:quality(80)/p7i.vogel.de/wcms/cc/63/cc633c6ae01e9a05c6ad9bae5b5e6342/0114957799.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/e3/51/e351df5354192adf7d956e215009d6b3/0114109618.jpeg "BigData-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/98/16988c30af3d0f906a248fb3d3b3a6f7/0114343120.jpeg "Der Autor: Julian Wingenfeld ist Solutions Architect bei MongoDB (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/96/e6/96e60b3e07811469fae0765f59d21ac8/0115431124.jpeg "Immer mehr Endgeräte enthalten Funktionen, die KI-Berechnungen erfordern – etwa smarte Thermostate mit Sprachsteuerung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/87/59873b6cd5bc2d145cc9cc4ca5b4bce2/0115409344.jpeg "Ab sofort steht das E-Book „Datenbank-Migration“ kostenlos zum Download bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6f/f2/6ff2c367392718cb04abc430a5f3164e/0115129475.jpeg "Der Autor: Fabian Czicholl ist Regional Vice President bei Appian Deutschland (Bild: Appian Deutschland)")
:quality(80)/p7i.vogel.de/wcms/35/73/3573691301b24cb1430f406d21795e8f/0115090776.jpeg "Snowflake hat seine Datenplattform mit neuen Funktionen für generative KI und Large Language Models (LLM) ausgestattet.
(Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/22/f4/22f4c64614992c01d14278c077071484/0115225608.jpeg "Databricks will mit seinen Produkten dazu beitragen, dass Daten von möglichst vielen im Unternehmen genutzt werden können. Wie, das präsentierte das Unternehmen auf der Data + AI World in München. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/d0/7f/d07f8778c18a6e32f893e46cbe14c183/0114431556.jpeg "Die Autorin: Dr. Nicole Wittenbrink ist seit 2020 Beraterin im Bereich Gesellschaft und Innovation der VDI/VDE Innovation + Technik GmbH und ist dort unter anderem im Rahmen der Begleitforschung zum Innovationswettbewerb „Künstliche Intelligenz als Treiber für volkswirtschaftlich relevante Ökosysteme“ in den Bereichen Projektbegleitung und Kurzstudien aktiv. (Bild: Annette Koroll FOTOS)")
:quality(80)/p7i.vogel.de/wcms/1f/b1/1fb168fc22575a6d4a7cda6a54dea82d/0115665996.jpeg "Lösungen für Business Intelligence vereinen alle nötigen Funktionen, um Daten zu aggregieren, zu analysieren, aufzubereiten und zu präsentieren. (Bild: © Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/30/87303c685f7c30621d1f78bdc94670ba/0115330721.jpeg "Anyline Insights fokussiert sich auf digital erfasste Fahrzeug- und Reifendaten. (Bild: Anyline)")
:quality(80)/p7i.vogel.de/wcms/e1/99/e19909094be7a47ceba5d91fdf49acc0/0115453757.jpeg "Rund 3.000 Kunden und Partner kamen zur Celosphere 2023 nach München. (Bild: Celonis)")
:quality(80)/p7i.vogel.de/wcms/16/08/1608bee91673491923b0efdabb759387/0115427536.jpeg "Rund 80 Anwender nahmen online am zehnten Pentaho User Meeting teil. Acht Erfahrungsberichte von Organisationen wie der Bundesdruckerei, dem Wahnbachtalsperrenverband und der Blechwarenfabrik Limburg sorgten für interessante Einblicke. (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/a8/a8/a8a83d37d618ead6775e9e8f695c2475/0114694022.jpeg "Das KI-Theme nach einer Reihe von Nachfragen: Es sieht OK aus, aber das Menü will GPT einfach nicht korrekt anordnen. (Bild: Rentrop / WordPress)")
:quality(80)/p7i.vogel.de/wcms/3b/95/3b958e74495c6e0a7cc630c22e720d81/0115526878.jpeg "Viele sind der Meinung, dass das autonome Fahren per Lkw kommen wird. Doch es stellen sich wichtige Fragen zur Sicherheit solcher Gefährte. Antworten darauf kann jetzt das Fraunhofer-LBF geben, das mit digitalen Zwillingen und KI an die Sache herangeht. (Bild: Fraunhofer-LBF)")
