Warum Security by Design im IoT noch nicht angekommen ist

03.02.2018 Klaus-Dieter Walter * |

Anbieter zum Thema

SSV Software Systems GmbH

MicroConsult Microelectronics Consulting & Training GmbH

Parasoft® Deutschland GmbH

RTI Real-Time Innovations

Schon vor Meltdown und Spectre wurde deutlich, dass Mikrorechner in industriellen Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht werden. Wie sieht ein vernünftiger Schutz aus?

Gefahr für die Industrie: Schon vor Meltdown und Spectre waren industrielle Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht.
(Bild: SSV Software)

Als im November vergangenen Jahres der geschäftsführende Bundesinnenminister Thomas de Maizière und der Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm in Berlin den BSI-Lagebericht zur IT-Sicherheit in Deutschland vorstellten, waren Meltdown und Spectre nur Insidern bekannt und Intel-Chef Krzanich noch im Besitz seines gesamten Aktienoptionspakets. Insofern konzentriert sich der BSI-Bericht nahezu vollständig auf die klassischen Themen aus den Vorjahren (Gefährdungslagen oder Maßnahmen des BSI).

Dabei kommen teilweise ältere und hinreichend bekannte Vorfälle zu Sprache. Aber es wird in dem Dokument auch explizit auf die Gefahren und Schwachstellen hingewiesen, die sich durch das Internet der Dinge, die fortschreitende Digitalisierung und durch Angriffe auf industrielle Steuerungsanlagen ergeben.

Bildergalerie

Bild 1: Die Integration eines Mikrorechnersystems in ein Botnet erfolgt in drei Schritten. 1. Einzelne eingebettete Systeme werden von den Angreifern mit einem Schadcode ausgestattet, um sie von einem zentralen Server aus fernzusteuern. 2. Aufsetzen eines Command-and-Control- (C&C-) Servers irgendwo im Internet. Von diesem Rechner aus werden die Bots als Orchester ferngesteuert. 3. Das eigentliche Angriffsziel: Ein beliebiger Server im Internet, der dann durch Überlastung für andere Benutzer nicht mehr erreichbar ist.

Bild 2: Besonders die Sensor-to-Cloud-Anwendungen dürften in Zukunft ein Ziel für Cyberangreifer sein. Die Systemarchitektur bietet vielfältige Möglichkeiten für Angriffsvektoren. Auch ein fest vereinbarter Schlüssel (Pre-Shared Keys), in die Firmware einprogrammierte Zugriffsberechtigungen zum Gateway bzw. zur Cloud und fehlende Update-Möglichkeiten bieten keinen Schutz.

Bild 3: Im industriellen Internet der Dinge einer Produktion haben die eingebetteten Systeme eine Verbindung zu einem zentralen Maintenance-Server, der in einer besonders gesicherten Umgebung betrieben wird. Dort schauen sie von Zeit zu Zeit nach, ob Updates vorliegen, die installiert werden müssen. Auch eine automatische Benachrichtigung über einen Subscriber-Kanal ist möglich. Jede Veränderung an der Software wird vom betroffenen Mikrorechnersystem darüber hinaus an den Maintenance-Server gemeldet.

Bild 4: Ein IoT-Security-Dokument der Cloud Security Alliance (CSA) beschreibt sehr ausführlich 13 Schritte, die jeder Entwickler und Produktmanager kennen sollte, bevor eine Neuentwicklung begonnen wird. Durch die Umsetzung dieser Empfehlungen lässt sich ein dem Stand der Technik entsprechendes „Security by Design“ realisieren. Aber auch bei bereits im Markt befindlichen Produkten kann man über selektive Maßnahmen die Security nachträglich optimieren.

Die Anzahl der Bot-Netze im IoT nimmt zu

Unzählige vernetzte Mikrorechnersysteme besitzen nach wie vor werksseitig eingestellte Standardpasswörter, die man teilweise sogar in den per Internet zugänglichen Bedienungsanleitungen findet. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn ein Smart-Home-Thermostat oder die Smartphone-App eines Wearables von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird.

In den letzten Monaten kam es zu keinen spektakulären Cyberangriffen auf IoT-Anwendungen. Und das, obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Anwendungen im Smart Home und Smart Factory zunehmen und neue IoT-Funkstandards zum Einsatz kommen. Bisher sind keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf Komponenten und Infrastrukturen identifizierbar. Anwendungen für das Smart Home oder IoT waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 [1] betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis staatliche Cyberkrieger oder Cyberkriminelle entsprechende „Geschäftsmodelle“ gefunden haben, um auch im IoT-Segment aktiv zu werden.

Fest kodierte Passwörter als Schwachstelle

Völlig anders sieht es mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme.

Im August 2016 war mit Mirai schon ein fast 700 Prozent größeres Botnet aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter (Hard-coded Passwords) als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden.

Bei einer für 2020 prognostizierten Anzahl von über 20 Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollten wir das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten der rund 20 Mrd. IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastrukturkomponenten oder Services zu missbrauchen.

Security by Design muss in das Lastenheft

Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps, wie Wearables, mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheits-Updates zur Verfügung stehen. Es ist davon auszugehen, dass wir bis 2020 nach den ersten Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit Millionen einzelnen eingebetteten Rechnersystemen und Smartphones erleben werden. Die Auswirkungen wären dramatisch.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Aus technischer Sicht unverständlich ist, warum beispielsweise die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Auch unzählige andere Systeme könnten nahezu identische Schwachstellen aufweisen, weil Security by Design noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte eine Software-Change-Meldung an einen Maintenance-Server oder ein Logging-Server-Eintrag im Internet gereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen.

Artikelfiles und Artikellinks

Link: Dieser Beitrag ist erschienen in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 4/2018 (Download PDF)

(ID:45087540)

Merkliste