agsandrew - Fotolia
Zeitbombe IoT-Sicherheit – so wird sie entschärft
Als ersten Schritt zu höherer IoT-Sicherheit sollten die Anbieter von IoT-Lösungen ihre Firmware auf potenzielle Sicherheitslücken scannen und diese schließen.
Die Zahl der IoT-Geräte und eingebetteter Komponenten wächst im Gleichschritt mit der Verbreitung von Open-Source-Software. Das Internet der Dinge (Internet of Things, IoT) scheint daher ein unumkehrbarer Trend zu sein. Dies ist schlüssig, da Linux und Embedded Linux die De-facto-Betriebssysteme für IoT-basierte Systeme und Komponenten sind.
Die Analysten der Gartner Group schätzen, dass bis 2020 weltweit 20,4 Milliarden IoT-Geräte sowie IoT-Komponenten untereinander und mit der Cloud vernetzt sein werden. 2017 sollen es rund 8,4 Milliarden gewesen sein. Laut einem Bericht der Boston Consulting Group aus dem Jahr 2017 wird der Markt für IoT-Produkte und -Dienstleistungen bis 2020 voraussichtlich ein Volumen von 267 Milliarden US-Dollar erreichen. Der Bericht prognostiziert auch, dass bis 2020 50 Prozent der IoT-Ausgaben durch Fertigung, Transport und Logistik sowie Versorgungsunternehmen erfolgen werden – also wichtigen Bereichen von Unternehmen und der kommunalen Infrastruktur.
Die Einführung und das Wachstum des Internets der Dinge sind jedoch nicht garantiert. Es gibt signifikante, versteckte Sicherheitslücken in IoT-Geräten, die behoben werden müssen, bevor wir mit den prognostizierten Wachstumsraten rechnen können.
Tickende Zeitbombe IoT-Sicherheit
Das Gros der Firmware der IoT-Geräte und eingebetteten IoT-Komponenten basiert auf Code von externen Anbietern, der häufig Open-Source-Anteil enthält. Firmen, die sich für den Bezug von externem Code und gegen die Eigenentwicklung von Software entscheiden, können die Fertigungskosten senken und Innovationen schnell umsetzen – und kürzen dadurch die ursprünglich benötigte Entwicklungszeit um Monate oder Jahre. Die Software enthält aber auch bekannte Sicherheitslücken.
Neuere Versionen dieser Komponenten sind dann meistens ohne diese Sicherheitslücken verfügbar. Dennoch ist es schwierig bis unmöglich für OEM-Entwicklungsteams und ihre Drittanbieter, den Code aller Open-Source-Softwarekomponenten genau und effektiv zu untersuchen und zu verfolgen. Vor allem, wenn sie sich auf die Entwicklung von übergeordneten Systemen konzentrieren.
Einem Bericht von PricewaterhouseCoopers zufolge verfügen nur 35 Prozent der rund 9.700 befragten Unternehmen über eine IoT-Sicherheitsstrategie. Viele Unternehmen erweitern den Einsatz von vernetzten Geräten und Sensoren, die Betriebs- oder Kundendaten sammeln und in digitale Business-Tools zurücksenden, um Entscheidungen zu vereinfachen. Allerdings geben nur 28 Prozent der Firmen an, dass sie zusätzliche Sicherheitsmaßnahmen implementieren. Diese sind aber notwendig, um sich vor dem erhöhten Risiko von Cyberangriffen durch IoT-Netzwerke zu schützen.
Die fehlende Bereitschaft von OEMs und Entwicklern, ihre IoT-Produkte effektiv abzusichern, führt entweder zu einer anfälligen kritischen Unternehmens- und kommunalen Infrastruktur oder wird das Wachstum des IoT-Marktes bremsen. Technologie-, Produktions-, Versorgungs- und Regierungsorganisationen werden in diesem Fall sehr vorsichtig sein und sich gut überlegen, ob sie IoT-Geräte und -Komponenten in ihre Systeme und Infrastrukturen integrieren.
Klagen wie bei Equifax bremsen die Verbreitung des IoT
Kostspielige Rechtsstreitigkeiten von Kunden und/oder Endanwendern gegen OEMs werden die Einführung und das Wachstum von IoT stark behindern. Warum ist das der Fall? OEMs werden sich nur schwer schützen können, wenn die überwiegende Mehrheit der IoT-Sicherheitslücken auf bekannte Open-Source-Sicherheitsprobleme in der Firmware zurückzuführen ist – Probleme, die mit Software-Patches hätten behoben werden können oder durch den Einsatz der aktuellsten Versionen der OSS-Komponenten, die die Patches bereits enthalten.