:quality(80)/p7i.vogel.de/wcms/22/2e/222e341f77ae51b93d0b6bbca9827b74/0115526151.jpeg "Predictive Maintenance ermöglicht eine Wartung, bevor der Herzschlag einer Anlage unvorhergesehen zum Erliegen kommt. Um die Chancen bestmöglich zu nutzen, ist das Management auch bei der Implementierung gefragt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/30/c8/30c8d75e49b3ef7b344d97b024ea4939/0115041243.jpeg "Die Küste der Isle of Wight. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b4/31/b4311c55605fa804d0d420edc5c2a8e7/0115040726.jpeg "Siemens und Microsoft intensivieren ihre Zusammenarbeit. Dabei geht es um die breitgefächerte Einführung von generativer KI, um etwa ein industrielles Metaversum zu schaffen. Damit sollen sich viele Workflows in unterschiedlichen Sektoren straffen lassen. Lesen Sie hier, was da kommt. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/61/6c/616c546266e3a4c49bc98b75290d96da/0114243058.jpeg "Der Autor: John Armstrong ist CTO von Worldly (Bild: Worldly)")
:quality(80)/p7i.vogel.de/wcms/00/d6/00d675c65ddde98e0412e533e01dd85e/0114239415.jpeg "Der Autor: Balakrishna DR ist Head of AI bei Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/c7/8b/c78bd9fc394a96cc05c43d0562298c3d/0115381887.jpeg "Im Dashboard von Watsonx.governance werden 60 Aufgaben angezeigt, wovon einige überfällig sind. Interessant ist auch die Risikobewertung ganz rechts. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/86/21/8621b6e57693364354a9dd97f19c724f/0115236824.jpeg "Generative KI-Tools wie ChatGPT, Bard und Copilot sollten mit Vorsicht am Arbeitsplatz verwendet werden. (Bild: Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/f6/29f622e1f6838750166d734cf8bfd48a/0115690206.jpeg "Chat GPT bekommt Konkurrenz: Google implementiert sein KI-Sprachmodell Gemini in den Chatbot Bard. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/31/263191fa1d52cc9faa699c29891f3276/0115294068.jpeg "Prof. Hussam Amrouch entwickelt leistungsstarke Chips für energieintensive Anwendungen. (Bild: Andreas Heddergott / TUM)")
:quality(80)/p7i.vogel.de/wcms/73/de/73deb19de1bf86f50c1ac94c0e8ed7ab/0115316886.jpeg "Grammarly ermöglicht nun auch individuelle Profile, die Texte weniger künstlich klingen lassen. (Bild: Grammarly)")
:quality(80)/p7i.vogel.de/wcms/fb/29/fb298666f5ce06dd9cb73a4a1db48752/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/1c/e61c7da074af7d49926788af57dbbbc5/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109ed1193c0e35f1bd97ad23be629111/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/64/8e64ad0202afa7fa962f9e833e50ee8a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
IoT-Security Angriff durchs Aquarium: Embedded Software sicher machen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/2c/602cdcaa1f5bc/fivetran-logo-blue.png "Fivetran_logo-blue.png (Fivetran)"){kind=logo}
Das Thema Cybersecurity dürfte inzwischen jedem ein Begriff sein, der mit einem Browser im Internet unterwegs ist. Ganz anders sieht das bei all den kleinen, smarten Geräten aus, die zusammen das Internet of Things bilden.
Es scheint fast so, als wäre das Internet of Things über Nacht entstanden. Plötzlich war jedes Gerät smart oder zumindest konnte man per Computer oder Smartphone darauf zugreifen – vom Fernseher über den Wasserkocher bis zum Bratenthermometer. Und damit das auch von unterwegs, und nicht nur im lokalen Heimnetzwerk funktioniert, bringen die Hersteller gleich noch ein Backend in der Cloud mit.
Ab diesem Zeitpunkt ist das Bratenthermometer aus IT-Sicht wie ein Laptop, oder ein beliebiges anderes Endgerät, zu betrachten: Es öffnet eine Verbindung vom heimischen Netzwerk zum Internet – und ermöglicht damit unter Umständen auch den – in der Regel unerwünschten – umgekehrten Zugriff. Man erinnere sich an den prominenten Fall von 2017, in dem sich Angreifer Zugriff auf das Netzwerk eines Casinos beschaffen und sensible Daten abziehen konnten. Der Einstieg erfolgte damals über das Thermometer eines Aquariums, das sich in der Lobby des Casinos befand.
Interessant ist, dass es heute so gut wie keine Maßgaben für die Sicherheit von IoT-Geräten gibt. Im Vergleich gibt es das CE-Siegel für die Gewährleistung von Sicherheit, Gesundheits- und Umweltschutz und Konformität mit Regelungen für elektromagnetische Verträglichkeit. Und es ist verpflichtend für sämtliche Produkte, die in der EU vermarktet werden. Cybersicherheit ist hingegen nicht abgedeckt.
