Wie sicher ist das Internet der Dinge?

Ein weisser Jeep fährt auf einer Autobahn in den USA. Plötzlich spielt die Klimaanlage verrückt, die Stereoan­lage dreht voll auf, die Scheibenwaschanlage wechselt in den Dauerbetrieb und schliesslich stellt sich der Motor ab. Der Fahrer kann keine dieser Funktionen mehr selbst kon­trollieren, er schaltet den Warnblinker ein und muss im Leerlauf eine geeignete Stelle zum Halten suchen. Was wie eine Szene aus einem Actionfilm klingt, passierte im Juli dieses Jahres. Der Fahrer war ein Reporter der US-Zeitschrift Wired, dessen Wagen zu Demonstrationszwecken von zwei Hackern attackiert wurde. In einer weiteren Demonstration wurde ein 13'000 Dollar teures Präzisionsgewehr gehackt. Durch die eingebaute Elektronik kann der Schütze ein Ziel markieren. Wenn er den Schuss freigibt, schiesst das Gewehr selbsttätig, sobald der Lauf genau auf das Ziel gerichtet ist. Dadurch können auch weniger erfahrene Schützen immer ins Schwarze treffen. Die Hacker fanden eine Lücke in der WLAN-Software des Gewehrs und manipulierten es so, dass es immer einen Meter danebenschoss. Nächste Seite: Das Internet der Dinge ist längst Realität Das Internet der Dinge ist längst Realität Vielen ist noch nicht bewusst, dass sie zunehmend von «intelligenten» Gerätschaften umgeben sind, die über das Internet gesteuert werden: Hausbeleuchtungen, Audio- und Video-Anlagen, Thermostate, Schliess- und Alarmanlagen und vieles mehr. Theoretisch kann all das, was zumInternet der Dinge (Internet of Things, IoT) gehört, Opfer eines Hackerangriffs werden – und nicht nur theoretisch. HP hat sich vergangenes Jahr die Mühe gemacht, zehn der beliebtesten Geräte dieser Art auf ihre Sicherheit hin zu testen. Das Ergebnis war ernüchternd: Acht von ihnen beziehungsweise ihre Apps oder Webbenutzerschnittstellen verlangten keine wirklich sicheren Passwörter für die AuthentifizierungSieben von zehn verwendeten eine unverschlüsselte NetzwerkverbindungSieben von zehn erlaubten eine relativ einfache Ermittlung der NutzerdatenDie Benutzerschnittstellen von sechs Geräten konnten relativ einfach gehackt werden Veit Siegenheim, Leiter des Bereichs CIO Advisory Services beim Beratungshaus Capgemini, konstatiert, dass das Internet der Dinge noch keine grosse Rolle für Industrie und Wirtschaft spielt, weswegen Security-Mängel auch noch keine allzu grossen Auswirkungen haben. Glaubt man aber einer Studie der Unternehmensberatung McKinsey, dann wird sich das in den nächsten zehn Jahren dramatisch ändern. Die Durchdringung der Industrie und aller Bereiche des täglichen Lebens mit vernetzten Infrastrukturen wird so stark sein, dass ein Grossteil der heutigen produzierenden Industrie sich als Teil des IoT-Marktes betrachten wird. Dieser Markt soll weltweit bis 2025 ein Volumen von mehr als 10 Billionen Dollar erreichen. In derselben Studie beschreibt McKinsey auch die daraus resultierenden Risiken: «Das Internet der Dinge vervielfacht die Gefahren, die sich durch Datenkommunikation ergeben. Jedes Gerät erweitert die verfügbare Angriffsfläche und die Möglichkeiten der Angreifer. Jeder Netzwerkknoten ist eine potenzielle Einbruchstelle und die Vernetzung der Komponenten kann den Schaden vergrössern. Einbrüche in Systeme, die die physische Welt steuern, können verheerend sein. Das Überwinden der Sicherheitssysteme eines Privathauses oder das Kompromittieren von medizinischen Geräten