Warum Security by Design im IoT noch nicht angekommen ist

Autor / Redakteur: Klaus-Dieter Walter * / Hendrik Härter

Schon vor Meltdown und Spectre wurde deutlich, dass Mikrorechner in industriellen Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht werden. Wie sieht ein vernünftiger Schutz aus?

Anbieter zum Thema

Gefahr für die Industrie: Schon vor Meltdown und Spectre waren industrielle Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht.
Gefahr für die Industrie: Schon vor Meltdown und Spectre waren industrielle Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht.
(Bild: SSV Software)

Als im November vergangenen Jahres der geschäftsführende Bundesinnenminister Thomas de Maizière und der Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm in Berlin den BSI-Lagebericht zur IT-Sicherheit in Deutschland vorstellten, waren Meltdown und Spectre nur Insidern bekannt und Intel-Chef Krzanich noch im Besitz seines gesamten Aktienoptionspakets. Insofern konzentriert sich der BSI-Bericht nahezu vollständig auf die klassischen Themen aus den Vorjahren (Gefährdungslagen oder Maßnahmen des BSI).

Dabei kommen teilweise ältere und hinreichend bekannte Vorfälle zu Sprache. Aber es wird in dem Dokument auch explizit auf die Gefahren und Schwachstellen hingewiesen, die sich durch das Internet der Dinge, die fortschreitende Digitalisierung und durch Angriffe auf industrielle Steuerungsanlagen ergeben.

Bildergalerie

Die Anzahl der Bot-Netze im IoT nimmt zu

Unzählige vernetzte Mikrorechnersysteme besitzen nach wie vor werksseitig eingestellte Standardpasswörter, die man teilweise sogar in den per Internet zugänglichen Bedienungsanleitungen findet. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn ein Smart-Home-Thermostat oder die Smartphone-App eines Wearables von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird.

In den letzten Monaten kam es zu keinen spektakulären Cyberangriffen auf IoT-Anwendungen. Und das, obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Anwendungen im Smart Home und Smart Factory zunehmen und neue IoT-Funkstandards zum Einsatz kommen. Bisher sind keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf Komponenten und Infrastrukturen identifizierbar. Anwendungen für das Smart Home oder IoT waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 [1] betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis staatliche Cyberkrieger oder Cyberkriminelle entsprechende „Geschäftsmodelle“ gefunden haben, um auch im IoT-Segment aktiv zu werden.

Fest kodierte Passwörter als Schwachstelle

Völlig anders sieht es mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme.

Im August 2016 war mit Mirai schon ein fast 700 Prozent größeres Botnet aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter (Hard-coded Passwords) als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden.

Bei einer für 2020 prognostizierten Anzahl von über 20 Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollten wir das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten der rund 20 Mrd. IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastrukturkomponenten oder Services zu missbrauchen.

Security by Design muss in das Lastenheft

Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps, wie Wearables, mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheits-Updates zur Verfügung stehen. Es ist davon auszugehen, dass wir bis 2020 nach den ersten Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit Millionen einzelnen eingebetteten Rechnersystemen und Smartphones erleben werden. Die Auswirkungen wären dramatisch.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Aus technischer Sicht unverständlich ist, warum beispielsweise die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Auch unzählige andere Systeme könnten nahezu identische Schwachstellen aufweisen, weil Security by Design noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte eine Software-Change-Meldung an einen Maintenance-Server oder ein Logging-Server-Eintrag im Internet gereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen.

Dafür muss die Firmware des Mikrorechners im Router oder ein zentraler Logging-Server lediglich automatisch erkennen, dass eine „unbekannte“ Software installiert oder gestartet wurde. Für ein Embedded-Linux wäre eine einfache Root-of-Trust-Erkennung mit wenig zusätzlichen Codezeilen umsetzbar. Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle besitzen, unbedingt auch eine zeitgemäße Vor-Ort-Software-Update-Möglichkeit aufweisen. Besonders einfach ist ein Update wenn – wie bei einem Router – eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen.

Wie IoT-Produkte künftig sicherer werden sollen

Grundsätzlich sollten alle IoT-Baugruppen und -Systeme sowie die dazugehörenden Apps mit Sicherheitserweiterungen ausgestattet sein, die dem jeweiligen Stand der Technik entsprechen. Dieser Zustand ändert sich laufend. Deshalb müssen unbedingt geeignete Update-Prozesse, wie DevOps, existieren, um beim Bekanntwerden neuer Schwachstellen, wie sie zuletzt mit Meltdown und Spectre [2] auftauchten, zumindest auf der Softwareebene reagieren zu können. Insofern sollten betroffene Entwickler auch mit Blick auf zukünftige Gefahren schnellstens aktiv werden.

Für den Suchbegriff „IoT Security“ findet man über 10 Mio. Treffer. Das beginnt mit Unternehmen und ihrer bezahlten Werbung und Dienstleistungen. Dann finden sich Webseiten namhafter IT-Firmen, die eine kaum überschaubare Informationsvielfalt anbieten. Sie decken vom Consumer IoT-Gerät über Connected Car bis zur hochsensiblen Medizintechnik alle relevanten Themen ab. Fachbücher und Beiträge in Fachmagazinen sowie verschiedene Allianzen und Blogs finden sich ebenfalls. Außerdem gibt es spezialisierte Weiterbildungsangebote sowie Vortragsveranstaltungen. An Informationsmangel der jeweiligen Entwickler kann es nicht liegen, dass die verfügbaren Produkte und Lösungen so gravierende Sicherheitsmängel aufweisen und Cyber-Angreifer bei ihren Aktivitäten nahezu freie Bahn haben.

Sicherheit für IoT-Produkte

Eine besondere Qualität hat das Dokument „Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products“ der Cloud Security Alliance (CSA) und die daraus abgeleiteten Vorträge [3]. Es betrachtet IoT Security ganzheitlich. Das beginnt mit Überlegungen über sichere Entwicklungsmethoden mit Technologieüberprüfungen, permanenten Reviews der entwickelten Teilfunktionen im Kollegenkreis (Peer Reviews) sowie eine systematische bzw. methodische Gefahrenmodellierung über die gesamte Lebensdauer.

Ziel ist es, Schwachstellen zu finden und zu beheben, bevor Kunden zu Schaden kommen. Neben der Integration von Security-Prinzipien in den Entwicklungsprozess spielen auch die zum Einsatz kommenden Werkzeuge eine wichtige Rolle. Programmiersprachen, integrierte Entwicklungsumgebungen sowie die Integrations-, Test- und Qualitätssicherungswerkzeuge müssen ebenfalls entsprechend untersucht werden. Schwachstellen in den Werkzeugen führen zu weiteren Angriffsmöglichkeiten.

Lesen Sie außerdem

Referenzen

[1] https://t3n.de/news/telekom-router-angriff-urteil-842758/

[2] https://www.elektronikpraxis.vogel.de/meltdown-und-spectre-kernschmelze-der-cpu-sicherheit-a-675236/

[3] https://downloads.cloudsecurityalliance.org/assets/research/internet-of-things/future-proofing-the-connected-world.pdf

* Klaus-Dieter Walter ist CEO bei der SSV Software Systems in Hannover. Er hält Vorträge auf internationalen Veranstaltungen und ist zudem Fachautor.

Artikelfiles und Artikellinks

(ID:45087540)