Damit ist das IoT in Bezug auf Cybersicherheit in etwa da, wo Computer vor zehn Jahren oder mehr waren. Das lässt sich nicht zuletzt daran erkennen, dass wir ein Déjà-vu hinsichtlich längst vergessener Software-Schwachstellen erleben, wie zum Beispiel im Telnet-Protokoll oder HTTP-Servern.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/61/e9/61e97125f19e1/iot-compliance-ebook-cover.png "IoT Compliance eBook cover")
Gründe für die mangelnde Sicherheit
Aber warum verwenden IoT-Geräte unreife Software? Moderne HTTP-Server wie Apache oder Nginx haben inzwischen einen so hohen Grad an Robustheit erlangt, dass sie für Angreifer als Ziel kaum mehr interessant sind.
Das Problem ist, dass eingebettete Systeme oft starken Beschränkungen in Bezug auf Leistung, Speicherplatz und Energieverbrauch unterworfen sind. Für das Konfigurations-Webinterface eines batteriebetriebenen Rauchmelders braucht es sicherlich keinen Apache Tomcat Enterprise Webserver, der für Millionen von Anfragen pro Tag ausgelegt ist. Abgesehen vom unzureichenden Speicherplatz würde der die Batterie viel zu stark belasten. Daher greifen die Hersteller auf eher exotische Open Source Software zurück oder es wird ein einfacher HTTP-Server kurzerhand „mal eben selbst gecoded“.
Zwar sind sich die Entwicklerinnen und Entwickler vermutlich bewusst, dass man hier keine vergleichbare Qualität und Sicherheit erreichen kann. Aber das ist in der Regel auch gar nicht das Ziel, denn die Web-Schnittstelle oder sogar das ganze Gerät werden als nicht sicherheitsrelevant eingeordnet.
Dabei vergisst man nur allzu oft, dass fast alle Geräte zumindest das WiFi-Passwort zwischenspeichern und oft auch weitere sensible Daten – beispielsweise Passwörter von anderen Diensten wie Spotify oder Cloud Providern. Der Endanwender vertraut dem Gerät also sensible Daten an, in der Annahme, dass sie hinreichend geschützt sind.
Daran wird eine weitere Eigenschaft von IoT-Geräten deutlich: Die Geräte müssen ein hohes Niveau an Komfort und Benutzerfreundlichkeit mitbringen. Bekanntermaßen sind aber Benutzerfreundlichkeit und Sicherheit eher konkurrierende Anforderungen. Das kann jeder bestätigen, der sich schon einmal durch das Akzeptieren von Cookies auf Webseiten gekämpft hat oder 16-stellige Passwörter mit Zwei-Faktor-Authentisierung verwenden musste. Das wäre für Endbenutzer eines Bratenthermometers vermutlich nur schwer durchsetzbar.
Somit wird der Kompromiss häufig bei der Sicherheit gemacht. Eine simple Suche mit der IoT-Suchmaschine Shodan fördert schnell Hunderte von Geräten zutage, die unverschlüsselte HTTP-Verbindungen einsetzen, Default-Passwörter wie „admin“ verwenden oder FTP-Server aus den Gründerzeiten des Internet verbaut haben.
:quality(80):fill(efefef,0)/images.vogel.de/vogelonline/bdb/1613700/1613766/original.jpg "Whitepaper Cover: Krunja – stock.adobe.com")
Die Aussichten: weiterhin bewölkt, stellenweise sonnig
Also alles aussichtlos? Nein, so langsam tut sich etwas. Seit 2020 sind erste Regulierungen und Gesetze in Kraft getreten, wie die California Senate Bill 327 Anfang 2020 und etwas später im November 2020 der Internet of Things Cybersecurity Improvement Act, kurz IoT Act. Vergleichbare Gesetze folgten in Großbritannien und in der EU.
Während diese Gesetze weder besonders explizit noch weit reichend sind, bleibt doch die Hoffnung, dass sie zur Entwicklung von Industriestandards führen, wie vom US National Institute of Standards and Technology, kurz NIST, oder dem europäischen ETSI getrieben. Im November 2021 veröffentlichte das NIST die Special Publication 800-213. Zwar richtet sich diese vor allem an Benutzer und Benutzerinnen von IoT-Geräten und beschreibt Anforderungen für den sicheren Betrieb dieser. Darüber hinaus enthält sie aber auch Leitlinien und Hinweise zur Beurteilung der Hersteller, insbesondere in Bezug auf deren Praktiken „zur Absicherung der Entwicklung, der Lieferkette und Support (Schwachstellenmanagement und Patches)“.
