09.11.2015
Security-Mängel
1. Teil: „Wie sicher ist das Internet der Dinge?“
Wie sicher ist das Internet der Dinge?
Autor: Jannis Moutafis
Foto: Fotolia / monsitj
Das Internet of Things entwickelt sich rasend schnell – die Hacker halten Schritt. Nun muss das Engineering bei der IoT-Absicherung eng mit den Security-Experten der IT zusammenarbeiten.
Ein weißer Jeep fährt auf einer Autobahn in den USA. Plötzlich spielt die Klimaanlage verrückt, die Stereoanlage dreht voll auf, die Scheibenwaschanlage wechselt in den Dauerbetrieb und schließlich stellt sich der Motor ab. Der Fahrer kann keine dieser Funktionen mehr selbst kontrollieren, er schaltet den Warnblinker ein und muss im Leerlauf eine geeignete Stelle zum Halten suchen.
Was wie eine Szene aus einem Actionfilm klingt, passierte im Juli dieses Jahres. Der Fahrer war ein Reporter der US-Zeitschrift Wired, dessen Wagen zu Demonstrationszwecken von zwei Hackern attackiert wurde.
Tabelle:
Warum nicht nur die Sicherheit, sondern vor allem der Datenschutz im Internet der Dinge eine besonders große Rolle spielt, zeigt diese Übersicht. Sie wurde von der österreichischen Bundesarbeitskammer und McKinsey zusammengestellt.
In einer weiteren Demonstration wurde ein 13.000 Dollar teures Präzisionsgewehr gehackt. Durch die eingebaute Elektronik kann der Schütze ein Ziel markieren. Wenn er den Schuss freigibt, schießt das Gewehr selbsttätig, sobald der Lauf genau auf das Ziel gerichtet ist. Dadurch können auch weniger erfahrene Schützen immer ins Schwarze treffen. Die Hacker fanden eine Lücke in der WLAN-Software des Gewehrs und manipulierten es so, dass es immer einen Meter danebenschoss.
2. Teil: „Das Internet der Dinge ist längst Realität“
Das Internet der Dinge ist längst Realität
Vielen ist noch nicht bewusst, dass sie zunehmend von „intelligenten“ Gerätschaften umgeben sind, die über das Internet gesteuert werden: Hausbeleuchtungen, Audio- und Video-Anlagen, Thermostate, Schließ- und Alarmanlagen und vieles mehr. Theoretisch kann all das, was zum Internet der Dinge (Internet of Things, IoT) gehört, Opfer eines Hackerangriffs werden – und nicht nur theoretisch. HP hat sich vergangenes Jahr die Mühe gemacht, zehn der beliebtesten Geräte dieser Art auf ihre Sicherheit hin zu testen. Das Ergebnis war ernüchternd:
-
Neun von zehn sammelten persönliche Daten des Nutzers, entweder über die dazugehörige mobile App oder über das Internet - Acht von ihnen beziehungsweise ihre Apps oder Webbenutzerschnittstellen verlangten keine wirklich sicheren Passwörter für die Authentifizierung
- Sieben von zehn verwendeten eine unverschlüsselte Netzwerkverbindung
- Sieben von zehn erlaubten eine relativ einfache Ermittlung der Nutzerdaten
- Die Benutzerschnittstellen von sechs Geräten konnten relativ einfach gehackt werden
Veit Siegenheim, Leiter des Bereichs CIO Advisory Services beim Beratungshaus Capgemini, konstatiert, dass das Internet der Dinge noch keine große Rolle für Industrie und Wirtschaft spielt, weswegen Security-Mängel auch noch keine allzu großen Auswirkungen haben.
Glaubt man aber einer Studie der Unternehmensberatung McKinsey, dann wird sich das in den nächsten zehn Jahren dramatisch ändern. Die Durchdringung der Industrie und aller Bereiche des täglichen Lebens mit vernetzten Infrastrukturen wird so stark sein, dass ein Großteil der heutigen produzierenden Industrie sich als Teil des IoT-Marktes betrachten wird. Dieser Markt soll weltweit bis 2025 ein Volumen von mehr als 10 Billionen Dollar erreichen.
