:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/images.vogel.de/vogelonline/bdb/1715400/1715459/original.jpg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c7/ed/c7ed9c9c90ff814c2297ae8792ac8f6c/0106348259.jpeg "Die kostenfreie ASE-Webkonferenz wird unterstützt von den Unternehmen CODESYC (Sponsor und Referent), Embedded Ocean, Fraunhofer IPT und Siemens (Referenten). (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/0c/98/0c98fa23317081660e4be5a56e30886f/0109715215.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/ca/a0/caa05b9965bf706d74a5eb9747d6b2da/0110637610.jpeg "MOSA-Ziele konzentrieren sich darauf, offene Standards und modulare Komponenten zu verwenden, um die Entwicklungskosten zu reduzieren und die Flexibilität von Systemen zu erhöhen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b3/cc/b3ccb847bc3443385fc70791c893c6bf/0110497279.jpeg "Nadine Riederer ist CEO bei Avision. (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/0d/7b/0d7b02fd345ba7ee9b56a483f4b7fb71/0109539496.jpeg "Beides, Glück und Autonomie, brauchen Zeit. So, wie manch melancholischer Teenager die Mühsal der Jugendzeit ausleben muss, gibt es auch für die Autonomie keine schnellen „Wunderlösungen“. (Bild: Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/90/c2/90c20fe3ae6c5c4993c81d5649dc3b5b/0107641254.jpeg "In diesem Artike klärt Rainer Grimm Sie über Fakten der der C++-Programmierung auf. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f8/d0/f8d02766962e82673ccb687468afb87f/0110191797.jpeg "Kein Rätselraten: Eine intelligente Testausführung auf der Ebene der Entwickler und Tester in deren lokalen IDEs ist von entscheidender Bedeutung. (Bild: Jim Barber)")
:quality(80)/p7i.vogel.de/wcms/c3/4f/c34f53bd7509eaf314dc05c003c1c88e/0109159876.jpeg "Systematische Reviews können dabei helfen, die Grundlage für systematische und sinnvolle Verbesserrungen zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/db/0d/db0d1459248df14128a1fefbe1905bc3/0108765316.jpeg "Mithilfe der QNX-AWS-Cloud-Lösung sollen Entwickler Code, der später in ihren Embedded-Produkten zum Einsatz kommt, in all seinen Varianten testen können, ohne dass sie dafür Hardware benötigen. (Bild: Blackberry)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fc29ca187ddbb9fb47428f7d3b1f/0108241972.jpeg "Ziel von Cyberattacken ist es, Schwachstellen in Software zu finden, durch die unbeabsichtigtes Verhalten ausgelöst werden kann. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
Kopf an Kopf – Penetrationstest vs. Schwachstellenscan Security Testing für Embedded Systems
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Im Bereich der Embedded Systems sind Security by Design und sichere Software-Entwicklung von besonderer Bedeutung. Dies bedingt Security Testing über den ganzen Lebenszyklus hinweg, dieser Beitrag widmet sich dem Pen Testing auf der einen und Vulnerability Scans auf der anderen Seite.
Wenn man eingebettete Geräte mit einem angemessenen Sicherheitsniveau auf den Markt bringen will, kommt man als Anbieter nicht umhin, eine Sicherheitsüberprüfung in den Softwareentwicklungsprozess zu integrieren. Im Idealfall heißt das, Sicherheitsüberlegungen in alle Phasen des Lebenszyklus eines eingebetteten Geräts einzubeziehen.
Dies gilt von der initialen Produktarchitektur und dem Produktdesign über die Implementierung und Prüfung bis hin zur Verwendung und Überwachung im eigentlichen Einsatz. Und den ganzen Weg zurück in Richtung Design – zumindest, wenn man der sich stetig verändernden Bedrohungslandschaft ebenso Rechnung tragen will wie den Marktanforderungen und allen Problemen, die beim realen Einsatz der Geräte auftreten.
An dieser Stelle konzentrieren wir uns auf die eigentliche Prüfphase innerhalb des Sicherheitsprozesses. Ähnlich der Prüfphase innerhalb des Entwicklungsprozesses, bei der die funktionale Implementierung überprüft wird, gewährleistet dieser Teil, dass Sicherheitsfunktionen korrekt implementiert wurden.
