"Und täglich grüßt das Murmeltier": Titel und Motto des zwei Jahrzehnte alten Filmklassikers finden sich auch in der Realität wieder. Wer sich mit IT und insbesondere der IT-Sicherheit beschäftigt, erlebt nahezu täglich ein Déjà-vu. Fachzeitschriften und Newsportale überschütten uns mit Meldungen über "völlig neue" Angriffe, noch neuere Schadsoftware und kontinuierlich neue Sicherheitslücken in Software, Firmware, Apps und IT-Systemen. Mit der stark steigenden Zahl von IoT-Geräten wird sich die Lage nicht verbessern. Ganz im Gegenteil: Das Sicherheitsniveau wird noch gesenkt, wenn Unternehmen IT-fremder Branchen "smarte" Produkte entwickeln wollen.
Foto: Mikko Lemola - shutterstock.com
Der WLAN-Hack mit der Kaffeemaschine
Heimnetzwerke werden kompromittiert, indem zum Beispiel Kaffeemaschinen mit WLAN auf Fake-Hotspots (Spoofing des WLAN) hereinfallen. So hatte eine Kaffeemaschine den Telnet-Dienst mit dem Kennwort "00000" aktiviert, wodurch ein Root-Zugriff möglich war. Wer jetzt glaubt, dass dies zwar schlimm ist, sich aber fragt, was denn der Angreifer mit der Kaffeemaschine anstellen solle, der muss sich eines Besseren belehren lassen: Das im Klartext gespeicherte WLAN-Passwort konnte ohne Mühe ausgelesen werden; somit hatte der Angreifer vollen Zugriff auf das vielleicht ansonsten sehr gut abgesicherte Netzwerk.
Die Angriffsfläche wird durch IoT-Geräte erweitert, so dass Schadsoftware - beispielsweise Trojaner und Würmer - verteilt werden kann. Im Mai warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Trojanern in E-Zigaretten. Nicht jeder Anwender von E-Zigaretten weiß, dass auf der zum Aufladen des Akkus enthaltenen USB-Schnittstelle tatsächlich auch Software in Form von Treibern, Firmware oder eben auch Trojanern enthalten sein kann.
- Schaltkreisdesign
Geht es um Connected Devices, müssen Unternehmen sicherstellen, dass Chip-Design und -Entwicklung sich an den neuen Systemanforderungen orientieren. Applikationen, die beispielsweise von Batterien abhängig sind, brauchen unter Umständen spezielle Schaltkreise um den Energieverbrauch zu minimieren oder gleich mehrere Chips und Sensoren auf einer Platine. - Mikrocontroller-Programmierung
Das IoT besteht aus Milliarden kleiner, miteinander vernetzter Devices. Die meisten dieser Devices brauchen zumindest einen Mikrocontroller, um Daten verarbeiten zu können. Mikrocontroller sind günstige, energiesparende Chips, deren Programm- und Datenspeicher Teil des Systems sind. - AutoCAD
AutoCAD ist die derzeit am meisten verbreitete Design Software für Applikationen und erfährt aufgrund der Komplexität von IoT-Devices einen enormen Boom. Das liegt daran, dass gerade diese vernetzten Geräte nach völlig neuen Design-Grundsätzen entwickelt werden müssen – zum Beispiel wenn es um Hardware-Standardisierung oder Personalisierung geht. - Machine Learning
Smarte Appliances und Applikationen entstehen durch Machine-Learning-Algorithmen, die Sensordaten verarbeiten. Diese Algorithmen können zu Zwecken der Predictive Data Analysis verwendet werden. Das erfordert allerdings Experten für Big Data Management und Machine Learning. - Security-Infrastruktur
Laut einer Studie von TEKsystems hindert die steigende Angst vor Datenlecks Unternehmen maßgeblich daran, im IoT durchzustarten. „Firmen die bereits Erfahrung in Sachen Cloud Security haben, verfügen bereits über eine gute Basis. Allerdings machen die weitergehende Skalierung und Komplexität des Internet of Things die Dinge kompliziert. - Big Data
Das Internet der Dinge hat die Menge der Daten, die Unternehmen sammeln und auswerten, vervielfacht. Die Kunst besteht nun darin, redundante Datensätze direkt bei der Erhebung auszusortieren und relevante Daten zu schützen. - Elektrotechnik
Die nächste Generation der Connected Devices braucht nicht nur Software, sondern auch technische Expertise. - Security Engineering
IT-Sicherheit gehört zu den größten Sorgenkindern für den IoT-Markt. Prominente Datenlecks und Hacks haben nicht nur bei Unternehmen, sondern auch bei den Konsumenten ein neues Bewusstsein für IT-Security geschaffen. - GPS-Entwicklung
Der GPS-Markt steht dank des Internet of Things vor einer Renaissance. Insbesondere bei Unternehmen, die im Bereich Wearables, Connected Cars oder Logistik tätig sind.