In derselben Studie beschreibt McKinsey auch die daraus resultierenden Risiken: „Das Internet der Dinge vervielfacht die Gefahren, die sich durch Datenkommunikation ergeben. Jedes Gerät erweitert die verfügbare Angriffsfläche und die Möglichkeiten der Angreifer. Jeder Netzwerkknoten ist eine potenzielle Einbruchstelle und die Vernetzung der Komponenten kann den Schaden vergrößern. Einbrüche in Systeme, die die physische Welt steuern, können verheerend sein. Das Überwinden der Sicherheitssysteme eines Privathauses oder das Kompromittieren von medizinischen Geräten kann Menschenleben gefährden. Ein Hackerangriff auf ein intelligentes Stromnetz kann potenziell Millionen Haushalte und Betriebe treffen.“
3. Teil: „Ungeschützte Software im Internet der Dinge“
Ungeschützte Software im Internet der Dinge
Claudia Eckert, Leiterin des Fraunhofer-Instituts AISEC in München, das sich auf das Thema Sicherheit im IoT spezialisiert hat, weist darauf hin, dass die fehlende Abkapselung der Betriebssoftware ein großes Problem darstellt. Das betrifft nicht nur Automobilhersteller, sondern auch die verarbeitende Industrie und ihre Produktionsanlagen. „Vorausgesetzt man kennt ansatzweise die Funktionsweise dieser Systeme, kann man sie momentan angreifen, da die ganze eingebettete Software noch nicht auf die Sicherheitsanforderungen des IoT getrimmt worden ist“, sagt Eckert.
Die Notwendigkeit für diese zusätzliche Sicherheitsstufe wird umso deutlicher, wenn man bedenkt, dass der Kommunikationskanal mit der Außenwelt das mit Abstand am meisten bevorzugte Einfallstor für Hacker ist – und die Erfahrung zeigt, dass kein Kommunikationskanal absolut sicher ist.
Der erwähnte Jeep wurde über sein Mobilfunkmodul geknackt, über das er auch Updates für seine Software erhält, das Präzisionsgewehr über seine WLAN-Verbindung, ein Elektro-Skateboard über die Bluetooth-Verbindung mit seiner Fernsteuerung.
Olaf Mischkovsky, Sicherheitsexperte bei Symantec, gibt zu bedenken, dass selbst Mobilfunkprotokolle nicht immer wasserdicht sind: „Mittlerweile weiß man, dass man auch GPRS (General Packet Radio Service) hacken kann, wenn auch etwas aufwendiger.”
Ist ein Angreifer erst bis zur Betriebssoftware vorgedrungen, stehen ihm viele Möglichkeiten offen. „Kaum ein Hersteller von intelligenten Geräten oder Autos entwickelt sein eigenes Betriebssystem, sondern nimmt ein Produkt wie QNX oder eine spezielle Version von Linux oder Windows. Werden Schwachstellen in diesen Betriebssystemen entdeckt, ist das Gerät oder das Fahrzeug damit auch unsicher.“
4. Teil: „Bei der IoT-Absicherung trifft Engineering auf IT“
Bei der IoT-Absicherung trifft Engineering auf IT
All die potenziellen Lücken zeigen, wie groß die Herausforderungen bezüglich der Absicherung des IoT für die gesamte Industrie sind. „Wir haben jetzt die Konstellation Engineering meets Informatik“, sagt Veit Siegenheim von Capgemini. Die klassischen Engineering-Bereiche, die Sensorik-getrieben sind und bislang in gewissem Umfang mit IT zu tun hatten, würden nun auf die klassische IT mit all ihren Vernetzungs- und Internetproblematiken treffen. Deshalb gebe es zunächst in der Sensorik eine ganze Menge Nachholbedarf.
Auch die Rolle des Menschen sei in der Industrie 4.0 anders. Bisher war der Mensch mit seinen Fehlern einerseits das größte Risiko für alle Systeme, andererseits konnte er immer eingreifen, etwa im Datacenter oder im Internet. „Die dezentralen Stellen in der klassischen Security sind Laptops oder Smartphones, die von Menschen bedient werden“, so Siegenheim. „Das ist im IoT und in Industrie 4.0 nicht mehr so. Wir haben es hier mit dezentralen, räumlich teilweise extrem verteilten Systemen zu tun, die über irgendwelche Funkmasten irgendwo kommunizieren.“
Davon abgesehen sind auch die Abwehrmechansimen, die man aus der EDV kennt, nicht eins zu eins aufs Internet der Dinge übertragbar, auch wenn der grundsätzliche Weg zu einem Sicherheitskonzept identisch ist. „Sowohl für ein Office-Produkt als auch für eine Industrieanlage, die beispielsweise Kotflügel produziert, müssen Sie zuerst eine Risikobewertung machen, in der man erfasst, welchen Risiken das jeweilige Gerät oder die Anlage ausgesetzt ist“, sagt Olaf Mischkovsky von Symantec. Auch die Basistechnologien wie Firewalling oder Authentifizierung seien vom Prinzip her dieselben. Tools und Maßnahmen müssten jedoch für den jeweiligen Anwendungszweck adaptiert werden.
