Lernende Systeme IBM sichert vernetzte Autos und das IoT mit Hilfe der Cloud

IBM Security hat cloud-basierte Sicherheitstests für die Automobilindustrie und Anwendungen im Internet der Dinge (IoT) entwickelt. Das erlaubt es Unternehmen aus dem Automotive- und dem IoT-Bereich, ihre Applikationen, ihre Hardware und ihre Backend-Prozesse auf Schwachstellen zu prüfen.

Anbieter zum Thema

Axivion GmbH

Parasoft® Deutschland GmbH

RTI Real-Time Innovations

IBM Deutschland GmbH

Laut einer Studie des Ponemon-Instituts im Auftrag von Arxan und IBM Security testen 58 Prozent aller Unternehmungen, die IoT-Anwendungen erstellen, diese Apps nur während der Produktionsphase. Dies bringt das Risiko mit sich, dass durch die IoT-Applikationen Risiken in bereits existierende IT-Systeme hineingetragen werden. Während die Watson-IoT-Plattform zum Management und zur Konfiguration von IoT-Anwendungen herangezogen werden kann, sorgen die X-Force-Red-Sicherheitsservices von IBM für Sicherheits- und Penetrationstets.

Das X-Force-Red-Team von IBM ist jetzt ein Jahr alt und wurde durch bekannte Persönlichkeiten aus der Hacker-Szene wie Cris Thomas (Space Rogue) und Dustin Heywood (Evil_Mog) verstärkt. Unter anderem hat das Team in den zurückliegenden zwölf Monaten einen Passwort-Cracker entwickelt, der die Passwortdisziplin bei Kundenunternehmen verbessern soll.

Gartner schätzt, dass bis 2020 etwa 61 Millionen Automobile unterwegs sein werden, die entweder über ein eingebautes Kommunikationsmodul verfügen oder über ein Mobilgerät, etwa ein Smartphone, mit der Außenwelt vernetzt sind. Vor diesem Hintergrund hat die X-Force-Red-Expertentruppe Praktiken für die Automobilindustrie entwickelt, die dabei helfen sollen, Hardware, Bordnetze, Applikationen sowie die Interaktion der Menschen mit dem Fahrzeug gegen Eindringlinge und Manipulationen abzusichern.

Augen auf beim Gebrauchtwagenkauf – der alte Besitzer könnte immer noch Zugriff haben

Bei diesen Praktiken kommen auch Erkenntnisse zum Tragen, die X-Force-Red heuer öffentlich gemacht hat. Ein Beispiel ist der Kauf eines gebrauchten Fahrzeugs mit Connected-Car-Eigenschaften. Der frühere Besitzer eines solchen Gebrauchtfahrzeugs hat unter Umständen immer noch die Möglichkeit, den Wagen zu orten, sich Zugang zu dem Auto zu verschaffen, sowie Heizung und Klimaanlage zu manipulieren.

Charles Henderson, einer der Sicherheitsexperten bei IBM, hatte dies selbst in der Praxis erlebt. Zwar löschte er seine persönlichen Informationen aus dem Navigationssystem sowie die gespeicherten Telefonkontakte, als er sein Auto verkaufte. Er stellte aber fest, dass sein alter Wagen immer noch in der Smartphone-App gelistet war, mit der er remote die Türen des Fahrzeugs öffnen konnte. Da sein neuer Wagen vom selben Hersteller stammte wie der alte, konnte Henderson die Smartphone-App weiterhin benutzen.

„Wenn mir danach gewesen wäre, hätte ich den neuen Eigentümern des Autos viel Spaß bereiten können“, sagte Henderson auf der diesjährigen RSA-Konferenz. Damit zeigte sich, dass beim Verkauf eines Fahrzeugs mögliche Türen für böswillige Attacken vorhanden sind. Derartige Sicherheitslücken fand das Team bei vier größeren Automobilherstellern.

Da die möglichen Kombinationen von Systemen und Komponenten bei einem modernen Auto fast unüberschaubar groß sind, prüft das X-Force-Red-Team sowohl die einzelnen Komponenten auf Schwachstellen als auch die übergreifenden Systeme.

Bedrohungsanalyse mit Watson IoT

Auch das Internet der Dinge sorgt für Gefahrenpotenzial: Häufig werden bei den IoT-Geräten nur rudimentäre oder sogar keine Sicherheitstests vorgenommen – und wenn, dann meist in der Produktionsphase. Inzwischen hat sich laut IBM gezeigt, dass Tests über den gesamten Lebenszyklus von IoT-Geräten und Applikationen der beste Weg seien, um Verwundbarkeiten vorbeugend zu vermeiden.

Kunden der Watson-IoT-Plattform sollen künftig in der Lage sein, das Expertenwissen der X-Force-Red-Forscher während der Entwicklung und des Betriebs ihrer Applikationen zu nutzen. Über die Watson-Plattform können die Benutzer zum Beispiel eine Bedrohungsanalyse für das IoT fahren. Dies ermöglicht es, Lücken in der Sicherheitsarchitektur zu entdecken und im Falle eines Zwischenfalls die erforderlichen Schritte richtig zu priorisieren.

Bei der Visualisierung solcher Tests hilft das im Februar 2017 gestartete Red-Portal. Es ermöglicht die Zusammenarbeit von Kunden und Sicherheitsexperten und gewährt eine umfassende Sicht auf die momentan laufenden Testprogramme. Die Kunden können auf diese Weise Projektmeilensteine einsehen, Sicherheitslücken in allen betroffenen Bereichen analysieren, detaillierte Reports abrufen und einen übergreifenden Statusbericht über die laufenden Sicherheitstests erhalten. Über das Red-Portal läuft die gesamte Kommunikation der Kunden mit den Sicherheitsspezialisten.

Vernetzung potenziert Sicherheitsrisiken

„Durch die zunehmende Vernetzung von Haushaltsgeräten und von Automobilen entstehen ungeahnte Sicherheitsrisiken“, sagt Christian Nern, Head of Security Software DACH bei IBM Deutschland. „Sowohl große Konzerne als auch kleine und mittelständische Betriebe müssen für diese Themen eine größere Sensibilität entwickeln und Sicherheitslücken rechtzeitig beheben. Durch die Watson IoT Platform können Unternehmen eine sicherere Grundlage für ihre Produkte schaffen. Zusätzlich können IBM Kunden auf die Sicherheitsexperten der X-Force Red aufsetzen, die ihnen mit ihrer Erfahrung und Expertise zur Seite stehen.“

Lernende Systeme

Hinter den Kulissen von IBMs Supermaschine Watson IoT

Internet of Things und Industrie 4.0

Auf Tour im IBM-Watson-IoT-Labor

(ID:44807380)