Hacker, Sicherheitslücken & Skynet

Roboter bauen - eine gute Idee?

Maria Korolov berichtet seit mehr als zwanzig Jahren über aufstrebende Märkte und Technologien. Sie schreibt für die US-amerikanische IDG-Publikation CSO.
Florian beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig.
Ob in der Industrie oder im Smart Home: Roboter sind im Kommen. Doch ein Blick durch die IT-Sicherheitsbrille zeichnet ein düsteres Bild.

Man sollte meinen, dass nach fünf Terminator-Filmen und einer TV-Serie klar ist: Wer Roboter baut, sollte einige grundlegende Sicherheitssysteme einplanen. Doch weit gefehlt.

"Es ist nur eine Frage der Zeit, bis es soweit kommt"

Die aktuelle Studie "Hacking Robots Before Skynet", die Sicherheitsanbieter IOActive in Kooperation mit einigen Robotik-Unternehmen durchgeführt hat, legt nahe, dass ein Großteil der im Einsatz befindlichen Roboter mit Sicherheitslücken "übersäht" sind. Hacker könnten die Kontrolle übernehmen und die Roboter umprogrammieren, um so ihre Besitzer auszuspionieren, Sachschäden zu verursachen oder gar Menschen zu attackieren.

Nichts gelernt von "Terminator"? Eine Studie will belegen, dass zahlreiche Roboter in Sachen IT-Sicherheit ziemlich dürftig bestückt sind.
Nichts gelernt von "Terminator"? Eine Studie will belegen, dass zahlreiche Roboter in Sachen IT-Sicherheit ziemlich dürftig bestückt sind.
Foto: Anna Vaczi - shutterstock.com

"Wir haben bereits einige Unfälle in der Industrie miterlebt", reüssiert Lucas Apa, Security-Berater bei IOActive. "Bisher gibt es keine Anzeichen dafür, dass diese Unfälle von Hackern verursacht wurden. Aber es ist nur eine Frage der Zeit, bis es soweit kommt."

Denn die kriminellen Hacker würden Technologien immer dann ins Visier nehmen, wenn eine massive User-Basis vorhanden ist. Smarte, vernetzte Roboter seien noch eine relativ neue Sache und die geringe Anzahl die momentan im Einsatz ist, rechtfertige Zeit und Aufwand für die Cyberkriminellen nicht, so Apa.

Unsichere Frameworks, keine Authentifizierung

"Aber wenn die das wollten, gibt es in den meisten Robotern eine Vielzahl von Schwachstellen - genauso wie in den populären Frameworks, wenn es um die Programmierung geht", so der Sicherheits-Experte.

Das derzeit meistverbreitete Framework - ROS - wurde laut Apa ursprünglich zu Forschungszwecken entwickelt und sei extrem unsicher. "Es ist allgemein bekannt, dass diese Sicherheitslücken bestehen und dennoch gibt es Unternehmen, die das Framework weiterhin nutzen."

Folgende Roboter-Modelle hat man bei IOActive im Rahmen der Studie unter die Lupe genommen:

  • NAO- und Pepper-Roboter von SoftBank Robotics,

  • die Modelle Alpha 1S und 2 von Ubtech Robotics,

  • Robotis OP2 und Thormang 3,

  • Universal Robots UR3, UR5, UR10,

  • Rethink Robotics Baxter und Sawyer,

  • Sowie diverse Modelle von Asratec.

Die gefährlichste Schwachstelle ist dabei in der Regel der Mangel an Authentifizierung, wie Cesar Cerrudo, CTO von IOActive erklärt: "Wenn sich ein Angreifer im selben Netzwerk befindet, kann er sich mit einem Klick mit dem Roboter verbinden und die Software modifizieren".

Die meisten der getesteten Robotik-Modelle wiesen genau diese Sicherheitslücke auf. Dennoch war IOActive nicht zu entlocken, welche Hersteller im Einzelnen betroffen waren. Nur so viel: Die Security-Spezialisten haben die entsprechenden Unternehmen vor mehr als einem Monat informiert und bislang in zwei Fällen eine Antwort erhalten. Davon enthielt eine das Versprechen, die Probleme demnächst per Update zu beheben. Den Inhalt der anderen Antwort bringt Lucas Apa auf den Punkt: "‘Das ist sehr interessant. Wir müssen etwas dagegen unternehmen.‘ Und das war’s dann".

Hackern vorbeugen!

Ein weiteres Problem an den getesteten Robotern: Lediglich zwei von sechs Herstellern bieten die Möglichkeit, die Werkseinstellung an ihren Maschinen wiederherzustellen.

"Wenn der Roboter also bereits gehackt wurde und das Betriebssystem kompromittiert ist, ist es so gut wie unmöglich, den Urzustand wiederherzustellen", so Apa. "Man muss den Roboter also zum Hersteller zurückschicken, damit er dort repariert wird. Und das kann eine Stange Geld kosten".

Die Studie, so Apa, rücke die massiven Sicherheitsprobleme bei solchen Maschinen hoffentlich etwas mehr in den Mittelpunkt, damit diese so früh wie möglich angegangen werden könnten.

"Bald wird es überall vor Robotern wimmeln", prophezeit Cerrudo. "Sie werden an Flughäfen und im Einzelhandel eingesetzt. Der Markt für Robotik-Technologien wird weiter wachsen und wir müssen uns der Probleme annehmen. Wenn wir damit warten, bis es überall Roboter gibt, stehen Menschen und Unternehmen schlechte Zeiten bevor".

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.

»

IDG Executive Education - Cybersecurity

IDG Executive Education

Exklusiv-Seminar "Cybersecurity"

COMPUTERWOCHE/CIO und das Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit laden Manager am 26. und 27. September 2017 zu einer Fortbildung in Cybersecurity ein. Lernen Sie aktuelle Risiken kennen und einzuschätzen, stellen Sie den Kontext für Ihr eigenes Business her und entwickeln Sie die passenden Abwehrstrategien.

Mehr Infos unter:

www.idg-executive-education.de