:quality(80)/p7i.vogel.de/wcms/cc/63/cc633c6ae01e9a05c6ad9bae5b5e6342/0114957799.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/e3/51/e351df5354192adf7d956e215009d6b3/0114109618.jpeg "BigData-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/e6/96e60b3e07811469fae0765f59d21ac8/0115431124.jpeg "Immer mehr Endgeräte enthalten Funktionen, die KI-Berechnungen erfordern – etwa smarte Thermostate mit Sprachsteuerung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/87/59873b6cd5bc2d145cc9cc4ca5b4bce2/0115409344.jpeg "Ab sofort steht das E-Book „Datenbank-Migration“ kostenlos zum Download bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6f/f2/6ff2c367392718cb04abc430a5f3164e/0115129475.jpeg "Der Autor: Fabian Czicholl ist Regional Vice President bei Appian Deutschland (Bild: Appian Deutschland)")
:quality(80)/p7i.vogel.de/wcms/22/f4/22f4c64614992c01d14278c077071484/0115225608.jpeg "Databricks will mit seinen Produkten dazu beitragen, dass Daten von möglichst vielen im Unternehmen genutzt werden können. Wie, das präsentierte das Unternehmen auf der Data + AI World in München. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/35/73/3573691301b24cb1430f406d21795e8f/0115090776.jpeg "Snowflake hat seine Datenplattform mit neuen Funktionen für generative KI und Large Language Models (LLM) ausgestattet.
(Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/ab/ab/ababa8290b2f0ac5101dba1dafc34d21/0115041361.jpeg "Mit dem FinOps-Dashboard lassen sich u.a. die Kosten für Rechenleistung und Ingress-/Egress-Datenverkehr über verschiedene Datenbanken, Data Lakes und andere Datenplattformen kontrollieren. (Bild: Denodo)")
:quality(80)/p7i.vogel.de/wcms/e1/99/e19909094be7a47ceba5d91fdf49acc0/0115453757.jpeg "Rund 3.000 Kunden und Partner kamen zur Celosphere 2023 nach München. (Bild: Celonis)")
:quality(80)/p7i.vogel.de/wcms/81/12/81120e2916d42938419c153dc650f523/0115243180.jpeg "72 Prozent der Organisationen, die in den letzten zwei Jahren BI-Lösungen erworben haben, haben Microsoft Power BI evaluiert. (Bild: BARC)")
:quality(80)/p7i.vogel.de/wcms/16/08/1608bee91673491923b0efdabb759387/0115427536.jpeg "Rund 80 Anwender nahmen online am zehnten Pentaho User Meeting teil. Acht Erfahrungsberichte von Organisationen wie der Bundesdruckerei, dem Wahnbachtalsperrenverband und der Blechwarenfabrik Limburg sorgten für interessante Einblicke. (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/40/15/4015fd725ee29ee165bc0b46774ed190/0115060834.jpeg "Neo4j hat seiner gleichnamigen Graphdatenbank einige neue Funktionen spendiert. (Bild: Neo4j)")
:quality(80)/p7i.vogel.de/wcms/a8/a8/a8a83d37d618ead6775e9e8f695c2475/0114694022.jpeg "Das KI-Theme nach einer Reihe von Nachfragen: Es sieht OK aus, aber das Menü will GPT einfach nicht korrekt anordnen. (Bild: Rentrop / WordPress)")
:quality(80)/p7i.vogel.de/wcms/30/c8/30c8d75e49b3ef7b344d97b024ea4939/0115041243.jpeg "Die Küste der Isle of Wight. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b4/31/b4311c55605fa804d0d420edc5c2a8e7/0115040726.jpeg "Siemens und Microsoft intensivieren ihre Zusammenarbeit. Dabei geht es um die breitgefächerte Einführung von generativer KI, um etwa ein industrielles Metaversum zu schaffen. Damit sollen sich viele Workflows in unterschiedlichen Sektoren straffen lassen. Lesen Sie hier, was da kommt. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/5c/24/5c24f198724184d13f3c94cb0128f983/0115040401.jpeg "Akustische Sensoren haben das Potenzial, in vielen Anwendungsfällen einen Mehrwert zu bieten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ed/da/edda0b04adad8a59c3acaa03320b4268/0114820023.jpeg "Das IoT Cockpit ist in maximal drei Monaten mit bis zu 90 Prozent reduzierten Kosten startklar. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/6c/616c546266e3a4c49bc98b75290d96da/0114243058.jpeg "Der Autor: John Armstrong ist CTO von Worldly (Bild: Worldly)")
