All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Security-Management, Fachartikel

Gefährliche Dinge(r) im Internet-of-Things?

Gefährliche Dinge(r) im Internet-of-Things?

Nachdem Unternehmen immer noch damit beschäftigt sind, die viel zu lange unterschätzten Probleme des Wildwuchses bei mobilen Geräten wie Notebooks und Smartphones in den Griff zu bekommen, droht bereits die nächste Technologiewelle über sie hinweg zu gehen. Intelligente „Dinge(r)“, die untereinander oder auch mit Anderen kommunizieren können, schicken sich an, das „Internet-of-Things“ zu bilden. Sind wir wirklich schon so weit, dass z.B. Sensoren oder Steuergeräten für kritische Prozesse rückhaltlos vertraut werden kann? Wie sicher werden solche Komponenten konzipiert, entwickelt und betrieben? Können sie externen Angriffen standhalten? Der nachfolgende Beitrag versucht Antworten hierauf zu geben.

Viele sprechen heute schon von der vierten industriellen Revolution (nach Erfindung der Dampfmaschine, der Einführung der Elektrizität und dem Beginn des Computerzeitalters) und meinen damit die bereits angelaufene Vernetzung im Internet-of-Things (IoT). Gartner geht in der Studie „Forecast: The Internet of Things, Worldwide“ von einem Anwachsen auf bis zu 26 Milliarden IP-fähiger  Geräte aus, andere Einschätzungen liegen noch weitaus höher.

               

Abbildung-1: Entwicklung zum Internet-of-Things. Quelle: [1]


Worum handelt es sich nun bei diesen ominösen „Dinge(r)n“ eigentlich?
Wenn man bisher von Internet-fähigen Systemen sprach, dann dachte man zumeist an PCs, Notebooks und zuletzt auch noch an Smartphones oder Tablets. Mit IoT hingegen bezeichnet man ein IP-fähiges Netzwerk von Computersystemen, die in Geräten, Anlagen und Maschinen eingebettet sind und spezielle Anwendungen ermöglichen. Solche eingebetteten Geräte („embedded devices“) sind heute bereits alltäglich, so finden sich mikro- und nanoelektronische Komponenten in Handys, Autos, Waschmaschinen, medizinischen Geräten, sind aber auch in elektronischen Pässen oder in Krankenkassenkarten unverzichtbar. In der Öffentlichkeit finden intelligente „Dinge“ wie Wearables (Computersysteme, die während der Anwendung am Körper des Benutzers befestigt sind) immer größere Beachtung. Damit können schlaue Brillen gemeint sein, die über ein integriertes Display Informationen einspiegeln, wie Googles Glasses zum Beispiel. Oder computerisierte Trainingsschuhe, die Schrittweite und Laufstrecke ermitteln. Die in diesem privaten Bereich zu erwartenden Probleme mit Datenschutz und -sicherheit sollen aber hier nicht betrachtet werden.


Der Einsatz von Embedded Devices schreitet aber auch im industriellen Bereich stark voran, dann spricht man zumeist von Internet 4.0 oder vom Industrial-Internet-of-Things (IIoT). Hier verspricht man sich von der Einführung des IoT eine flexiblere Fertigung, schnellere Prozesse und höhere Effizienz. Dies betrifft heute vorrangig die Bereiche Steuerung und Regelung von Produktionsprozessen, Energietransport, Medizintechnik, Automobilbau, Bahnwesen, Luft- und Raumfahrt. Geräte die dabei zum Einsatz kommen sind z.B. Sensoren in der automatischen Fertigung, Industrieroboter, Medizinische Geräte wie Operationswerkzeuge oder tragbare Sensoren, Point-of-Sales Kassen, Systeme zur Verkehrssteuerung und Sensoren in Automobilen.

Wesentliche Merkmale des Internet-of-Things

  • Eingebettete Software zur Kommunikation und Sensorik
  • Direkte oder indirekte Kommunikation mit dem Internet
  • Fähigkeit zur Maschine-Maschine-Kommunikation
  • Fähigkeit zur Sammlung und Weiterleitung von Daten
  • Kein direktes Nutzer-Interface
  • Verbindung (many-to-one) zu Master-Systemen

 

Durch den Einsatz von solchen IoT-Geräten sind aber Industrieanlagen und komplette Fertigungsstrecken denselben Risiken ausgesetzt, wie wir sie seit langem aus der Büro-IT kennen. Bislang blieben die Angriffe und ihre Folgen der Öffentlichkeit meist verborgen. Die Betroffenen reden nicht gerne über die erlittenen Schäden, dabei sollten sie sich besser intensiv um notwendige Sicherheitsvorkehrungen kümmern.

Sicherheitsprobleme im IoT

Embedded Devices, bei denen Hard- und Software aufs Engste miteinander verbunden sind und die gerade im industriellen Bereich oft an sensiblen Stellen eingesetzt werden, sollten eigentlich besondere Sicherheitsanforderungen erfüllen, wie sieht es aber in der Wirklichkeit aus? 

