Ich habe mir eben ein 15 Jahre altes Auto gekauft. Nicht nur, aber auch, weil dieser Wagen noch relativ wenig Informatik mit sich rumschleppt. Nachdem ich in der c’t einen Artikel gelesen habe, wie Forscher einen Jeep Cherokee Baujahr 2014 gehackt haben, weiß ich, das meine Entscheidung für ein „unconnected car“ richtig war. Doch das Thema beschränkt sich nicht auf die Automobilbranche, sondern betrifft mit dem aufkommenden Internet of Things (IoT) und Industrie 4.0 alle produzierenden Unternehmen.
Das deutsche Wort „Sicherheit“ hat eine verhängnisvolle Doppelbedeutung. Im Englischen gibt es dagegen die Unterscheidung in „Safety“ und „Security“. Safety ist beispielsweise die Unfallsicherheit der Maschinen, Security die Zugangskontrolle. In dem Sinne können Automobilhersteller mit Fug und Recht sagen, dass ihre Produkte sicher sind. Safety wird ja auch mit großem Aufwand geprüft, Airbags, Bremsen, Blinker, Licht – auf Deutsch aktive und passive Sicherheit.
Security dagegen ist in Bezug auf Produkte und Internet ein echter weißer Fleck der Unternehmensstrategie. Immer wieder deckt die c’t, die hier die Rolle übernimmt, die der „Spiegel“ in Bezug auf Politik übernimmt, fast unglaubliche Sicherheitslücken auf: Im Mai 2003 berichtete die Zeitschrift über Sicherheitslücken in den Steuereinheiten von Industrieanlagen, Heizkraftwerken, Gefängnissen, aber auch in Heizungen von Privathäusern. Den Anlagen gemeinsam war, dass sie Steuerungsmodule des Schweizer Herstellers Saia-Burgess verwenden, die mit etwas Manipulation die Passwortliste im Klartext ausspuckte.
Sicherheit = Safety + Security
Der Artikel wurde erst drei Monate, nachdem die Zeitschrift Hersteller, Betreiber und das beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelte Computer Emergency Response Team (CERT-Bund) informiert hatte, veröffentlicht. Trotzdem hing zu dem Zeitpunkt immer noch eine erschreckende Anzahl von Anlagen ungeschützt im Netz. Weitere zwei Monate später berichtete die c’t:
Wie das zum Honeywell-Konzern gehörende Unternehmen Saia-Burgess gegenüber c’t bestätigte, befindet sich der Sicherheitspatch, der die von uns aufgedeckte Schwachstelle in der Benutzerauthentifizierung abdichten soll, noch in der Entwicklung – und das rund ein halbes Jahr, nachdem wir den Hersteller über das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausführlich über das Sicherheitsproblem informierten.
[…]
Trotz der akuten Bedrohungslage hat sich Saia-Burgess reichlich Zeit damit gelassen, die betroffenen Betreiber zu informieren und einen Patch zu entwickeln. Zwar wurde der Hersteller bereits im Februar durch das BSI ausdrücklich darum gebeten, dies geschah jedoch erst zwei Monate später. Als wir uns im April direkt mit Saia-Burgess in Verbindung setzten und die bevorstehende Veröffentlichung unseres Artikels ankündigten, habe man plötzlich „den Ernst der Lage erkannt und mit Hochdruck eine Problemlösung gesucht“, erklärte ein Unternehmenssprecher gegenüber c’t.
Im Februar 2015 berichtete das Computermagazin über den Hack eines BMW, der sich über seine Internetverbindung öffnen ließ – auch hier im Blog habe ich darüber geschrieben. Beim Jeep ging es noch weiter, hier gelang der Angriff auf die zentralen Funktionen des Autos, der Wagen ließ sich quasi fernsteuern. Gefährdete Autos ließen sich in beiden Fällen relativ einfach aufspüren. Man kann darauf warten (vielleicht ist es auch schon so weit), dass sich ein Hacker hinsetzt und die relativ komplexe Hackprozedur über eine passende Software automatisiert – analog zu Virenbausätzen. Mit denen jedermann einen Computervirus bauen und auf die Menschheit loslassen kann.
Was mich so betroffen macht, ist zum einen, dass die Softwaresicherheit ganz offensichtlich eine sehr geringe Priorität besitzt und wahrscheinlich in den Firmen das entsprechende Know-how gar nicht vorhanden ist – man kauft sich ein Fernwartungsmodul hinzu und integriert es in eigene Anlagen, ohne zu verstehen, was das Modul tut beziehungsweise kann.
