IoT-Geräte effizient schützen

| Autor / Redakteur: Nicole Segerer* / Michael Eckstein

Gar nicht pflegeleicht: Auch mit dem Internet verbundene Haushaltsgeräte können lohnenswerte Angriffsziele für Hacker sein.
Gar nicht pflegeleicht: Auch mit dem Internet verbundene Haushaltsgeräte können lohnenswerte Angriffsziele für Hacker sein. (Bild: gemeinfrei / CC0)

Schützt die Geschirrspüler! Kein mit dem Internet verbundenes Gerät ist immun gegen Hackerangriffe - auch keine so genannten smarten Haushaltsgeräte.

Über das potentielle Sicherheitsrisiko eines Geschirrspülers warnte Anfang des Jahres das IT-Beratungsunternehmen Schneider & Wulf. Das Gerät Miele Professional PG 8528 PST10 enthielt nach Angaben der Experten eine schwere Directory Traversal Vulnerability, die über das lokale Netz ausgenutzt werden konnte. Ein Patch, um die Sicherheitslücke zu schließen, stand lange Zeit nicht zur Verfügung.

Das Problem ist bekannt. Schwachstellen in der Software von IoT-Geräten dienen Hackern immer wieder als Angriffsbasis, um an sensible Daten zu gelangen, Geräte zu manipulieren und sich Zugriff auf Netzwerke zu verschaffen. Trotzdem sind Hersteller in den meisten Fällen schlichtweg nicht darauf vorbereitet, auf neu veröffentlichte Schwachstellen schnell und effektiv zu reagieren. Insbesondere Hersteller, die klassische Konsumgüter wie Waschmaschine, Fernseher und Kameras mit dem Internet verbinden, sind oft nicht ausreichend gerüstet, um die Sicherheitsaspekte intelligenter, verbundener Geräte zu managen.

Sicherheit bereits auf Entwicklerebene

Je mehr Produkte und Geräte ins IoT wandern, desto dringlicher stellt sich die Sicherheitsfrage. Das beginnt bereits bei der Entwicklung. Neben sorgfältigen Code-Tests und kontinuierlicher Wartung müssen auch gebündeelte Softwarekomponenten und Drittherstellerprodukte mit verifizierten Daten über Schwachstellen abgeglichen werden. Parallel sind ein Maßnahmenplan sowie ausreichend bemessene Ressourcen nötig, die es den Herstellern ermöglichen, schnell und effektiv auf Vulnerabilities in ihren Produkten zu reagieren und Software- und Firmware-Updates sowie Patches zur Verfügung zu stellen.

Glücklicherweise sind mittlerweile neue Technologien verfügbar, mit denen Anwendungshersteller Updates automatisch an ihre Kunden weitergeben und deren Implementierung sogar erzwingen können. Das senkt die Risiken und beugt möglichen Schadensersatzansprüchen vor. Stabile und skalierbare Update-Prozesse und -Technologien sind vom ersten Tag an unabdingbar, um Software- und Firmware-Updates auch remote durchzuführen. Um Hackern den Zugriff auf den Programmcode möglichst schwer zu machen, muss die Software zudem bei der Distribution tatsächlich manipulationssicher sein. Darüber hinaus sollten sichere und ausgereifte Lizenzierungstechnologien eingesetzt werden, um gewährleisten zu können, dass ausschließlich berechtigte Benutzer auf die Anwendungen zugreifen.

Achtung Open Source Software

Die Sicherheitsmaßnahmen müssen dabei auf allen Ebenen der Firmware und Software eines Geräts greifen. Nur wenn kontinuierliche und zuverlässige Prozesse auf Seiten der Hersteller etabliert werden, kann Sicherheit im wachsenden IoT-Universum funktionieren, wo jede Software-Komponente Teil einer langen Lieferkette ist und mit Anwendungen anderer Hersteller gebündelt wird.

Das wird nirgendwo so klar wie bei Open Source Software (OSS), die von nahezu allen Softwareentwicklern intensiv genutzt wird und fester Bestandteil fast jeder IoT-Lösung ist. Trotz der weiten Verbreitung gibt es nach wie vor große Defizite im Management von OSS. Häufig sind Entwickler nicht in der Lage, Sicherheitslücken in ihrem Code nachzuverfolgen und zu beheben. Der Grund: Es fehlt eine kontinuierliche Analyse des Quellcodes, um alle in Softwareprodukten genutzten OSS-und Dritt-Komponenten zu identifizieren und auf dem neuesten Stand zu halten.

Drei Tipps für das IoT

Für eine hohe Anwendungssicherheit sollten IoT-Hersteller diese drei grundlegenden Maßnahmen ergreifen:

1. Scannen der Codebasis auf Komponenten, die möglicherweise Schwachstellen enthalten. Dies können sowohl OSS- als auch andere Dritt-Komponenten sein.

2. Nutzen von manipulationssicheren Lizenzierungstechniken, um Anwendungen vor Hackerangriffen zu schützen.

3. Implementieren von automatisierten und kontinuierlichen Software-/Firmware-Updates, um bei Sicherheitsrisiken schnell und effektiv zur reagieren.

Intelligente Waschmaschine, smarter Heizungsregler und Streaming über den Fernseher – die Geräte von morgen werden mit fortschreitender Technologie immer intelligenter. Mit jeder Innovation steigt dabei auch das Sicherheitsrisiko. Hersteller werden hier mehr und mehr in die Verantwortung genommen und müssen ihre Sicherheitsstrategien überdenken, sollen ihre Geräte nicht zur Zielscheibe für Cyberkriminelle werden.

Der Beitrag stammt von unserem Partner-Portal industry.of-things.de.

* Nicole Segerer ist Head of IoT Deutschland, Österreich und Schweiz von Flexera

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45040233 / IoT)