollen wird ein grundsätzlicher Ansatz untersucht, wie man in bestimmten Szenarien Insiderangriffe verhindern und versuchte Knotenkompromittierungen erkennen kann. Hierzu wird der Einsatz von manipulationsresistenter (engl. tamper-resistant) Hardware in Form des Trusted Platform Modules (TPM) vorgeschlagen. Aus Kostengründen werden nur einige Sensorknoten, die besondere Aufgaben wie Schlüsselmanagement, Lokalisierung oder Zeitsynchronisierung für andere Sensorknoten durchführen und somit ein lohnenswertes Ziel für einen Angreifer darstellen, mittels TPM geschützt. Zur Erkennung von Manipulationsversuchen an diesen Sensorknoten werden zwei neue effiziente Attestationsprotokolle vorgeschlagen. Diese sind an die Ressourcenbeschränkungen von Sensornetzen angepasst, d.h. der Energieverbrauch für Berechnungen und Kommunikation ist sehr gering, da keine Public Key Operationen auf den verifizierenden Knoten benötigt wird und nur wenige, kurze Nachrichten ausgetauscht werden. Weiterhin hat der vorgeschlagene Ansatz Vorteile gegenüber softwarebasierter Attestation, da nun auch eine erfolgreiche Attestation über mehrere Hops möglich ist, was wichtig für Sensornetze ist. Mit dem vorgeschlagenen Ansatzes ist es nun möglich, die Vertrauenswürdigkeit von bestimmten Sensorknoten auch in unkontrollierten oder feindlichen Gebieten überprüfen zu können und sie so für besondere Aufgaben einzusetzen.