:quality(80)/p7i.vogel.de/wcms/00/d6/00d675c65ddde98e0412e533e01dd85e/0114239415.jpeg "Der Autor: Balakrishna DR ist Head of AI bei Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/c7/8b/c78bd9fc394a96cc05c43d0562298c3d/0115381887.jpeg "Im Dashboard von Watsonx.governance werden 60 Aufgaben angezeigt, wovon einige überfällig sind. Interessant ist auch die Risikobewertung ganz rechts. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/86/21/8621b6e57693364354a9dd97f19c724f/0115236824.jpeg "Generative KI-Tools wie ChatGPT, Bard und Copilot sollten mit Vorsicht am Arbeitsplatz verwendet werden. (Bild: Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/8b/f88b97f61f27b414d52d3686720f86c8/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/8f/c1/8fc10c838c2b269309a04a2d5aa683f5/0114338510.jpeg "Der autor: Ulf Zetterberg ist Co-CEO beim Enterprise-Search-Spezialisten Sinequa (Bild: Sinequa)")
:quality(80)/p7i.vogel.de/wcms/5d/7b/5d7b828ee1d11f189ee7e0bb62927f42/0115432936.jpeg "Mit Unterstützung von KI-Methoden wollen Forschende die Herstellungsprozesse für hocheffiziente Perowskit-Solarzellen verbessern. (Bild: Amadeus Bramsiepe, KIT)")
:quality(80)/p7i.vogel.de/wcms/81/20/8120258a96e7459bb24645e174014521/0115459104.jpeg "Eine Studie von Dell Technologies untersucht die Bereitschaft zur Nutzung generativer KI (GenAI) in Deutschland, Frankreich, Großbritannien und den USA. Dabei liegt Deutschland bei den meisten Kriterien gleichauf mit den anderen Staaten, wobei On-Premises- oder hybride IT-Architekturen hierzulande für KI-Projekte besonders beliebt sind. (Bild: fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/1c/e61c7da074af7d49926788af57dbbbc5/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109ed1193c0e35f1bd97ad23be629111/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/64/8e64ad0202afa7fa962f9e833e50ee8a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/ac/49ac99249bcb88bc4d44968f96f6459c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
IoT-Security Angriff durchs Aquarium: Embedded Software sicher machen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/2c/602cdcaa1f5bc/fivetran-logo-blue.png "Fivetran_logo-blue.png (Fivetran)"){kind=logo}
Das Thema Cybersecurity dürfte inzwischen jedem ein Begriff sein, der mit einem Browser im Internet unterwegs ist. Ganz anders sieht das bei all den kleinen, smarten Geräten aus, die zusammen das Internet of Things bilden.
Es scheint fast so, als wäre das Internet of Things über Nacht entstanden. Plötzlich war jedes Gerät smart oder zumindest konnte man per Computer oder Smartphone darauf zugreifen – vom Fernseher über den Wasserkocher bis zum Bratenthermometer. Und damit das auch von unterwegs, und nicht nur im lokalen Heimnetzwerk funktioniert, bringen die Hersteller gleich noch ein Backend in der Cloud mit.
Ab diesem Zeitpunkt ist das Bratenthermometer aus IT-Sicht wie ein Laptop, oder ein beliebiges anderes Endgerät, zu betrachten: Es öffnet eine Verbindung vom heimischen Netzwerk zum Internet – und ermöglicht damit unter Umständen auch den – in der Regel unerwünschten – umgekehrten Zugriff. Man erinnere sich an den prominenten Fall von 2017, in dem sich Angreifer Zugriff auf das Netzwerk eines Casinos beschaffen und sensible Daten abziehen konnten. Der Einstieg erfolgte damals über das Thermometer eines Aquariums, das sich in der Lobby des Casinos befand.
Interessant ist, dass es heute so gut wie keine Maßgaben für die Sicherheit von IoT-Geräten gibt. Im Vergleich gibt es das CE-Siegel für die Gewährleistung von Sicherheit, Gesundheits- und Umweltschutz und Konformität mit Regelungen für elektromagnetische Verträglichkeit. Und es ist verpflichtend für sämtliche Produkte, die in der EU vermarktet werden. Cybersicherheit ist hingegen nicht abgedeckt.