kann Menschenleben gefährden. Ein Hackerangriff auf ein intelligentes Stromnetz kann potenziell Millionen Haushalte und Betriebe treffen.» Nächste Seite: Ungeschützte Software im Internet der Dinge Ungeschützte Software im Internet der Dinge Claudia Eckert, Leiterin des Fraunhofer-Instituts AISEC in München, das sich auf das Thema Sicherheit im IoT spezialisiert hat, weist darauf hin, dass die fehlende Abkapselung der Betriebssoftware ein grosses Problem darstellt. Das betrifft nicht nur Automobilhersteller, sondern auch die verarbeitende Industrie und ihre Produk­tionsanlagen. «Vorausgesetzt man kennt ansatzweise die Funktionsweise dieser Systeme, kann man sie momentan angreifen, da die ganze eingebettete Software noch nicht auf die Sicherheitsanforderungen des IoT getrimmt worden ist», sagt Eckert. Das AISEC hat ein Verfahren entwickelt, das mit Hilfe eines Kryptografie-Chips von Infineon eine solche zusätzliche Sicherheitsstufe für Produktionsmaschinen vorschaltet. Die Notwendigkeit für diese zusätzliche Sicherheitsstufe wird umso deutlicher, wenn man bedenkt, dass der Kommunikationskanal mit der Aussenwelt das mit Abstand am meisten bevorzugte Einfallstor für Hacker ist – und die Erfahrung zeigt, dass kein Kommunikationskanal absolut sicher ist. Der erwähnte Jeep wurde über sein Mobilfunkmodul geknackt, über das er auch Updates für seine Software erhält, das Präzisionsgewehr über seine WLAN-Verbindung, ein Elektro-Skateboard über die Bluetooth-Verbindung mit seiner Fernsteuerung. Olaf Mischkovsky, Sicherheitsexperte bei Symantec, gibt zu bedenken, dass selbst Mobilfunkprotokolle nicht immer wasserdicht sind: «Mittlerweile weiss man, dass man auch GPRS (General Packet Radio Service) hacken kann, wenn auch etwas aufwendiger.» Ein weiteres Problem bei der Absicherung von IoT-Geräten liegt in der Technik selbst. «Nehmen Sie als Beispiel ein Modul für die SSL-Verschlüsselung, das gemäss der definierten Security-Spezifikation entwickelt und in grosser Zahl in Autos verbaut wurde», so Mischkovsky. «Wenn sich im Nachhinein herausstellt, dass diese Art der SSL-Implementation gehackt werden kann, haben Sie ein Problem. Das Problem ist umso grösser, wenn sich die Komponenten nicht im Nachhinein auf den Stand der Technik aktualisieren lassen. Dann ist der Autohersteller gezwungen, das Modul auszutauschen, aber das kann natürlich nicht von heute auf morgen passieren.» Ist ein Angreifer erst bis zur Betriebssoftware vorgedrungen, stehen ihm viele Möglichkeiten offen. «Kaum ein Hersteller von intelligenten Geräten oder Autos entwickelt sein eigenes Betriebssystem, sondern nimmt ein Produkt wie QNX oder eine spezielle Version von Linux oder Windows. Werden Schwachstellen in diesen Betriebssystemen entdeckt, ist das Gerät oder das Fahrzeug damit auch unsicher.» Nächste Seite: Bei der IoT-Absicherung trifft Engineering auf IT Bei der IoT-Absicherung trifft Engineering auf IT All die potenziellen Lücken zeigen, wie gross die Herausforderungen bezüglich der Absicherung des IoT für die gesamte Industrie sind. «Wir haben jetzt die Konstellation Engineering meets Informatik», sagt Veit Siegenheim von Capgemini. Die klassischen Engineering-Bereiche, die Sensorik-getrieben sind und bislang in gewissem Umfang mit IT zu tun hatten, würden nun auf die klassische IT mit all ihren Vernetzungs- und Internetproblematiken treffen. Deshalb gebe es zunächst in der Sensorik