Das Auffinden bekannter Schwachstellen gehört hier ebenso dazu wie die Prüfung auf deren Ausnutzbarkeit, das Identifizieren von potenziellen Sicherheitslücken und das Gesamtbild vom Sicherheitsprofil eines Produkts. Das betrifft sowohl das Produkt als Ganzes als auch die einzelnen Komponenten. Unabhängig davon, ob diese Komponenten komplett im eigenen Haus entwickelt wurden, mithilfe von Open Source Code erstellt oder von Drittanbietern bezogen wurden.
Die gleichen Pflichten gelten im Übrigen unabhängig davon, ob man selbst der Anbieter ist, der ein bestimmtes Produkt auf den Markt gebracht hat, ein Integrator für das Produkt oder ein OEM-Anbieter oder Dienstleister ist, der ein Standardprodukt unter dem eigenen Markennamen verwendet. Wenn bei einem vernetzten Produkt Sicherheitsprobleme auftreten, dann sind alle genannten Parteien in der Haftung.
Für diejenigen, die einfach nur ein internetfähiges Produkt kaufen wollen, ist es nicht ganz leicht, einzuschätzen, wie sicher (oder weniger sicher) es tatsächlich ist. Herstelleraussagen allein sind an dieser Stelle nicht immer hilfreich. Gerade weniger bekannte Hersteller neigen tendenziell dazu, die Sicherheit ihrer Produkte übertrieben hoch einzuschätzen. Aber selbst gestandene Anbieter sind bei Weitem nicht unfehlbar.
Regelmäßig finden Experten schwerwiegende Sicherheitsprobleme in namhaften Produkten (D-Link, Linksys, Android und MikroTik, um nur einige zu nennen). Ein Prozess, der den Sicherheitsstatus eines Produkts bewertet und konkrete Nachweise liefert, die die Sicherheitsangaben eines Herstellers prüfen und sie untermauern (oder widerlegen), hilft allen beteiligten Parteien weiter.
Dabei führen unterschiedliche Wege zum Ziel. Traditionelle Ansätze berufen sich während der Entwicklungs- und Verifizierungsphase auf die interne Qualitätssicherung und lassen Penetrationstests und Zertifizierungen durch unabhängige externe Organisationen durchführen. Neuere Ansätze konzentrieren sich demgegenüber auf automatisierte Tests und Schwachstellen-Scans. Jede dieser Methoden hat ihre Vor- und Nachteile. Wenn man aber alle relevanten Probleme lösen will, kommt man nicht umhin einige oder sämtliche Methoden zu kombinieren.
Qualitätssicherung für Sicherheitsfunktionen
Die Qualitätssicherung (QS) ist eine im Entwicklungsprozess etablierte Phase, die normalerweise von einem internen Team betreut wird. Abhängig von der jeweiligen Organisationsstruktur sind die Verantwortlichen für die Qualitätssicherung selbst Teil des Entwicklungsteams oder es handelt sich um ein separates Team. Gegebenenfalls sogar unter separater Leitung, was für ein gewisses Maß an Unabhängigkeit sorgt.
Wie ein QS-Team strukturiert ist, wirkt sich direkt auf seine Herangehensweise aus, darauf, wie es vom Input seitens der Entwickler beeinflusst wird, und nicht zuletzt darauf, welche Tests in der Praxis durchführt werden. Ein gutes QS-Team verfolgt beim Testen einen Ansatz, der dem des potenziellen Gegners entspricht. Dabei wird etwa versucht, den Produktcode zu knacken oder ihn zum Scheitern zu bringen (Negativtests). Ein Ansatz, der dem von möglichen Angreifern oder Pen-Testern sehr ähnlich ist.
QS-Teams testen aber weit häufiger, ob der Produktcode die gewünschte Funktion wie erwartet erfüllt (Positivtests). Um ein Beispiel zu geben: Beim Test eines Software-Update-Mechanismus, überprüfen positive Tests wie robust der Code ist und ob er gültige Updates korrekt anwendet. Negativtests hingegen überprüfen, ob es sich um ungültige Update-Inhalte, falsche Signaturen oder ungültige Zertifikatsketten handelt.