Damit ist das IoT in Bezug auf Cybersicherheit in etwa da, wo Computer vor zehn Jahren oder mehr waren. Das lässt sich nicht zuletzt daran erkennen, dass wir ein Déjà-vu hinsichtlich längst vergessener Software-Schwachstellen erleben, wie zum Beispiel im Telnet-Protokoll oder HTTP-Servern.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/61/e9/61e97125f19e1/iot-compliance-ebook-cover.png "IoT Compliance eBook cover")
Gründe für die mangelnde Sicherheit
Aber warum verwenden IoT-Geräte unreife Software? Moderne HTTP-Server wie Apache oder Nginx haben inzwischen einen so hohen Grad an Robustheit erlangt, dass sie für Angreifer als Ziel kaum mehr interessant sind.
Das Problem ist, dass eingebettete Systeme oft starken Beschränkungen in Bezug auf Leistung, Speicherplatz und Energieverbrauch unterworfen sind. Für das Konfigurations-Webinterface eines batteriebetriebenen Rauchmelders braucht es sicherlich keinen Apache Tomcat Enterprise Webserver, der für Millionen von Anfragen pro Tag ausgelegt ist. Abgesehen vom unzureichenden Speicherplatz würde der die Batterie viel zu stark belasten. Daher greifen die Hersteller auf eher exotische Open Source Software zurück oder es wird ein einfacher HTTP-Server kurzerhand „mal eben selbst gecoded“.
Zwar sind sich die Entwicklerinnen und Entwickler vermutlich bewusst, dass man hier keine vergleichbare Qualität und Sicherheit erreichen kann. Aber das ist in der Regel auch gar nicht das Ziel, denn die Web-Schnittstelle oder sogar das ganze Gerät werden als nicht sicherheitsrelevant eingeordnet.
Dabei vergisst man nur allzu oft, dass fast alle Geräte zumindest das WiFi-Passwort zwischenspeichern und oft auch weitere sensible Daten – beispielsweise Passwörter von anderen Diensten wie Spotify oder Cloud Providern. Der Endanwender vertraut dem Gerät also sensible Daten an, in der Annahme, dass sie hinreichend geschützt sind.
Daran wird eine weitere Eigenschaft von IoT-Geräten deutlich: Die Geräte müssen ein hohes Niveau an Komfort und Benutzerfreundlichkeit mitbringen. Bekanntermaßen sind aber Benutzerfreundlichkeit und Sicherheit eher konkurrierende Anforderungen. Das kann jeder bestätigen, der sich schon einmal durch das Akzeptieren von Cookies auf Webseiten gekämpft hat oder 16-stellige Passwörter mit Zwei-Faktor-Authentisierung verwenden musste. Das wäre für Endbenutzer eines Bratenthermometers vermutlich nur schwer durchsetzbar.
Somit wird der Kompromiss häufig bei der Sicherheit gemacht. Eine simple Suche mit der IoT-Suchmaschine Shodan fördert schnell Hunderte von Geräten zutage, die unverschlüsselte HTTP-Verbindungen einsetzen, Default-Passwörter wie „admin“ verwenden oder FTP-Server aus den Gründerzeiten des Internet verbaut haben.
:quality(80):fill(efefef,0)/images.vogel.de/vogelonline/bdb/1613700/1613766/original.jpg "Whitepaper Cover: Krunja – stock.adobe.com")
Die Aussichten: weiterhin bewölkt, stellenweise sonnig
Also alles aussichtlos? Nein, so langsam tut sich etwas. Seit 2020 sind erste Regulierungen und Gesetze in Kraft getreten, wie die California Senate Bill 327 Anfang 2020 und etwas später im November 2020 der Internet of Things Cybersecurity Improvement Act, kurz IoT Act. Vergleichbare Gesetze folgten in Großbritannien und in der EU.
Während diese Gesetze weder besonders explizit noch weit reichend sind, bleibt doch die Hoffnung, dass sie zur Entwicklung von Industriestandards führen, wie vom US National Institute of Standards and Technology, kurz NIST, oder dem europäischen ETSI getrieben. Im November 2021 veröffentlichte das NIST die Special Publication 800-213. Zwar richtet sich diese vor allem an Benutzer und Benutzerinnen von IoT-Geräten und beschreibt Anforderungen für den sicheren Betrieb dieser. Darüber hinaus enthält sie aber auch Leitlinien und Hinweise zur Beurteilung der Hersteller, insbesondere in Bezug auf deren Praktiken „zur Absicherung der Entwicklung, der Lieferkette und Support (Schwachstellenmanagement und Patches)“.