„In der Office-Welt etwa ist es sinnvoll, dass jeder Rechner mit einem Antivirusprogramm geschützt wird“, so Mischkovsky. „Bei einem Fahrzeug ohne Internetanschluss ist dieses Konzept aber wenig sinnvoll, weil das Antivirusprogramm keine Updates empfangen kann, und ohne Updates ist ein Antivirusprodukt nutzlos. Andererseits hat auch die Anlage für die Produktion von Kotflügeln einen USB-Anschluss, über den Schadcode auf dieses System kommen kann. Ein Industriesystem ist aber kein Office-System. Die angreifenden Dateien können also eine andere Struktur haben als die aus der Office-Welt. Also muss auch die Maßnahme zur Absicherung anders aussehen als beim Office-System.“
5. Teil: „Neue Ansätze, neue Lösungen für die IoT-Sicherheit“
Neue Ansätze, neue Lösungen für die IoT-Sicherheit
Eine Schwierigkeit besteht für Unternehmen auch darin, dass es für den Großteil der Industrie kaum fertige Lösungen für diesen Bereich gibt, vor allem nicht solche, die komplette Anwendungsszenarien abdecken.
Zwar haben einschlägige Security-Hersteller auch IoT-Lösungen im Portfolio, doch im Großen und Ganzen ist dieses Feld noch in der Entstehung. Andererseits engagieren sich praktisch alle IT-Schwergewichte wie IBM, HP oder auch SAP sehr stark für das Internet der Dinge. Es ist also zu hoffen, dass diese Unternehmen das Thema Sicherheit in ihren Lösungen angemessen berücksichtigen.
Für die nächste Zeit ist jedoch von den Unternehmen, die im Bereich IoT arbeiten wollen, viel Pionierarbeit zu leisten. Für diese wichtige Phase hat Veit Siegenheim von Capgemini zwei Ratschläge parat: „Der größte Fehler wäre, die Problematik zu unterschätzen, auch wenn zunächst nicht offensichtlich ist, wer überhaupt Schaden anrichten wollen würde und wie. Grundsätzlich sind alle IT-verbundenen Systeme hackbar und eignen sich als Ziel von Interessen, die dem Wohl des Unternehmens entgegenstehen. Und man sollte sich im Klaren sein, dass man nicht über alles Wissen, das für diese Aufgabe nötig ist, im eigenen Haus verfügen kann.
Also geht es darum, dieses Wissen aufzuspüren und es sich zunutze zu machen, um auf dem aktuellen Stand der Technik zu sein.“
Weitere Infos
- „Die Büchse der Pandora ist geöffnet“
Interview mit Claudia Eckert, Leiterin des Fraunhofer AISEC in München und Professorin für IT-Sicherheit an der Technischen Universität München
6. Teil: „„Die Büchse der Pandora ist geöffnet““
„Die Büchse der Pandora ist geöffnet“
Claudia Eckert ist Leiterin des Fraunhofer AISEC in München und Professorin für IT-Sicherheit an der Technischen Universität München. com! professional befragte sie zu den Sicherheitsaspekten im Internet der Dinge.
Claudia Eckert: Das kann man mit Sicherheit so sagen. Viele existierende Geräte werden zwar vernetzt, sie wurden aber mit Technologien entwickelt, die nicht für das Internet der Dinge bestimmt waren. Wenn diese über das Internet erreichbar sein sollen, kommen ganz andere Sicherheitsfragestellungen auf. Man ist damit in den Markt gegangen, ohne vorher an die Sicherheit gedacht zu haben, sondern nur an Features. Erst später fällt dann auf, welche Sicherheitsimplikationen damit verbunden sind. Nur ist die Büchse der Pandora schon geöffnet und jetzt muss man aufholen. Andererseits kann man, wo noch Entwicklungsarbeit geleistet wird, die Sicherheit von vornherein mit berücksichtigen.
com! professional: Einige spektakuläre Hacks in der letzten Zeit haben völlig neue Möglichkeiten gezeigt, Schaden anzurichten. Haben wir bisher einfach nur Glück gehabt, dass nichts Schlimmeres passiert ist?