Diese Negativfälle sind es, die mit einer höheren Wahrscheinlichkeit in einem Angriffsszenario auftauchen. In diesem Beispiel ist es sehr viel einfacher, die positiven Tests erschöpfend aufzuführen, statt alle negativen Randfälle. Die füllen leicht eine ganze Seite, wenn man etwa auf sämtliche Möglichkeiten eingehen will, wie eine Zertifikatsüberprüfung fehlschlagen kann.
Aus ähnlichen Gründen neigen QS-Teams bei starker Arbeitsauslastung oder Überlastung (die übliche Situation) dazu, sich auf die positiven Tests zu konzentrieren. Denn die sind zwingend nötig, um ein Produkt auf den Markt zu bringen. Im Umkehrschluss führt das oft dazu, dass die QS auf Negativtests verzichtet. Und genau die sind erforderlich, um zu prüfen, wie sicher ein Produkt ist.
Um Sicherheitsfunktionen ordnungsgemäß auszuführen brauchen QS-Teams dedizierte Ressourcen und sollten ausreichend auf das Thema Sicherheit hin spezialisiert sein. So oder so sollte man nicht darauf verzichten, weitere Sicherheitsexperten im Unternehmen regelmäßig einzubeziehen. Sie sollten das QS-Team anleiten und am Testplan mitarbeiten.
Die Hauptschwierigkeit liegt darin, dass dieser Prozess ressourcenintensiv ist und von der (notwendigen!) Konzentration der QS auf funktionale Tests ablenkt. Deshalb zögern viele Unternehmen, die erforderlichen QS-Ressourcen für sichere, internetfähige Produkte freizuschaufeln. Stattdessen entscheiden sich die meisten für externe Penetrationstests, um den Sicherheitsstatus eines Produkts zu ermitteln.
:quality(80)/p7i.vogel.de/wcms/2c/c9/2cc9b710f62334c1a4259f56c50cfb14/92609510.jpeg "Du kommst hier net rein! - Oder doch? Aktive Penetrationstests helfen, Schwachstellen im Code aufzudecken, ehe Angreifer von Außen diese für Caberangriffe ausnutzen. Doch Penetrationstests können nur dann wirklich helfen, wenn auch eine möglichst vollständige Codeabdeckung erreicht wird. (Bild: gemeinfrei)")
Messung der Code-Abdeckung im Rahmen von Penetrationstests
Penetrationstests zur Tiefenanalyse (Deep Analysis)
Penetrationstests sind Sicherheitsprüfungen, durchgeführt von internen oder externen Spezialisten mit einem offensiven Ansatz. Anstatt die Produktfunktionen zu prüfen, konzentrieren sich Penetrationstests nur darauf, Sicherheitslücken und -schwächen aufzudecken. Abhängig von der Vereinbarung mit dem Kunden verwenden Pen-Tester entweder die White- oder die Black-Box-Methode.
Diese gewähren jeweils unterschiedlich viel Einblick in die interne Dokumentation und sogar den Quellcode eines Produkts. Beim White-Box-Ansatz haben die Tester Zugang zu internen Informationen, ähnlich wie ein internes QS-Team sie hat. Beim Black-Box-Ansatz bekommen die Pen-Tester nur das aktive Produkt und alle öffentlich zugänglichen Dokumentationen, d. h. sie können nur auf die Informationen zugreifen, die auch einem realen Angreifer zur Verfügung stünden.
Die Pen-Tester richten dann eine Testumgebung ein, die mindestens ein betroffenes Gerät enthält, eventuell mit einer Netzwerkverbindung. In einem komplexen Szenario umfasst das Setup die gesamte Systeminstanz, einschließlich von Cloud- oder Serverkonten.
Dieses Setup erlaubt es einem Tester, das Gerät durch verschiedene Onboarding- und Update-Flows zu führen, ohne die Produktivumgebung des Herstellers zu gefährden – wie das zum Beispiel beim Testen von ungültigen Eingaben der Fall ist, die an die Cloud übermittelt werden. Bei vielen gängigen vernetzten embedded Produkten gehören auch die mobilen Apps zum Pen-Test Setup. Schließlich braucht der Benutzer sie, um das Gerät zu handhaben.