eine ganze Menge Nachholbedarf. Allerdings gibt es hier auch für die Security-Experten der IT noch jede Menge zu lernen, weil es nun um ganz andere Anwendungsszenarien geht als die, die sie aus der Welt der EDV kennen. «Security ist eine schwierige Disziplin, weil sie allumfassend ist», sagt Siegenheim. «Angefangen von den am Prozess beteiligten Personen, die auch den grössten Risikofaktor bilden, über den Prozess selbst bis hin zur eigentlichen Infrastruktur mit ihrer Applikationsarchitektur und den Anwendungen, stellen alle unterschiedliche Anforderungen an die Sicherheit.» Dieses Spektrum werde nun durch die Vernetzung weiterer Bereiche, etwa Industrieanlagen und intelligente Geräte, erweitert.Auch die Rolle des Menschen sei in der Industrie 4.0 anders. Bisher war der Mensch mit seinen Fehlern einerseits das grösste Risiko für alle Systeme, andererseits konnte er immer eingreifen, etwa im Datacenter oder im Internet. «Die dezentralen Stellen in der klassischen Security sind Laptops oder Smartphones, die von Menschen bedient werden», so Siegenheim. «Das ist im IoT und in Industrie 4.0 nicht mehr so. Wir haben es hier mit dezentralen, räumlich teilweise extrem verteilten Systemen zu tun, die über irgendwelche Funkmasten irgendwo kommunizieren.» Davon abgesehen sind auch die Abwehrmechansimen, die man aus der EDV kennt, nicht eins zu eins aufs Internet der Dinge übertragbar, auch wenn der grundsätzliche Weg zu einem Sicherheitskonzept identisch ist. «Sowohl für ein Office-Produkt als auch für eine Industrieanlage, die beispielsweise Kotflügel produziert, müssen Sie zuerst eine Risikobewertung machen, in der man erfasst, welchen Risiken das jeweilige Gerät oder die Anlage ausgesetzt ist», sagt Olaf Mischkovsky von Symantec. Auch die Basistechnologien wie Firewalling oder Authentifizierung seien vom Prinzip her dieselben. Tools und Massnahmen müssten jedoch für den jeweiligen Anwendungszweck adaptiert werden. «In der Office-Welt etwa ist es sinnvoll, dass jeder Rechner mit einem Anti­virusprogramm geschützt wird», so Mischkovsky. «Bei einem Fahrzeug ohne Internetanschluss ist dieses Konzept aber wenig sinnvoll, weil das Antivirusprogramm keine Updates empfangen kann, und ohne Updates ist ein Antivirusprodukt nutzlos. Andererseits hat auch die Anlage für die Produktion von Kotflügeln einen USB-Anschluss, über den Schadcode auf dieses System kommen kann. Ein Industriesystem ist aber kein Office-System. Die angreifenden Dateien können also eine andere Struktur haben als die aus der Office-Welt. Also muss auch die Massnahme zur Absicherung anders aussehen als beim Office-System.» Nächste Seite: Neue Ansätze, neue Lösungen für die IoT-Sicherheit Neue Ansätze, neue Lösungen für die IoT-Sicherheit Ist IoT-Sicherheit aus Sicht eines Unternehmens eine völlig neue technische Disziplin? «Es ist zumindest eine erweiterte Disziplin», sagt Veit Siegenheim von Capgemini. In einem dezentralen, verteilten System sei die Zahl der möglichen Einfallstore sehr viel grösser. Das stellt eine neue Dimension dar und es ist möglicherweise ein neuer Blickwinkel notwendig, um diesen Anforderungen zu begegnen. «Eine wesentliche Frage ist, wie man mit einem fehlerhaften oder kom­promittierten System umgeht und wie man es überhaupt erkennt», sagt Siegenheim. «Ausgehend davon, dass es eine hundertprozentige Absicherung gar nicht geben kann, wäre die Aufgabe, Manipulationen zu