Zum anderen ist die Geschwindigkeit, mit der auf Fehler reagiert, noch „old school“. Man hat in Zeiten des Internet kein halbes Jahr Zeit, Fehler zu beheben, vor allem, wenn der Nutzer nicht einmal mehr die Möglichkeit hat, sich zu schützen – an den Vaillant-Heizungen konnte man wenigstens als erste Sicherheitsmaßnahme den Netzwerkstecker ziehen. Ein gutes Beispiel ist das Stagefright-Problem von Android: Dabei handelt es sich um eine scheunentorgroße Sicherheitslücke, die alle Android-Geräte ab Version 2.2, also praktisch alle Android-Geräte betrifft. Angeblich lassen sich mit einer simplen MMS beliebige Daten vom Telefon stehlen.
Google hat die Lücke in Android inzwischen geschlossen, da jedoch die meisten Telefone mit einer Herstellerversion des Betriebssystems laufen, ist es sehr unwahrscheinlich, dass die Lücke in absehbarer Zeit geschlossen wird. Alternative Firmwares wie CyanogenMod basieren auf Googles Code und haben die neuen Sicherheitspatches schon integriert. Damit entsteht die irre Situation, dass ich mit der Originalfirmware meines Samsung-Telefons verwundbar bin und bei meinem ein Jahr alten Telefon auf Abhilfe kaum hoffen kann. Die Abhilfe wäre rooten und CyanogenMod aufspielen – damit verliere ich aber die Gewährleistung meines Telefons.
Security muss in IoT-Projekten höchste Priorität bekommen
Das Beispiel lässt sich nahtlos auf alle IoT-Geräte übertragen. Ein Sicherheitspatch des Herstellers der betroffenen Komponente nutzt noch gar nichts, wenn die Maschinenhersteller, die diese Komponente verbauen, ihre Kunden nicht informieren und den Patch einspielen. Die meisten Firmen haben ja auch gar keinen Prozess beziehungsweise die technischen und organisatorischen Möglichkeiten, schnell ein solches Update zu fahren.
Noch ein Aspekt: Während sich das Stagefright-Problem in zwei Jahren von selbst gelöst hat, weil die betroffenen Telefone veraltet sind und nicht mehr benutzt haben, sind die Lebenszyklen von Autos und Maschinen in Jahrzehnten zu zählen. Sobald das Gerät mit dem Internet verbunden ist oder in einem Firmennetzwerk hängt, sollte der Hersteller über die gesamte Lebensdauer die Sicherheit gewährleisten, und das in einer sich schnell verändernden Umgebung wie der IT.
Software hat Bugs – das lässt sich kaum vermeiden. Beim BMW i3 schaltete der Abstandswarner den Tempomat unter bestimmten Bedingungen ab, woraufhin das Auto eine recht harte Bremsung einleitete. Man kann sich vorstellen, dass das sehr gefährlich sein kann. Dieses Verhalten wurde mit einem Softwareupdate geändert – die Abbremsung ist nun verhaltener – aber ohne den Fahrer darüber zu unterrichten. Im Prinzip also gut gelöst von BMW – ein automatisches Update optimiert das Fahrzeug – aber eine verbesserungsfähige Ausführung.
Auch Sicherheitslücken lassen sich nicht verameiden, sogar als sicher anerkannte Technologien können plötzlich unsicher werden, wie man an OpenSSL gesehen hat. Setzt man Software ein – und das tun immer mehr Produkte – muss man die Security laufend im Blick haben. Und mit der wachsenden Vernetzung steigt die Zahl der möglichen Angriffsszenarien exponentiell – was nützt mir – wie im Jeep-Beispiel ein gut abgesicherter interner Bus, wenn der Angreifer eine Schwachstelle im weniger sicherheitsrelevanten Entertainmentsystem nutzt?
Sicherheitsfachleute sind gesetzlich in fast jedem Unternehmen vorgeschrieben – die kümmern sich jedoch per Gesetz um die Safety. Ein ähnlicher Sicherheitsbeauftragter, der sich um die Internet-Security kümmert, ist in IoT-Projekten in Zukunft unverzichtbar. Ebenso wichtig sind Security-Beauftragte, die auftretende Krisen schnell kommunizieren, bewerten, bearbeiten und beenden können. Die Folgen eines schlecht gemanagten Sicherheitslecks sind unabsehbar und können Unternehmen vernichten.