Pen-Tester sind Sicherheitsprofis, deren Wissen und Fähigkeiten eher auf der offensiven Seite liegen. Das ist hilfreich, um das Verhalten eines realen Angreifers zu simulieren. Um eine vollständige Schwachstellenbewertung zu erstellen, werden die externen Eigenschaften des Produkts untersucht; hierunter fallen die Netzwerkschnittstelle und die gesamte Kommunikation, die darüber abläuft, sowie die internen Eigenschaften wie der Inhalt des Firmware-Images.
Die Tester suchen nach Möglichkeiten, das Produkt zu kompromittieren, angefangen von vergleichsweise milderen Angriffsvarianten wie Denial-of-Service und dem Offenlegen von Daten, über intrusive Wege einen unautorisierten Zugriff zu erlangen und die Kontrolle zu übernehmen bis hin zu dauerhaften Modifikationen der Gerätelogik oder dem Beschädigen von Daten und/oder der Logik in der Cloud.
Penetrationstests durch eine externe Gruppe von Testern oder ein darauf spezialisiertes Unternehmen haben gegenüber internen Tests etliche Vorteile. Einmal durch das gebündelte Fachwissen, und zum anderen durch die organisatorische Unabhängigkeit. Ein guter Testbericht deckt die Sicherheitsprobleme eines Produkts umfassend ab. Trotzdem kann er sich in der Praxis als unzureichend erweisen.
Zeitmangel und eigeschränkte Sicht
Da die meisten Penetrationstests in Black-Box-Umgebungen durchgeführt werden, konzentrieren sich die Tester oft auf die extern exponierten Komponenten eines Produkts, wie Web-Anwendungen und Remote-Login-Schnittstellen. Das geht meist auf Kosten der anfälligen internen Funktionsmerkmale. Dazu kommt, dass den Testern nur begrenzt Zeit zur Verfügung steht.
Nicht selten besteht der Ehrgeiz dann darin, möglichst eindrucksvolle Schwachstellen zu finden. Solche „Low Hanging Fruits“ konzentrieren sich aber zumeist auf Angriffe, die leicht durchführbar sind. Eine eingehende Analyse der einem Produkt zugrundeliegenden Sicherheitsarchitektur ist unter Umständen gar nicht im Interesse der Tester. Es sei denn, es handelt sich um Schwachstellen, die sich leicht ausnutzen lassen.
Ein weiterer Nachteil: Penetrationstests sind subjektiv und in hohem Maße von den Erfahrungen der jeweiligen Pen-Tester abhängig. Zwei verschiedene Teams werden nie ein und denselben Bericht erstellen. Die Ergebnisse sind immer auch das Resultat von Variablen wie der Expertise des Testers und den verwendeten Test-Tools.
Gute Penetrationstestteams verwenden automatisierte Tools, angefangen bei Portscannern wie z. B. nmap und weiterhin mit Tool-Suiten wie Metasploit oder Detectify. Automatisierte Tools erleichtern den anfänglichen Erkundungsprozess, erstellen ein Gesamtbild der Angriffsfläche eines Produkts, finden erste Einstiegspunkte für Angreifer und so weiter.
Software-Scan-Tools unterstützen Pen-Tester dabei, schwerwiegende Sicherheitsschwachstellen zu finden. Das sind beispielsweise bekannte Schwachstellen in Bibliotheken von Dritten und Open Source Code. Solche Scans führen fast zwangsläufig in Bereiche, die man gründlicher untersuchen sollte, oder sie verschaffen den Testern Zugang zur Codebase eines Produktes, die sich für weitere Angriffe ausnutzen lässt. Tools, die hier noch einen Schritt weitergehen, liefern differenzierte Ergebnisse und enthüllen auch tiefer liegende Architekturprobleme. Im Folgenden werden wir uns automatisierte Tools etwas genauer ansehen.
