Startseite » Security »

SSV Software Systems empfiehlt System-Security-Assessment

„Security by Design“ ist noch nicht Stand der Technik
SSV Software Systems empfiehlt System-Security-Assessment

Die potenziellen Gefahren für außerhalb der IT genutzte Rechnerbaugruppen nehmen im Moment rasant zu. Aber auch schon vor dem offiziellen Bekanntwerden von Meltdown & Spectre wurde durch den aktuellen BSI-Lagebericht deutlich, dass inzwischen auch Mikrorechner in industriellen Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht werden. Immer mehr eingebettete Systeme sind bereits ohne Wissen der Nutzer in Bot-Netzwerke eingebunden und für größere Cyberattacken auf Internetserver benutzt worden.

Klaus-Dieter Walter ist Geschäftsführer der SSV Software Systems GmbH in Hannover

Als im November vergangenen Jahres der geschäftsführende Bundesinnenminister Thomas de Maizière und der Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, in Berlin den BSI-Lagebericht zur IT-Sicherheit in Deutschland vorstellten, waren Meltdown und Spectre nur Insidern bekannt und Intel-Chef Krzanich noch im Besitz seines gesamten Aktienoptionspakets. Insofern konzentriert sich der BSI-Bericht nahezu vollständig auf die klassischen Themen aus den Vorjahren (Gefährdungslagen, Maßnahmen des BSI usw.). Dabei kommen teilweise ältere und hinreichend bekannte Vorfälle zu Sprache. Aber es wird in dem Dokument auch explizit auf die Gefahren und Schwachstellen hingewiesen, die sich durch das Internet der Dinge, die fortschreitende Digitalisierung und durch Angriffe auf industrielle Steuerungsanlagen ergeben.

Unzählige vernetzte Mikrorechnersysteme haben nach wie vor werksseitig eingestellte Standardpasswörter, die man teilweise sogar in den per Internet zugänglichen Bedienungsanleitungen findet. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn z. B. ein Smart-Home-Thermostat oder die Smartphone-App eines Wearables von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird.

Immer mehr IoT-Bot-Netze

Spektakuläre Cyberangriffe auf einzelne IoT-Lösungen wurden in den vergangenen Monaten nicht beobachtet. Obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Smart-Home- und Smart-Factory-Lösungen mit bemerkenswertem Tempo zunimmt und sogar neue IoT-Funkstandards zum Einsatz kommen, sind bis zum gegenwärtigen Zeitpunkt keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf die Komponenten und Infrastrukturen identifizierbar. Smart-Home-IoT-Lösungen waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis staatliche Cyberkrieger oder Cyberkriminelle entsprechende „Geschäftsmodelle“ gefunden haben, um auch im IoT-Segment aktiv zu werden.

Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein fast 700 % größeres Botnet aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter (hard-coded Passwords) als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden.

Bei einer für 2020 prognostizierten Anzahl von über 20 Milliarden direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollten wir das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten dieser ca. 20 Milliarden IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten haben, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastrukturkomponenten oder Services zu missbrauchen. Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps – zum Beispiel für Wearables – mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheits-Updates zur Verfügung stehen. Es ist daher davon auszugehen, dass wir bis 2020 noch den ersten Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit zig-Millionen einzelnen eingebetteten Rechnersystemen und Smartphones erleben werden. Die Auswirkungen einer solchen Attacke könnten durch die fortschreitende Digitalisierung sehr dramatisch ausfallen und Folgeschäden verursachen, die sich im Moment noch nicht einmal ansatzweise abschätzen lassen.

Veränderungen erkennen, Updates ermöglichen

Es ist aus technischer Sicht eigentlich unverständlich, warum beispielsweise die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass über den Internetzugang eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Es ist sogar sehr wahrscheinlich, dass auch unzählige andere Systeme nahezu identische Schwachstellen aufweisen, weil Security by Design noch kein Bestandteil der Entwickler-Lastenhefte war.

Im Telekom-Angriffsszenario hätte bereits eine simple Software-Change-Meldung an einen zentralen Maintenance-Server im Internet ausgereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen. Dafür muss die Firmware des Mikrorechners im Router lediglich erkennen, dass eine unbekannte Software installiert oder gestartet wurde. Für ein Embedded-Linux wäre eine solch einfache Root-of-Trust-Erkennung mit relativ wenig zusätzlichen Codezeilen realisierbar.

Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle haben, unbedingt auch eine zeitgemäße Vor-Ort-Software-Update-Möglichkeit aufweisen. Besonders einfach ist ein Update wenn – wie bei einem Router – eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen.

Systematisches Vorgehen in der Entwicklung

Grundsätzlich sollten alle IoT-Baugruppen und Systeme mit einem Embedded-Betriebssystem sowie die dazugehörenden Apps mit Sicherheitserweiterungen ausgestattet sein, die dem jeweiligen Stand der Technik entsprechen. Da sich dieser Zustand laufend verändert, müssen unbedingt geeignete Update-Prozesse (zum Beispiel DevOps) existieren, um beim Bekanntwerden neuer Schwachstellen – wie Meltdown und Spectre – zumindest auf der Softwareebene reagieren zu können.

Für Mikrorechner ohne Betriebssystem muss eine statische Codeanalyse in der Entwicklung erfolgen, um die Anwendungssicherheit zu gewährleisten. Darüber hinaus ist für alle IoT-Produkt- und Systementwicklungen ein professionelles System-Security-Assessment empfehlenswert. Was nutzt ansonsten die beste Verschlüsselung für die Übertragungswege, wenn z. B. der Diebstahl einer digitalen Identität noch nicht einmal bemerkt wird oder ein „geheimer“ Hersteller-Servicezugang mit werksseitig eingestelltem Standardpasswort existiert. ge

www.ssv-embedded.de

Weitere Informationen

Download-Möglichkeit für den BSI-Lagebericht

http://hier.pro/N2knR

Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de