Genau das ist mit Equifax passiert. Eine bekannte und dokumentierte Sicherheitslücke in Apache Strut wurde nicht mit einem Patch geschlossen. Folge war eine Datenlücke, die Klagen mit Schadenersatzforderungen in Höhe von mehreren Milliarden US-Dollar auslöste.
Das „Push-Update“-Modell für mobile Endgeräte und Client-Computer funktioniert bei den meisten IoT-Implementierungen nicht
Seit mehr als einem Jahrzehnt schließen OEMs, die Clients für Unternehmen und mobile Endgeräte verkaufen, Sicherheitslücken in Betriebssystemen und Anwendungen durch Updates. Große Player wie Microsoft und Apple stehen für die erfolgreiche Implementierung dieses gepatchten Update-Modells, das PCs und mobile Geräte vor Cyberkriminalität schützt. Andere Unternehmen wie Tesla haben diesen Prozess auf ein neues Niveau gehoben, indem sie ganze Fahrzeugflotten mit Patches auf den neuesten Stand bringen und dafür sorgen, dass der Eigentümer des Autos nicht mehr eingreifen muss.
IoT-Plattformen sind aber besonders anfällig für Sicherheitslücken. Große Player wie Microsoft und Apple schützen PCs und mobile Geräte vor Cyberangriffen. Dennoch gibt es derzeit keine standardisierten Systeme, die trotz des hohen Einsatzes von Open-Source-Komponenten eine derart robuste Sicherheit für IoT-Strukturen gewährleisten. Ohne führende Akteure, die diese gepatchten Updates wirksam vorantreiben, sind IoT-Plattformen anfällig für bekannte Sicherheitslücken. Folglich müssen OEMs von IoT-Lösungen die Last tragen, alle bekannten Sicherheitslücken in ihrer Firmware zu lokalisieren und zu beseitigen, bevor sie Produkte ausliefern.
Wie können sie diese Herausforderung meistern? Mit dem richtigen Werkzeug. Da 90 Prozent oder mehr der vertriebenen Software irgendeine Form von Open-Source-basiertem Code enthält, ist das Scannen von Code der effizienteste Mechanismus zum Auffinden und Schließen von Schwachstellen der IoT-Sicherheit. Dieses einfache Verfahren liefert den höchsten ROI für die Beseitigung von Sicherheitslücken.
Suche nach bekannten Sicherheitslücken
Die meisten OEMs kaufen ihre Firmware oder Code-Elemente von Drittanbietern, um Entwicklungs- und Beschaffungskosten zu reduzieren. Da die OEMs in der Regel die komplette oder einen Teil der Firmware im Binärformat erwerben, fällt es sehr schwer, potenzielle Sicherheitslücken zunächst ohne den Quellcode zu identifizieren.
Es gibt eine Reihe von Analyse- und Scan-Tools für Softwaresicherheit und Compliance, die OEMs und Entwickler verwenden können. Leider konzentrieren sich die meisten auf die Behebung von häufigen Programmierfehlern im Quellcode. Obwohl bestehende Open-Source- und kommerzielle Code-Analysatoren partiell binäres Scannen anbieten, besteht ihr erster Schritt darin, aus den Binärdateien den Quellcode zu rekonstruieren.
Es gibt effektivere Möglichkeiten, binäre Codes zu untersuchen – mit Hilfe von Scannern für binären Code. Sie werten alle Roh-Binärdateien aus, um eindeutig zu identifizieren, welche Open-Source-Komponenten und welche Versionen im Code enthalten sind. Die Scanner vergleichen dann ihre Ergebnisse mit etablierten, häufig aktualisierten Datenbanken bekannter Sicherheitslücken. Binärscanner können Bibliotheksfunktionen oder andere Codes untersuchen, die ausschließlich im Binärformat geliefert werden.
Das positive Potenzial, das IoT-Geräte für persönliche, kommerzielle und gesellschaftliche Anwendungen bieten, ist sehr hoch. Neue Industrien werden entstehen und andere werden sich vollständig verbessern. Wenn Firmen das Thema IoT-Sicherheit aber vernachlässigen und nicht wirksam angehen, bleibt das IoT auch künftig nur eine potenziell positive Gruppe von Produkten und damit verbundenen Services. OEMs und ihre Entwicklungsteams sollten daher grundsätzlich eine einfache erste Verteidigungslinie für die IoT-Sicherheit implementieren, indem sie potenzielle Sicherheitslücken in der Firmware scannen und schließen.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!