Unabhängige Sicherheits- und Compliance-Zertifizierungen
Pen-Testberichte lassen sich als Nachweis für eine unabhängige Zertifizierung verwenden. Wenn man Kunden allerdings von der Sicherheit eines Produkts überzeugen will, ist es in der Regel besser, die Zertifizierung über ein spezielles Verfahren zu erlangen. Einige Branchen und Märkte verlangen Zertifizierungen durch ein unabhängiges Labor und Standard-Compliance. Das ist besonders dann nachvollziehbar, wenn Sicherheit eine zentrale Rolle spielt.
Im Automobil-, Medizin- und Industriesektor ist Compliance über verschiedene Zertifizierungen gesetzlich vorgeschrieben. Wenn es aber um vernetzte, internetfähige Produkte, wie Embedded- oder IoT-Geräte, geht, sind die Compliance-Anforderungen im Bereich Cybersicherheit weit weniger klar definiert. Allerdings bringen Regulierungsbehörden zunehmend entsprechende Gesetze und Kennzeichnungssysteme auf den Weg.
In anderen Branchen ist eine Zertifizierung vielfach nicht zwingend vorgeschrieben. Dennoch verspricht sie bei zunehmend sicherheits- und datenschutzaffinen Kunden einen Wettbewerbsvorteil. Aus diesem Grund reichen Anbieter ihre Produkte häufig zur unabhängigen Zertifizierung ein.
Zertifizierungsprogramme für Cybersicherheit werden in der Regel um ein Standarddokument herum definiert. Die Bandbreite der relevanten Standards reicht von geschlossenen und proprietären Standards, die typischerweise von der zertifizierenden Organisation selbst entwickelt wurden (z. B. die UL-2900-Familie von Standards), über freie und offene Standards (z. B. die NIST-CMVP-Dokumente, ENISA- oder IoTSF-Standards) bis hin zu allem was dazwischen liegt (z. B. die Dokumente für ISA/IEC 62443, die nach einer E-Mail-Registrierung verfügbar sind).
Für jeden Standard muss der Anbieter in der Regel alle Anforderungen hinsichtlich von Verfahren und Technik umsetzen. So erwartet man von ihm, dass er detaillierte Nachweise vorlegt, aus denen hervorgeht, in welcher Weise das Produkt dem Standard entspricht oder wo es davon abweicht. Der Zertifizierungsprozess selbst verläuft sehr unterschiedlich.
Am einen Ende des Spektrums steht die Selbstzertifizierung, bei der ein Anbieter lediglich einen Fragebogen ausfüllen und die Antworten für potenzielle Kunden veröffentlichen muss. Am anderen Ende steht Compliance aufgrund einer Prüfung durch eine unabhängige Organisation. Dabei führt ein Labor eigene, umfassende Produkttests durch und überprüft die vom Anbieter eingereichte Dokumentation.
In beiden Fällen verbleibt ein Großteil der Beweislast beim Anbieter. Er liefert das Produkt und muss die dazugehörige Dokumentation erstellen. Der Entwicklungsaufwand ist beträchtlich. Dazu kommen die Kosten für die Zertifizierungsstelle und die beteiligten Labors oder Berater. Selbst nach einer erfolgreichen Zertifizierung können Folgekosten anfallen. Wird ein Produkt aktualisiert oder eine Produktlinie erweitert, muss nicht selten auch die Zertifizierung aktualisiert oder ganz erneuert werden.
Was genau Cybersicherheitsstandards beinhalten ist sehr unterschiedlich. Einige Standards widmen sich verstärkt der Dokumentation des Anbieters und dem Sicherheitsprozess selbst (einige schreiben sogar Penetrationstests oder die Verwendung automatisierter Tools zum Auffinden von Sicherheitsschwachstellen und bekannter Exploits zwingend vor), andere konzentrieren sich auf sichere Codierungstechniken. Noch technischere widmen sich der Gerätearchitektur und -konfiguration oder enthalten zumindest einige technische Kapitel.
Die meisten Standards halten ihre technischen Anforderungen auf einem relativ hohen Niveau. Allerdings formulieren nur wenige explizit technische Anweisungen wie man die Anforderungen am besten erfüllt (einige positive Beispiele sind die CIS-Benchmarks, DoD STIGs oder der AGL Security Blueprint). Für einen Anbieter ist es deshalb nicht ganz einfach, sein anfängliches Compliance-Niveau abzuschätzen, bevor er mit dem Zertifizierungsprozess beginnt. Das treibt die Kosten in die Höhe. Automatisierte Tools tragen dazu bei, Aufwand und Kosten zu senken.