erkennen und zu orten – zusätzlich zur Absicherung der Einzelkomponenten. Die Grundfrage wäre dann, welchen Daten man vertrauen kann und wie man mit der Tatsache umgeht, dass Lücken in der Regel erst entdeckt werden, nachdem sie ausgenutzt worden sind. Es ist ein Paradigmenwechsel: Systeme sind nicht sicher, daher muss ich Mechanismen finden, die mit Unsicherheiten richtig umgehen können.» Eine Schwierigkeit besteht für Unternehmen auch darin, dass es für den Grossteil der Industrie kaum fertige Lösungen für diesen Bereich gibt, vor allem nicht solche, die komplette Anwendungsszenarien abdecken. Zwar haben einschlägige Security-Hersteller auch IoT-Lösungen im Portfolio, doch im Grossen und Ganzen ist dieses Feld noch in der Entstehung. Andererseits engagieren sich praktisch alle IT-Schwergewichte wie IBM, HP oder auch SAP sehr stark für das Internet der Dinge. Es ist also zu hoffen, dass diese Unternehmen das Thema Sicherheit in ihren Lösungen angemessen berücksichtigen. Für die nächste Zeit ist jedoch von den Unternehmen, die im Bereich IoT arbeiten wollen, viel Pionierarbeit zu leisten. Für diese wichtige Phase hat Veit Siegenheim von Capgemini zwei Ratschläge parat: «Der grösste Fehler wäre, die Pro­blematik zu unterschätzen, auch wenn zunächst nicht offensichtlich ist, wer überhaupt Schaden anrichten wollen würde und wie. Grundsätzlich sind alle IT-verbundenen Systeme hackbar und eignen sich als Ziel von Interessen, die dem Wohl des Unternehmens entgegenstehen. Und man sollte sich im Klaren sein, dass man nicht über alles Wissen, das für diese Aufgabe nötig ist, im eigenen Haus verfügen kann. Also geht es darum, dieses Wissen aufzuspüren und es sich zunutze zu machen, um auf dem aktuellen Stand der Technik zu sein.» Nächste Seite: Kurzinterview: «Die Büchse der Pandora ist geöffnet» Kurzinterview: «Die Büchse der Pandora ist geöffnet» Claudia Eckert ist Leiterin des Fraunhofer AISEC in München und Professorin für IT-Sicherheit an der Technischen Universität München. com! professional befragte sie zu den Sicherheitsaspekten im Internet der Dinge. Computerworld: Es wird oft behauptet, dass sich die IoT-Technologie viel schneller entwickelt als die dafür notwendige Sicherheitstechnik. Stimmt das? Claudia Eckert: Das kann man mit Sicherheit so sagen. Viele existierende Geräte werden zwar vernetzt, sie wurden aber mit Technologien entwickelt, die nicht für das Internet der Dinge bestimmt waren. Wenn diese über das Internet erreichbar sein sollen, kommen ganz andere Sicherheitsfragestellungen auf. Man ist damit in den Markt gegangen, ohne vorher an die Sicherheit gedacht zu haben, sondern nur an Features. Erst später fällt dann auf, welche Sicherheitsimplikationen damit verbunden sind. Nur ist die Büchse der Pandora schon geöffnet und jetzt muss man aufholen. Andererseits kann man, wo noch Entwicklungsarbeit geleistet wird, die Sicherheit von vornherein mit berücksichtigen. Computerworld: Einige spektakuläre Hacks in der letzten Zeit haben völlig neue Möglichkeiten gezeigt, Schaden anzurichten. Haben wir bisher einfach nur Glück gehabt, dass nichts Schlimmeres passiert ist? Eckert: Manches von dem, was in letzter Zeit zu lesen war, sind reine Demo-Hacks, um die Problematik generell deutlich zu machen – und das ist gut so. Aber es gab auch wirkliche und teilweise ernste Sicherheitsfälle, bei denen tatsächlich Schaden entstanden ist, wenn auch nur