Eckert: Manches von dem, was in letzter Zeit zu lesen war, sind reine Demo-Hacks, um die Problematik generell deutlich zu machen – und das ist gut so. Aber es gab auch wirkliche und teilweise ernste Sicherheitsfälle, bei denen tatsächlich Schaden entstanden ist, wenn auch nur im Ausland. Beispielsweise sind Steuerungen von Kraftwerken manipuliert worden oder auch Automatisierungsanlagen. Bei Produktionsanlagen kann das zu erheblichen Störungen führen.
com! professional: Wie hoch ist das Bewusstsein für das vorhandene Schadenspotenzial in der Industrie?
Eckert: Das Bewusstsein ist sehr unterschiedlich ausgeprägt. Die großen Hersteller leisten sich eigene Sicherheitsteams, sind gut informiert und arbeiten in den wichtigen Gremien mit. Die haben schon einen ganz guten Überblick über die Probleme und darüber, was Schäden kosten würden, insbesondere im Maschinen- und Anlagenbau. Es gibt aber auch viele kleine und mittelständische Unternehmen, die sich mit diesem Thema noch nicht auseinandergesetzt haben. Sie werden jetzt durch die Medienberichte wach, ihnen ist aber noch nicht so richtig klar, was das für ihre eigenen internen Prozesse oder für ihre Marktstellung bedeutet, weil ihre Produkte zuvor immer abgeschottet gearbeitet haben und sie etwaige Probleme immer im Griff hatten. Sie stehen jetzt vor der Aufgabe, diese Art von Risiken zu erfassen und ihr Sicherheitsmanagement auszubauen.
com! professional: Braucht man für den Autoverkehr und insbesondere für autonome Fahrzeuge ein eigenes Netz?
Eckert: Wir würden uns zwar sehr viele Probleme vom Hals schaffen, wenn wir nicht alles über die vorhandenen Infrastrukturen abwickeln, aber aus meiner Sicht ist es bei solch Business-getriebenen Bereichen unrealistisch, von eigenen Netzen zu reden. Wir wissen inzwischen, wie schwierig und teuer es ist, ganz neue Netze aufzusetzen. Der Hype momentan ist, dass alles vernetzt werden muss. Das bitte ich doch mal wirklich zu hinterfragen. Natürlich bekommt man einen Mehrwert, wenn man Geräte und Komponenten miteinander vernetzt und neue Dienstleistungen darüber erbringt, aber an vielen Stellen muss man sich fragen, ob das wirklich so sein muss. Ich meine, es muss nicht alles in die Cloud. Vielmehr sollte man sich fragen, welche Assets man selbst kontrollieren muss, und die entsprechenden Infrastrukturen aufbauen. Es läuft weniger darauf hinaus, neue Netze zu bauen, sondern die Komponenten im existierenden Netz anders zu konfigurieren, um die Kontrolle zu behalten.
com! professional: Ihr Institut arbeitet an vorderster Front in Sachen Security für IoT und Industrie 4.0. Was gehört zu den aufregendsten Bereichen Ihrer Forschung?
Eckert: Die erste Stufe ist, für bestehende Systeme eine Härtungsschale einzuführen ähnlich der, die wir mit dem Infineon-Chip realisiert haben. Die nächste wäre zu überlegen, wie man die Architektur von Grund auf so entwerfen kann, dass die Sicherheit Teil der Entwicklung bei SPS- oder Produktionsanlagen ist. Zusätzlich verfolgen wir völlig neue Ansätze, zum Beispiel beim Thema Objektidentität. Einer davon, der zwar nicht von uns stammt, aber wo wir uns stark engagieren, sind die sogenannten Physical Unclonable Functions. Das ist das Äquivalent zu biometrischen Merkmalen, wie wir sie von Menschen kennen, für physische Objekte. Daraus lassen sich digitale Fingerabdrücke ableiten.
Außerdem arbeiten wir an Lösungen für den Produktschutz und für den Schutz geistigen Eigentums. In den immer smarter werdenden Produkten steckt sehr viel Know-how. Aus der Software kann man nicht nur herauslesen, wie ein Produkt genutzt und gewartet wurde, sondern man kann häufig Rückschlüsse auf seine gesamte Entstehungsgeschichte ziehen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>