:quality(80)/p7i.vogel.de/wcms/c3/84/c384684d6367ee0c76d735ca6e11b54b/87322282.jpeg "Pen-Tester finden fast immer eine Schwachstelle, über die sie in ein Netzwerk eindringen können. Das macht eine Verteidigung gegen Angreifer aber nicht unmöglich. (Bild: gemeinfrei)")
Der Nutzen von Penetrationstests
Automatisierte Schwachstellen-Scans für objektive Ergebnisse
Es gibt viele Arten von automatisierten Tools, die jeweils unterschiedliche Aspekte der Produktsicherheit überprüfen. Es existiert eine Reihe von Tools, die das gesamte IoT-Ökosystem abdecken, also eingebettete, Cloud-, Web- und mobile Komponenten.
Einige verwenden den dynamischen Ansatz, bei dem ein aktives Gerät über das Netzwerk gescannt wird, um den Sicherheitsstatus hinsichtlich von Webserver und Kommunikation zu diagnostizieren. Andere verwenden den statischen Ansatz, bei dem der Quellcode oder das Binary Image eines Geräts gescannt werden.
Dynamische Tools brauchen ein aktives Gerät. Dahingehend sind statische Tools flexibler. Sie benötigen nur eine Datei, die über ein Web-Interface heruntergeladen wird. Ein weiterer Unterschied besteht darin, dass dynamische Tools auf das externe Verhalten des Geräts limitiert sind, während statische Tools auch sein Innenleben untersuchen.
Statische Tools decken sichere Codierungspraktiken ab, finden bekannte Sicherheitsschwachstellen und Exploits, identifizieren potenzielle Zero-Day-Schwachstellen und zeigen sogar verschiedene Konfigurations- und Architekturprobleme auf den untersten Anwendungsebenen (Bootloader und Betriebssystem-Interna) bis hin zu den oberen Ebenen auf. Ein gut entwickeltes Tool kann Hunderte oder sogar Tausende von einzelnen Scans oder Tests durchführen.
Dabei haben statische Tests den Vorteil, dass sie in wenigen Minuten die Art von Ergebnissen liefern, für die Penetrationstester manuell Tage oder Wochen brauchen würden. Der gesamte Testprozess verläuft automatisch und wird nahtlos in einen kontinuierlichen Integrations- beziehungsweise Entwicklungsfluss integriert. Dabei kann man potenziell jedes Produkt und jede Version scannen – ohne Automatisierung an sich schon ein unmögliches Unterfangen.
Tools sind wiederverwendbar und objektiv
Solche Tools zu entwickeln ist mit Kosten verbunden, denn jede einzelne Scan-Funktion muss auf jedes Betriebssystem portiert und die Abdeckung für jeden Dateisystemtyp und jede Softwarekomponente hinzugefügt werden. Hat man den Aufwand aber einmal betrieben, zahlt er sich aus. Denn die Scanner kann man immer wieder einsetzen, und sie erlauben eine schnelle On-Demand-Analyse.
Wer ein gutes, automatisiertes Tool für Schwachstellen-Scans anbieten will, der investiert oft jahrelang in Forschung und Entwicklung, an der im Übrigen auch Penetrationstester maßgeblich beteiligt sind. Die Expertise von solchen Forschungsteams fließt in die Analyse von Produkten, Plattformen und Softwarekomponenten ein. Umgekehrt liefern diese ihrerseits Erkenntnisse, die den Weg zurück in die Entwicklung automatisierter Scanner finden.
Im Gegensatz zu einem manuell erstellten Bericht eines Pen-Testers hat die Automatisierung noch einen weiteren Vorteil: sie ist objektiv. Ein und dasselbe Tool liefert immer objektive Ergebnisse zu einem Gerät oder einer Softwarekomponente. Ein Aspekt, der automatisierte Tools für externe Zertifizierungen sehr hilfreich macht.
