Grundschutz, Systeme härten und Sicherheitslücken beheben

Internet of Things (IoT) richtig absichern

23.06.2016
Von  und
Prof. Dr. Hartmut Pohl ist Geschäftsführer der IT-Sicherheitsberatung softScheck. Sein Hauptthema ist die Entwicklung sicherer Software und dazugehörige Testverfahren.
Ivan Miklecicist IT-Security Consultant der IT-Sicherheitsberatung softScheck GmbH
Jede Kette ist nur so stark wie ihr schwächstes Glied. Für den sicheren Betrieb von IoT-Geräten und -Anwendungen sind die richtigen technischen Sicherheitsmaßnahmen unverzichtbar - aber völlig hinreichend.

"Und täglich grüßt das Murmeltier": Titel und Motto des zwei Jahrzehnte alten Filmklassikers finden sich auch in der Realität wieder. Wer sich mit IT und insbesondere der IT-Sicherheit beschäftigt, erlebt nahezu täglich ein Déjà-vu. Fachzeitschriften und Newsportale überschütten uns mit Meldungen über "völlig neue" Angriffe, noch neuere Schadsoftware und kontinuierlich neue Sicherheitslücken in Software, Firmware, Apps und IT-Systemen. Mit der stark steigenden Zahl von IoT-Geräten wird sich die Lage nicht verbessern. Ganz im Gegenteil: Das Sicherheitsniveau wird noch gesenkt, wenn Unternehmen IT-fremder Branchen "smarte" Produkte entwickeln wollen.

IoT, Anwendungen, Systeme, Netze 16zu9
IoT, Anwendungen, Systeme, Netze 16zu9
Foto: Mikko Lemola - shutterstock.com

Der WLAN-Hack mit der Kaffeemaschine

Heimnetzwerke werden kompromittiert, indem zum Beispiel Kaffeemaschinen mit WLAN auf Fake-Hotspots (Spoofing des WLAN) hereinfallen. So hatte eine Kaffeemaschine den Telnet-Dienst mit dem Kennwort "00000" aktiviert, wodurch ein Root-Zugriff möglich war. Wer jetzt glaubt, dass dies zwar schlimm ist, sich aber fragt, was denn der Angreifer mit der Kaffeemaschine anstellen solle, der muss sich eines Besseren belehren lassen: Das im Klartext gespeicherte WLAN-Passwort konnte ohne Mühe ausgelesen werden; somit hatte der Angreifer vollen Zugriff auf das vielleicht ansonsten sehr gut abgesicherte Netzwerk.

Die Angriffsfläche wird durch IoT-Geräte erweitert, so dass Schadsoftware - beispielsweise Trojaner und Würmer - verteilt werden kann. Im Mai warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Trojanern in E-Zigaretten. Nicht jeder Anwender von E-Zigaretten weiß, dass auf der zum Aufladen des Akkus enthaltenen USB-Schnittstelle tatsächlich auch Software in Form von Treibern, Firmware oder eben auch Trojanern enthalten sein kann.

Industrie 4.0 - Security 0.1

Berichte, wie der über den gehackten Hochofen eines Stahlwerks vom Dezember 2014 sollten uns wachrütteln: Hacker übernahmen die vollständige Kontrolle und beschädigten die Anlage massiv. Die Industrialisierung des einundzwanzigsten Jahrhunderts erfordert eine smarte Industrie - und schon lange erste Opfer. Bei dieser bekannt rasanten Entwicklung ist die Frage nach IT-Sicherheit unausweichlich. Vielfach wird immer noch unter Sicherheit ausschließlich Safety verstanden – und es wird nicht gesehen, dass bei fehlender Security die Safety-Maßnahmen umgangen oder ganz abgeschaltet werden können. Daraus folgt: Safety nicht ohne Security!

