Warum Security by Design im IoT noch nicht angekommen ist

Anbieter zum Thema

Dafür muss die Firmware des Mikrorechners im Router oder ein zentraler Logging-Server lediglich automatisch erkennen, dass eine „unbekannte“ Software installiert oder gestartet wurde. Für ein Embedded-Linux wäre eine einfache Root-of-Trust-Erkennung mit wenig zusätzlichen Codezeilen umsetzbar. Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle besitzen, unbedingt auch eine zeitgemäße Vor-Ort-Software-Update-Möglichkeit aufweisen. Besonders einfach ist ein Update wenn – wie bei einem Router – eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen.

Wie IoT-Produkte künftig sicherer werden sollen

Grundsätzlich sollten alle IoT-Baugruppen und -Systeme sowie die dazugehörenden Apps mit Sicherheitserweiterungen ausgestattet sein, die dem jeweiligen Stand der Technik entsprechen. Dieser Zustand ändert sich laufend. Deshalb müssen unbedingt geeignete Update-Prozesse, wie DevOps, existieren, um beim Bekanntwerden neuer Schwachstellen, wie sie zuletzt mit Meltdown und Spectre [2] auftauchten, zumindest auf der Softwareebene reagieren zu können. Insofern sollten betroffene Entwickler auch mit Blick auf zukünftige Gefahren schnellstens aktiv werden.

Bildergalerie

Bild 1: Die Integration eines Mikrorechnersystems in ein Botnet erfolgt in drei Schritten. 1. Einzelne eingebettete Systeme werden von den Angreifern mit einem Schadcode ausgestattet, um sie von einem zentralen Server aus fernzusteuern. 2. Aufsetzen eines Command-and-Control- (C&C-) Servers irgendwo im Internet. Von diesem Rechner aus werden die Bots als Orchester ferngesteuert. 3. Das eigentliche Angriffsziel: Ein beliebiger Server im Internet, der dann durch Überlastung für andere Benutzer nicht mehr erreichbar ist.(Bild: SSV Software)

Bild 2: Besonders die Sensor-to-Cloud-Anwendungen dürften in Zukunft ein Ziel für Cyberangreifer sein. Die Systemarchitektur bietet vielfältige Möglichkeiten für Angriffsvektoren. Auch ein fest vereinbarter Schlüssel (Pre-Shared Keys), in die Firmware einprogrammierte Zugriffsberechtigungen zum Gateway bzw. zur Cloud und fehlende Update-Möglichkeiten bieten keinen Schutz.(Bild: SSV Software)

Bild 3: Im industriellen Internet der Dinge einer Produktion haben die eingebetteten Systeme eine Verbindung zu einem zentralen Maintenance-Server, der in einer besonders gesicherten Umgebung betrieben wird. Dort schauen sie von Zeit zu Zeit nach, ob Updates vorliegen, die installiert werden müssen. Auch eine automatische Benachrichtigung über einen Subscriber-Kanal ist möglich. Jede Veränderung an der Software wird vom betroffenen Mikrorechnersystem darüber hinaus an den Maintenance-Server gemeldet. (Bild: SSW Software)

Bild 4: Ein IoT-Security-Dokument der Cloud Security Alliance (CSA) beschreibt sehr ausführlich 13 Schritte, die jeder Entwickler und Produktmanager kennen sollte, bevor eine Neuentwicklung begonnen wird. Durch die Umsetzung dieser Empfehlungen lässt sich ein dem Stand der Technik entsprechendes „Security by Design“ realisieren. Aber auch bei bereits im Markt befindlichen Produkten kann man über selektive Maßnahmen die Security nachträglich optimieren. (Bild: SSV Software)

Für den Suchbegriff „IoT Security“ findet man über 10 Mio. Treffer. Das beginnt mit Unternehmen und ihrer bezahlten Werbung und Dienstleistungen. Dann finden sich Webseiten namhafter IT-Firmen, die eine kaum überschaubare Informationsvielfalt anbieten. Sie decken vom Consumer IoT-Gerät über Connected Car bis zur hochsensiblen Medizintechnik alle relevanten Themen ab. Fachbücher und Beiträge in Fachmagazinen sowie verschiedene Allianzen und Blogs finden sich ebenfalls. Außerdem gibt es spezialisierte Weiterbildungsangebote sowie Vortragsveranstaltungen. An Informationsmangel der jeweiligen Entwickler kann es nicht liegen, dass die verfügbaren Produkte und Lösungen so gravierende Sicherheitsmängel aufweisen und Cyber-Angreifer bei ihren Aktivitäten nahezu freie Bahn haben.

Sicherheit für IoT-Produkte

Eine besondere Qualität hat das Dokument „Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products“ der Cloud Security Alliance (CSA) und die daraus abgeleiteten Vorträge [3]. Es betrachtet IoT Security ganzheitlich. Das beginnt mit Überlegungen über sichere Entwicklungsmethoden mit Technologieüberprüfungen, permanenten Reviews der entwickelten Teilfunktionen im Kollegenkreis (Peer Reviews) sowie eine systematische bzw. methodische Gefahrenmodellierung über die gesamte Lebensdauer.

Ziel ist es, Schwachstellen zu finden und zu beheben, bevor Kunden zu Schaden kommen. Neben der Integration von Security-Prinzipien in den Entwicklungsprozess spielen auch die zum Einsatz kommenden Werkzeuge eine wichtige Rolle. Programmiersprachen, integrierte Entwicklungsumgebungen sowie die Integrations-, Test- und Qualitätssicherungswerkzeuge müssen ebenfalls entsprechend untersucht werden. Schwachstellen in den Werkzeugen führen zu weiteren Angriffsmöglichkeiten.

Lesen Sie außerdem

„Meltdown“ heißt auf deutsch „Kernschmelze“. (3dkombinat - stock.adobe.com)

Referenzen

[1] https://t3n.de/news/telekom-router-angriff-urteil-842758/

[2] https://www.elektronikpraxis.de/meltdown-und-spectre-kernschmelze-der-cpu-sicherheit-a-675236/

[3] https://downloads.cloudsecurityalliance.org/assets/research/internet-of-things/future-proofing-the-connected-world.pdf

* Klaus-Dieter Walter ist CEO bei der SSV Software Systems in Hannover. Er hält Vorträge auf internationalen Veranstaltungen und ist zudem Fachautor.

Artikelfiles und Artikellinks

Link: Dieser Beitrag ist erschienen in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 4/2018 (Download PDF)

(ID:45087540)

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.