Das soll mindestens mittelfristig dazu führen, dass die Hersteller von IoT-Geräten ein starkes kommerzielles Interesse daran haben, ihre Produkte entsprechend sicher zu machen, da sie diese im schlimmsten Fall nicht mehr vertreiben dürfen.
Maßnahmen für die Hersteller
Wie sollten Hersteller aber die Sicherheit der Software-Entwicklung und Lieferkette gewährleisten? Dank der zunehmenden Relevanz des Bereichs AppSec, also Anwendungs- oder Softwaresicherheit, in den letzten Jahren, gibt es zahlreiche Methoden und Werkzeuge, die oft automatisiert und bereits früh im Entwicklungsprozess eingesetzt werden können. Aber Vorsicht: nicht alle dieser sogenannten Lösungen für das Application Security Testing, kurz AST, eignen sich auch für Embedded Software. Tatsächlich sind die meisten Tools am Markt für Enterprise Software ausgelegt.
Die wichtigsten Werkzeuge für den Embedded Bereich sind die Statische Codeanalyse, im Security-Umfeld auch als SAST bekannt, Software Composition Analyse und Fuzz Testing.
Statische Codeanalyse hilft dabei, Schwachstellen im eigenen Code frühzeitig zu finden, bei C/C++ allen voran Buffer Overflows. Bei der Auswahl eines geeigneten Tools ist darauf zu achten, dass es nicht nur die eingesetzten Programmiersprachen und in der Regel C/C++ unterstützt, sondern auch die Toolketten für die jeweiligen Zielplattformen, also Prozessoren wie ARM, NXP, Renesas und weiteren.
Fuzz Testing ist insbesondere für die Absicherung der Kommunikationsschnittstellen beziehungsweise deren Protokoll-Stacks sinnvoll. Davon haben IoT-Geräte bekanntermaßen eine ganze Fülle zu bieten: WiFi, Bluetooth, Zigbee sowie die im ISO/OSI-Stack darüber liegenden wie MQTT, http und mehr.
Der Markt bietet hier sogenannte Protocol Fuzzer, mit denen sich alle Schnittstellen auf Herz und Nieren prüfen lassen. Die geschieht durch ein schlaues Ausprobieren von ungültigen Nachrichten – genau wie es potenzielle Angreifer tun, wenn sie neue Schwachstellen finden wollen. Hierbei sollte man auch auf Schnittstellen achten, die gar nicht verwendet werden, aber oft bei den eingesetzten Chips, sogenannten Systems-on-Chip, oder SoC, standardmäßig mit an Bord sind.
Die Software Composition Analysis, abgekürzt SCA, hilft dabei, die eingesetzte Open Source Software zu verwalten und gegebenenfalls enthaltene Sicherheitslücken zu bewerten. Das ist gleichermaßen wichtig für die Sicherheit von zugelieferter Software. Software, bei der man kaum eine vergleichbare Transparenz zur eigenen hat.
SCA-Werkzeuge können aber noch mehr, beispielsweise schon bei der Auswahl von Open-Source-Komponenten helfen. Einige SCA-Produkte bieten Risikobewertungen nicht nur auf Basis von Schwachstellen an, sondern berücksichtigen auch das operatives Risiko. Dazu zählt, wie gut ein Open-Source-Projekt gepflegt wird, wie aktiv es weiterentwickelt wird, ob es eine Sicherheitsrichtlinie veröffentlicht und vieles mehr.
IoT-Security rückt ins Rampenlicht
Der IoT-Bereich ist in punkto IT-Sicherheit bis dato erfolgreich unter dem Radar geflogen. Das ändert sich und IoT-Geräte werden mehr wie Computer, Tablets, Smartphones und Netzwerk-Equipment betrachtet. Es ist wichtig, dass die Hersteller entsprechende Maßnahmen bereits während der Entwicklung der eingebetteten Software treffen. Am populärsten sind Statische Codeanalyse, Fuzz Testing und Software Composition Analyse. Nur wenige Hersteller von AppSec-Tools bieten Werkzeuge, die auf den Embedded-Bereich spezialisiert sind.
Dieser Artikel stammt von unserem Partnerportal Industry of Things.
* Gunnar Braun arbeitet bei Synopsys.
(ID:48113656)
:quality(80)/p7i.vogel.de/wcms/2a/6a/2a6a520d890ab5af5349c6c9686f5118/0113038260.jpeg "Angreifer können Standard-Credentials nutzen, um auf Schwachstellen in der IoT-Systemsoftware und Firmware zuzugreifen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/46/55/4655eb41a2f86752d984d8d9d59faf22/0110780814.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")