Das soll mindestens mittelfristig dazu führen, dass die Hersteller von IoT-Geräten ein starkes kommerzielles Interesse daran haben, ihre Produkte entsprechend sicher zu machen, da sie diese im schlimmsten Fall nicht mehr vertreiben dürfen.
Maßnahmen für die Hersteller
Wie sollten Hersteller aber die Sicherheit der Software-Entwicklung und Lieferkette gewährleisten? Dank der zunehmenden Relevanz des Bereichs AppSec, also Anwendungs- oder Softwaresicherheit, in den letzten Jahren, gibt es zahlreiche Methoden und Werkzeuge, die oft automatisiert und bereits früh im Entwicklungsprozess eingesetzt werden können. Aber Vorsicht: nicht alle dieser sogenannten Lösungen für das Application Security Testing, kurz AST, eignen sich auch für Embedded Software. Tatsächlich sind die meisten Tools am Markt für Enterprise Software ausgelegt.
Die wichtigsten Werkzeuge für den Embedded Bereich sind die Statische Codeanalyse, im Security-Umfeld auch als SAST bekannt, Software Composition Analyse und Fuzz Testing.
Statische Codeanalyse hilft dabei, Schwachstellen im eigenen Code frühzeitig zu finden, bei C/C++ allen voran Buffer Overflows. Bei der Auswahl eines geeigneten Tools ist darauf zu achten, dass es nicht nur die eingesetzten Programmiersprachen und in der Regel C/C++ unterstützt, sondern auch die Toolketten für die jeweiligen Zielplattformen, also Prozessoren wie ARM, NXP, Renesas und weiteren.
Fuzz Testing ist insbesondere für die Absicherung der Kommunikationsschnittstellen beziehungsweise deren Protokoll-Stacks sinnvoll. Davon haben IoT-Geräte bekanntermaßen eine ganze Fülle zu bieten: WiFi, Bluetooth, Zigbee sowie die im ISO/OSI-Stack darüber liegenden wie MQTT, http und mehr.
Der Markt bietet hier sogenannte Protocol Fuzzer, mit denen sich alle Schnittstellen auf Herz und Nieren prüfen lassen. Die geschieht durch ein schlaues Ausprobieren von ungültigen Nachrichten – genau wie es potenzielle Angreifer tun, wenn sie neue Schwachstellen finden wollen. Hierbei sollte man auch auf Schnittstellen achten, die gar nicht verwendet werden, aber oft bei den eingesetzten Chips, sogenannten Systems-on-Chip, oder SoC, standardmäßig mit an Bord sind.
Die Software Composition Analysis, abgekürzt SCA, hilft dabei, die eingesetzte Open Source Software zu verwalten und gegebenenfalls enthaltene Sicherheitslücken zu bewerten. Das ist gleichermaßen wichtig für die Sicherheit von zugelieferter Software. Software, bei der man kaum eine vergleichbare Transparenz zur eigenen hat.
SCA-Werkzeuge können aber noch mehr, beispielsweise schon bei der Auswahl von Open-Source-Komponenten helfen. Einige SCA-Produkte bieten Risikobewertungen nicht nur auf Basis von Schwachstellen an, sondern berücksichtigen auch das operatives Risiko. Dazu zählt, wie gut ein Open-Source-Projekt gepflegt wird, wie aktiv es weiterentwickelt wird, ob es eine Sicherheitsrichtlinie veröffentlicht und vieles mehr.
IoT-Security rückt ins Rampenlicht
Der IoT-Bereich ist in punkto IT-Sicherheit bis dato erfolgreich unter dem Radar geflogen. Das ändert sich und IoT-Geräte werden mehr wie Computer, Tablets, Smartphones und Netzwerk-Equipment betrachtet. Es ist wichtig, dass die Hersteller entsprechende Maßnahmen bereits während der Entwicklung der eingebetteten Software treffen. Am populärsten sind Statische Codeanalyse, Fuzz Testing und Software Composition Analyse. Nur wenige Hersteller von AppSec-Tools bieten Werkzeuge, die auf den Embedded-Bereich spezialisiert sind.
Dieser Artikel stammt von unserem Partnerportal Industry of Things.
* Gunnar Braun arbeitet bei Synopsys.
(ID:48113656)
:quality(80)/p7i.vogel.de/wcms/2a/6a/2a6a520d890ab5af5349c6c9686f5118/0113038260.jpeg "Angreifer können Standard-Credentials nutzen, um auf Schwachstellen in der IoT-Systemsoftware und Firmware zuzugreifen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/46/55/4655eb41a2f86752d984d8d9d59faf22/0110780814.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")