im Ausland. Beispielsweise sind Steuerungen von Kraftwerken manipuliert worden oder auch Automatisierungsanlagen. Bei Produktionsanlagen kann das zu erheblichen Störungen führen. Computerworld: Wie hoch ist das Bewusstsein für das vor­handene Schadenspotenzial in der Industrie? Eckert: Das Bewusstsein ist sehr unterschiedlich ausgeprägt. Die grossen Hersteller leisten sich eigene Sicherheitsteams, sind gut informiert und arbeiten in den wichtigen Gremien mit. Die haben schon einen ganz guten Überblick über die Probleme und darüber, was Schäden kosten würden, insbesondere im Maschinen- und Anlagenbau. Es gibt aber auch viele kleine und mittelständische Unternehmen, die sich mit diesem Thema noch nicht auseinandergesetzt haben. Sie werden jetzt durch die Medienberichte wach, ihnen ist aber noch nicht so richtig klar, was das für ihre eigenen internen Pro­zesse oder für ihre Marktstellung bedeutet, weil ihre Produkte zuvor immer abgeschottet gearbeitet haben und sie etwaige Probleme immer im Griff hatten. Sie stehen jetzt vor der Aufgabe, diese Art von Risiken zu erfassen und ihr Sicherheitsmanagement auszubauen. Computerworld: Braucht man für den Autoverkehr und insbesondere für autonome Fahrzeuge ein eigenes Netz? Eckert: Wir würden uns zwar sehr viele Pro­bleme vom Hals schaffen, wenn wir nicht alles über die vorhandenen Infrastrukturen ab­wickeln, aber aus meiner Sicht ist es bei solch Business-getriebenen Bereichen unrealistisch, von eigenen Netzen zu reden. Wir wissen inzwischen, wie schwierig und teuer es ist, ganz neue Netze aufzusetzen. Der Hype momentan ist, dass alles vernetzt werden muss. Das bitte ich doch mal wirklich zu hinterfragen. Natürlich bekommt man einen Mehrwert, wenn man Geräte und Komponenten miteinander vernetzt und neue Dienstleistungen darüber erbringt, aber an vielen Stellen muss man sich fragen, ob das wirklich so sein muss. Ich meine, es muss nicht alles in die Cloud. Vielmehr sollte man sich fragen, welche Assets man selbst kontrollieren muss, und die entsprechenden Infrastruk­turen aufbauen. Es läuft weniger darauf hinaus, neue Netze zu bauen, sondern die Komponenten im existierenden Netz anders zu konfigurieren, um die Kontrolle zu behalten. Computerworld: Ihr Institut arbeitet an vorderster Front in Sachen Security für IoT und Industrie 4.0. Was gehört zu den aufregendsten Bereichen Ihrer Forschung? Eckert: Die erste Stufe ist, für bestehende Systeme eine Härtungsschale einzuführen ähnlich der, die wir mit dem Infineon-Chip realisiert haben. Die nächste wäre zu überlegen, wie man die Architektur von Grund auf so entwerfen kann, dass die Sicherheit Teil der Entwicklung bei SPS- oder Produktionsanlagen ist. Zusätzlich verfolgen wir völlig neue Ansätze, zum Beispiel beim Thema Objektidentität. Einer davon, der zwar nicht von uns stammt, aber wo wir uns stark engagieren, sind die sogenannten Physical Unclonable Functions. Das ist das Äquivalent zu biometrischen Merkmalen, wie wir sie von Menschen kennen, für physische Objekte. Daraus lassen sich digitale Fingerab­drücke ableiten. Ausserdem arbeiten wir an Lösungen für den Produktschutz und für den Schutz geistigen Eigentums. In den immer smarter werdenden Produkten steckt sehr viel Know-how. Aus der Software kann man nicht nur herauslesen, wie ein Produkt genutzt und gewartet wurde, sondern man kann häufig Rückschlüsse auf seine gesamte Entstehungsgeschichte ziehen.