Industrie 4.0 - Security 0.1
Berichte, wie der über den gehackten Hochofen eines Stahlwerks vom Dezember 2014 sollten uns wachrütteln: Hacker übernahmen die vollständige Kontrolle und beschädigten die Anlage massiv. Die Industrialisierung des einundzwanzigsten Jahrhunderts erfordert eine smarte Industrie - und schon lange erste Opfer. Bei dieser bekannt rasanten Entwicklung ist die Frage nach IT-Sicherheit unausweichlich. Vielfach wird immer noch unter Sicherheit ausschließlich Safety verstanden – und es wird nicht gesehen, dass bei fehlender Security die Safety-Maßnahmen umgangen oder ganz abgeschaltet werden können. Daraus folgt: Safety nicht ohne Security!
Ursachen der Unsicherheit
Die häufigsten Ursachen der Unsicherheit sind neben der unvollständigen oder gar nicht vorhandenen (!) Dokumentation über Systeme und Netze (Server, Clients, Anlagen) die unveränderten Werkseinstellungen mit zum Beispiel Default Logins. Darüber hinaus sind es nicht nur die fehlenden sondern insbesondere die falsch umgesetzten oder falsch parametrisierten Sicherheitsmaßnahmen in Produktions-Prozessen und Software-Entwicklungsprozessen von Produkthersteller - wodurch Sicherheitslücken in den Endprodukten vorprogrammiert sind. Ziel muss sein: Sicherheitslücken, insbesondere nicht bekannte Sicherheitslücken (Zero-Day-Vulnerabilities) in Software zu identifizieren und zu beheben.
Härtung von Systemen
"Weniger ist mehr": Mit dieser knappen Aussage, wird der Begriff Härtung einfach und verständlich beschrieben. Dabei steht im Fokus, dass nur tatsächlich System-relevante Software und Dienste - also Funktionen, die zur Erfüllung der vorgesehen Aufgaben wirklich unabdingbar sind - aktiviert und installiert sind. Diese Härtung sollte dann auch mit Security Tests überprüft und nachgewiesen werden.
ISO 27000 und IT-Grundschutz
Neben der Härtung der Netze und Systeme zur Erreichung eines angemessenen Schutzniveaus bieten die ISO 27000-Familie und der IT-Grundschutz des BSI gute Empfehlungen für technische, strukturelle, organisatorische und personelle Sicherheitsmaßnahmen. Diese Regelungen betreffen allerdings den Betrieb unternehmenseigner Informationstechnik und nicht die Software-Entwicklung.
Application Security - Security Testing
Einen Schritt weiter geht die ISO 27034, die Hersteller- und Technologie-unabhängige Grundlagen mit definierten Konzepten, Frameworks und Prozessen zur Integration von Application Security in den Software-Entwicklungsprozess anbietet.
Produkthersteller müssen in Ihren Software-Entwicklungsprozess Methoden integrieren, mit denen die Softwarequalität im Hinblick auf Sicherheitslücken hin untersucht wird. Ein mögliches Vorgehensmodell ist dabei:
Foto: Copyright softScheck GmbH
Security Requirements-Analyse: Neben den funktionalen Anforderungen müssen auch nicht-funktionale Sicherheitsanforderungen so definiert werden, dass sie unmissverständlich und jederzeit überprüfbar sind.
Threat Modeling - Bedrohungsanalyse des Software Designs: Betrachtung der Architektur aus Angreifer-Sicht mit dem Ziel, Bedrohungen oder Sicherheitslücken in der Software-Architektur zu identifizieren.
Static Source Code Analysis: Untersuchung des Quellcodes auf Sicherheitslücken.
Dynamic Analysis - Fuzzing: Identifizierung von bislang nicht bekannten Sicherheitslücken (Zero-Day Vulnerabilities) im Maschinen-ausführbaren Code.
Penetration Testing: Identifizierung bereits veröffentlichter Sicherheitslücken und Angriffssimulationen.
Eine regelmäßig wiederholte (mindestens halbjährliche, in vielen Fällen auch monatliche) Überprüfung der umgesetzten Sicherheitsmaßnahmen durch Audits und Penetration Tests ist unerlässlicher Stand der Technik.
Werden diese Sicherheitsmaßnahmen korrekt umgesetzt und überprüft, kann ein durchaus angemessenes Sicherheitsniveau eines – auch vernetzten - IoT-Systems erreicht werden. (sh)