Ursachen der Unsicherheit

Die häufigsten Ursachen der Unsicherheit sind neben der unvollständigen oder gar nicht vorhandenen (!) Dokumentation über Systeme und Netze (Server, Clients, Anlagen) die unveränderten Werkseinstellungen mit zum Beispiel Default Logins. Darüber hinaus sind es nicht nur die fehlenden sondern insbesondere die falsch umgesetzten oder falsch parametrisierten Sicherheitsmaßnahmen in Produktions-Prozessen und Software-Entwicklungsprozessen von Produkthersteller - wodurch Sicherheitslücken in den Endprodukten vorprogrammiert sind. Ziel muss sein: Sicherheitslücken, insbesondere nicht bekannte Sicherheitslücken (Zero-Day-Vulnerabilities) in Software zu identifizieren und zu beheben.

Härtung von Systemen

"Weniger ist mehr": Mit dieser knappen Aussage, wird der Begriff Härtung einfach und verständlich beschrieben. Dabei steht im Fokus, dass nur tatsächlich System-relevante Software und Dienste - also Funktionen, die zur Erfüllung der vorgesehen Aufgaben wirklich unabdingbar sind - aktiviert und installiert sind. Diese Härtung sollte dann auch mit Security Tests überprüft und nachgewiesen werden.

ISO 27000 und IT-Grundschutz

Neben der Härtung der Netze und Systeme zur Erreichung eines angemessenen Schutzniveaus bieten die ISO 27000-Familie und der IT-Grundschutz des BSI gute Empfehlungen für technische, strukturelle, organisatorische und personelle Sicherheitsmaßnahmen. Diese Regelungen betreffen allerdings den Betrieb unternehmenseigner Informationstechnik und nicht die Software-Entwicklung.

Application Security - Security Testing

Einen Schritt weiter geht die ISO 27034, die Hersteller- und Technologie-unabhängige Grundlagen mit definierten Konzepten, Frameworks und Prozessen zur Integration von Application Security in den Software-Entwicklungsprozess anbietet.

Produkthersteller müssen in Ihren Software-Entwicklungsprozess Methoden integrieren, mit denen die Softwarequalität im Hinblick auf Sicherheitslücken hin untersucht wird. Ein mögliches Vorgehensmodell ist dabei:

Security Testing Process im Wasserfallmodell nach ISO 27034
Security Testing Process im Wasserfallmodell nach ISO 27034
Foto: Copyright softScheck GmbH
  1. Security Requirements-Analyse: Neben den funktionalen Anforderungen müssen auch nicht-funktionale Sicherheitsanforderungen so definiert werden, dass sie unmissverständlich und jederzeit überprüfbar sind.

  2. Threat Modeling - Bedrohungsanalyse des Software Designs: Betrachtung der Architektur aus Angreifer-Sicht mit dem Ziel, Bedrohungen oder Sicherheitslücken in der Software-Architektur zu identifizieren.

  3. Static Source Code Analysis: Untersuchung des Quellcodes auf Sicherheitslücken.

  4. Dynamic Analysis - Fuzzing: Identifizierung von bislang nicht bekannten Sicherheitslücken (Zero-Day Vulnerabilities) im Maschinen-ausführbaren Code.

  5. Penetration Testing: Identifizierung bereits veröffentlichter Sicherheitslücken und Angriffssimulationen.

Eine regelmäßig wiederholte (mindestens halbjährliche, in vielen Fällen auch monatliche) Überprüfung der umgesetzten Sicherheitsmaßnahmen durch Audits und Penetration Tests ist unerlässlicher Stand der Technik.

Werden diese Sicherheitsmaßnahmen korrekt umgesetzt und überprüft, kann ein durchaus angemessenes Sicherheitsniveau eines – auch vernetzten - IoT-Systems erreicht werden. (sh)

»

Mehr zum Thema "Sicherheit im IoT"

Mehr zum Thema "Sicherheit im IoT" lesen Sie in unserem COMPUTERWOCHE-Insider "Sicherheitsrisiko (I)IoT: Was tun?"?