Eine durchaus vergleichbare Situation gab es bereits in den 90-er Jahren. Damals wurde dem Thema Sicherheit noch keine große Bedeutung bei der Entwicklung der Software beigemessen und mit dem aufkommenden Internet nahmen die Bedrohungen beängstigende Ausmaße an. Es gab Schwachstellen ohne Ende, keine vernünftigen Patchprozesse und die Hersteller hielten gefundene Schwachstellen lieber geheim, um keinen Imageschaden zu erleiden. Und wenn es dann mal Patches gab, dann waren die meisten Nutzer/Admins überfordert, dies überhaupt zu erfahren und dann auch zeitgerecht einzuspielen. Das alles hat sich glücklicherweise in den letzten 20 Jahren deutlich verbessert, Full Disclosure Politik der Hersteller und automatisierte Updates sorgen heute für deutlich mehr Sicherheit.

Aber in dem aufkommenden IoT sind die zu erwartenden Probleme absehbar deutlich gravierender. Die verwendeten Geräte sind mit dem Internet direkt oder indirekt verbunden, sind weitaus leistungsfähiger als die PCs der 90-er Jahre und finden sich in allen möglichen Einsatzszenarien wieder. Die Hersteller aber, die diese Geräte liefern, sind kaum willig und in der Lage, die damit verbunden Sicherheitsprobleme zu lösen. So mussten bei einem Hacker-Contest anlässlich der diesjährigen Defcon zehn Home-Router einen Sicherheitstest überstehen. Ergebnis: Die Hacker präsentierten 15 Lücken für eine Übernahme der Geräte, die Hälfte der bereit gestellten Router konnten damit kompromittiert werden. Ein erschreckendes Ergebnis, denn jeder kann sich wohl vorstellen, dass gerade Router als Verbindungssystem zum Internet einer besonderen Sicherung bedürfen. Es fiel auch auf, dass viele Router nicht gepatcht waren und somit lange bekannte Sicherheitslücken aufwiesen. Offensichtlich wurden Lücken häufig nur in Geräten geschlossen, die vorher von Sicherheitsexperten auditiert worden waren. Manche Hersteller hatten lange bekannte Sicherheitslücken erst gar nicht geschlossen. Dies war laut ihren Aussagen in einigen Fällen auch nicht möglich, weil die Fehler in den verwendeten Chipsets der Zulieferer lagen und für die fühlte man sich nicht verantwortlich.

<< Erste < Vorherige Page 1 Page 2 Page 3 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Detlef Weidenhammer

Mehr Sicherheitslücken als je zuvor

Die IT-Sicherheitsexperten der IBM X-Force haben ihren jüngsten Vierteljahresbericht veröffentlicht – den IBM X-Force Threat Intelligence Quarterly: Laut diesem sind im Jahr 2014 mindestens eine Milliarde digitaler Datensätze mit persönlichen Informationen in falsche Hände geraten. Außerdem traten...

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe...

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Das Ende der Ära von SSLv3

Wer hätte das gedacht, dass ein Pudel (engl. poodle) die lange Amtszeit von SSLv3 so abrupt beenden würde? Immerhin hat es vor diesem Angriff viele andere Angriffe auf das Protokoll gegeben, wie zum Beispiel BEAST, CRIME oder auch BREACH, denen man namentlich eher den Sturz von SSLv3 zugetraut...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...

ICS-Schadsoftware Havex

Die Berichte in den Fachmedien über die Schadsoftware Havex werfen in der Regel mehr Fragen auf, als sie beantworten, und stellen zudem die Bedrohungslage sehr unterschiedlich dar. Dies ist insbesondere für namenhafte Antiviren-Hersteller festzustellen; ein Teil schenkt dem Thema kaum Beachtung,...

Out-Of-Band-Management mit eingebauten Sicherheitsproblemen

„Turnschuhadministration“ - dieser Begriff ist sicherlich ein Albtraum für jeden Administrator, der etwas von seinem Handwerk versteht oder dessen Server nicht gerade im Raum nebenan stehen. Damit nicht für jede Tätigkeit der Weg in den Serverraum angetreten werden muss, bedient man sich...

Neuer Entwurf des IT-Sicherheitsgesetzes veröffentlicht

Eine erste Durchsicht des Entwurfs brachte folgende wesentliche Punkte und Neuerungen gegenüber dem Entwurf der alten Legislaturperiode für Betreiber Kritischer Infrastrukturen zu Tage: • Die Definition Kritischer Infrastrukturen und damit die Abgrenzung des Geltungsbereiches des Gesetzes ist...

Auswirkungen der Änderungen von ISO 27001:2005 zu ISO 27001:2013

Die ISO - International Organization for Standardization - ist die internationale Vereinigung von Normungsorganisationen. Ihre Aufgabe ist das Erarbeiten internationaler Normen in allen Bereichen mit Ausnahme der Elektrik / Elektronik (IEC) und der Telekommunikation (ITU). Die ISO, IEC und ITU...

E-Government-Gesetz

Deutschland hat in dem Bereich der elektronischen Kommunikation im Behördenverkehr den Anschluss an die Spitze in Europa längst verloren, in den Niederlanden und in Skandinavien ist dies längst Standard.   Abbildung-1: E-Kommunikation im Behördenverkehr (Quelle: Eurostat) Das...