Dazu kommt, dass solche Tools auch externe Standards beinhalten. Sie analysieren beispielsweise die Firmware eines Geräts und geben einen Defizitbericht in Bezug auf einen bestimmten Standard aus. Der gibt Aufschluss über den nötigen Zeit- und Arbeitsaufwand, um diesen Compliance-Anforderungen zu entsprechen. Das lässt sich in der Regel in wenigen Minuten erledigen, während der gleiche Prozess, manuell durchgeführt, Wochen für die Dokumentation und Analyse in Anspruch nehmen würde.
Sicherheitsprüfung – ein Must-Have
Sicherheitsprüfungen sind notwendig, daran besteht kein Zweifel, aber es gibt verschiedene Wege. Manuelle Methoden erzielen hervorragende Ergebnisse, erfordern aber ein engagiertes und entsprechend ausgebildetes Team sowie Zeit und Aufwand. In einigen Fällen führen sie trotzdem zu verzerrten Ergebnissen. Insbesondere dann, wenn ein Auftraggeber die Anreize falsch gesetzt hat.
Der Markt für vernetzte internetfähige Geräte (IoT) ist hoch dynamisch. Umfangreiche Produktlinien, viele unterschiedliche Varianten und eine möglichst schnelle Markteinführung sind die Regel. Anbieter sollten deshalb automatisierte Tests gegenüber manuellen in Betracht ziehen.
Die unabhängige Zertifizierung hat ihre eigenen Nachteile, vor allem hohe Kosten und langwierige Arbeitsprozesse und gegebenenfalls Aktualisierung oder gar Neuzertifizierung. Andererseits kommt man in bestimmten Märkten um eine unabhängige Zertifizierung nicht herum. Je nach Art und Umfang ist sie vermutlich der tauglichste Indikator für ein sicheres Produkt und liefert somit einen Wettbewerbsvorteil. Automatisierte Tools unterstützen auch unabhängige Zertifizierungen.
Der beklagenswerte Sicherheitslevel vieler IoT-Produkte schafft es regelmäßig in die Schlagzeilen. Aber inzwischen sind die Regulierungsbehörden hellhörig geworden und mischen bei den Vorgaben zu Sicherheitsstandards kräftig mit. Sicherheitsprüfungen sind folglich unabdingbar. Automatisierte Tools erlauben eine detaillierte Sicherheitsprüfung, On-Demand und für eine breite Palette von vernetzten Produkten. Das wird den Anteil solcher Tools innerhalb von Sicherheitsprüfungen weiter steigen lassen.
:quality(80)/p7i.vogel.de/wcms/a1/61/a16163857a6d5ab7adc0daee9b040ac5/93064206.jpeg "Statische Analyse im Entwickler-Werkzeugkasten: Mit SAST-Tools können Unternehmen Softwaresicherheit bereits in den frühen Phasen der Entwicklung berücksichtigen und den Softwareingenieuren die Tools und Anleitungen an die Hand geben, die sie zur Erstellung sicherer Software benötigen. (Bild: © leowolfert-stock.adobe.com)")
Statische Analyse zur Sicherheitstest-Toolbox hinzufügen
:quality(80)/p7i.vogel.de/wcms/e6/14/e6146b65116f4c2df2247f9f4683a109/93657806.jpeg "Die meisten vernetzten Geräte bieten in der Regeln nur zwischen einem oder drei Sicherheitslevel. Laut Microsoft gibt es allerdings sieben Eigenschaften, die ein hochgradig sicheres und vernetztes Gerät erfüllen muss. (Bild: Clipdealer)")
Sieben Eigenschaften hochsicherer Geräte
* Harry Zorn ist Vice President EMEA bei Vdoo.
Dieser Beitrag erschien zuerst auf unserem Partnerportal Dev-Insider.de. Verantwortlicher Redakteur: Stephan Augsten.
(ID:47119607)
:quality(80)/images.vogel.de/vogelonline/bdb/1960500/1960535/original.jpg "Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen. (BillionPhotos.com - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1948300/1948306/original.jpg "Verschiedene Codierungsstandards existieren, um die Entwicklung von sicherer Software zu erleichtern. Tools zur Durchführung von Statischer Analyse oder Statischen Anwendungstests (SAST) helfen dabei, diese konsequent einzuhalten. (Parasoft)")