3-2018

Weitere Magazine

Info

Sicherheit IoT-Baugruppen praktisch ungeschützt meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn z. B. ein Smart-Home-Thermostat oder die Smartphone-App eines Wearables von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird. IoT-Bot-Netze verbreiten sich Kurz gefasst Die potenziellen Gefahren für außerhalb der IT genutzte Mikrorechnersysteme nehmen im Moment rasant zu. Aber auch schon vor dem offiziellen Bekanntwerden von Meltdown & Spectre wurde über den neuesten BSI-Lagebericht deutlich, dass inzwischen auch Mikrorechner in industriellen Steuerungsanlagen und Embedded Systeme durch Cyberattacken bedroht werden. Besonders auffällig: Immer mehr eingebettete Systeme sind bereits ohne Wissen der Nutzer in Bot-Netzwerke eingebunden und für größere Cyberattacken auf Internetservern benutzt worden. Die immer stärker werdende Nutzung des IoT und die fortschreitende Digitalisierung bieten leider auch zunehmend Schwachstellen für Cyberattacken. In diesem Artikel wird die Problematik erläutert und es werden Lösungsmöglichkeiten aufgezeigt. Die Problematik Als im November vergangenen Jahres der geschäftsführende Bundesinnenminister Thomas de Maizière und der Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm in Berlin den BSI-Lagebericht zur IT-Sicherheit in Deutschland vorstellten, waren Meltdown und Spectre nur Insidern bekannt und Intel-Chef Krzanich noch im Besitz seines gesamten Aktienoptionspakets. Insofern konzentriert sich der BSI-Bericht nahezu vollständig auf die klassischen Themen aus den Vorjahren (Gefährdungslagen, Maßnahmen des BSI usw.). Dabei kommen teilweise ältere und hinreichend bekannte Vorfälle zu Sprache. Aber es wird in dem Dokument auch explizit auf die Gefahren und Schwachstellen hingewiesen, die sich durch das Internet der Dinge, die fortschreitende Digitalisierung und durch Angriffe auf industrielle Steuerungsanlagen ergeben. Unzählige vernetzte Mikrorechnersysteme haben nach wie vor werksseitig eingestellte Standardpasswörter, die man teilweise sogar in den per Internet zugänglichen Bedienungsanleitungen findet. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die Spektakuläre Cyberangriffe auf einzelne IoT-Lösungen wurden in den vergangenen Monaten nicht beobachtet. Obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Smart-Home- und Smart-Factory- Lösungen mit bemerkenswertem Tempo zunimmt und sogar neue IoT-Funkstandards zum Einsatz kommen, sind bis zum gegenwärtigen Zeitpunkt keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf die Komponenten und Infrastrukturen identifizierbar. Smart-Home-IoT-Lösungen waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis staatliche Cyberkrieger oder Cyberkriminelle entsprechende „Geschäftsmodelle“ gefunden haben, um auch im IoT-Segment aktiv zu werden. Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzten IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein fast 700 % größeres Botnet aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten 60 PC & Industrie 3/<strong>2018</strong>
Sicherheit Bild 1: Die Integration eines Mikrorechnersystems in ein Botnet erfolgt in drei Schritten. 1. Einzelne eingebettete Systeme werden von den Angreifern mit einem Schadcode ausgestattet, um sie von einem zentralen Server aus fernzusteuern. 2. Aufsetzen eines Command-and-Control- (C&C-) Servers irgendwo im Internet. Von diesem Rechner aus werden die Bots als Orchester ferngesteuert. 3. Das eigentliche Angriffsziel: Ein beliebiger Server im Internet, der dann durch Überlastung für andere Benutzer nicht mehr erreichbar ist ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter (hard-coded Passwords) als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden. Bei einer für 2020 prognostizierten Anzahl von über 20 Milliarden direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollten wir das IoT-Botnet- Wachstum sehr ernst nehmen. Die meisten dieser ca. 20 Milliarden IoT- Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten haben, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastrukturkomponenten oder Services zu missbrauchen. Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps – zum Beispiel für Wearables – mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheits- Updates zur Verfügung stehen. Es ist daher davon auszugehen, dass wir bis 2020 noch den ersten Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit zig-Millionen einzelnen eingebetteten Rechnersystemen und Smartphones erleben werden. Die Auswirkungen einer solchen Attacke könnten durch die fortschreitende Digitalisierung sehr dramatisch ausfallen und Folgeschäden verursachen, die sich im Moment noch nicht einmal ansatzweise abschätzen lassen. Angriffe bleiben bisher unbemerkt Es ist aus technischer Sicht eigentlich unverständlich, warum beispielsweise die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass über den Internetzugang eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Es ist sogar sehr wahrscheinlich, dass auch unzählige andere Systeme nahezu identische Schwachstellen aufweisen, weil „Security by Design“ noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte bereits eine simple Software- Change-Meldung an einen zentralen Maintenance-Server oder ein Logging-Server-Eintrag im Internet ausgereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen. Dafür muss die Firmware des Mikrorechners im Router oder ein zentraler Logging- Server lediglich automatisch erkennen, dass eine „unbekannte“ Software installiert oder gestartet wurde. Für ein Embedded Linux wäre eine solch einfache Root-of-Trust-Erkennung mit relativ wenig zusätzlichen Codezeilen realisierbar. Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle haben, unbedingt auch eine zeitgemäße Vor-Ort-Software-Update- Möglichkeit aufweisen. Besonders einfach ist ein Update wenn – wie bei einem Router – eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen. Zukunftssichere IoT-Produkte Grundsätzlich sollten alle IoT-Baugruppen und Systeme sowie die dazugehörenden Apps mit Sicherheitserweiterungen ausgestattet sein, die dem jeweiligen Stand der Technik entsprechen. Da sich dieser Zustand laufend verändert, müssen unbedingt geeignete Update- Prozesse (zum Beispiel DevOps) existieren, um beim Bekanntwerden neuer Schwachstellen – wie Meltdown und Spectre – zumindest auf der Softwareebene reagieren zu können. Insofern sollten betroffene Entwickler auch mit Blick auf zukünftige Gefahren schnellstens aktiv werden. Gibt man bei Google „IoT Security“ als Suchbegriff ein, erhält man über 10 Millionen Treffer. Da wären zunächst einmal zahlreiche Unternehmen mit bezahlter Werbung, die entsprechende Dienstleistungen anbieten und zur ersten Kontaktaufnahme ein Whitepaper zuschicken Bild 2: Besonders die unzähligen „Sensor-to-Cloud“-IoT-Anwendungen dürften in Zukunft ein attraktives Ziel für Cyberangreifer bilden. Zum einen bietet die Systemarchitektur vielfältige Möglichkeiten für verschiedene Angriffsvektoren. Zum anderen sind durch fest vereinbarte Schlüssel (Pre-Shared Keys), in die Firmware einprogrammierte Zugriffsberechtigungen zum Gateway bzw. zur Cloud und fehlende Update- Möglichkeiten nahezu keine zeitgemäßen Schutzmaßnahmen gegeben PC & Industrie 3/<strong>2018</strong> 61
Seite 1 und 2:
März 3/2018 Jg. 22 Smarte Boards f
Seite 3 und 4:
Embedded-Systeme erobern neue Markt
Seite 5 und 6:
Industrielle Künstliche Intelligen
Seite 7 und 8:
Aktuelles man keine Prozesse, die d
Seite 9 und 10: Kontron - An S&T Company INDUSTRIE
Seite 11 und 12: Aktuelles Gehäuse- und Systemappli
Seite 13 und 14: Aktuelles produktionen. In der Summ
Seite 15 und 16: Der Rahmen für Ihr Meisterwerk Ele
Seite 17 und 18: Security-Whitepaper veröffentlicht
Seite 19 und 20: IoT Bild 3: Kombatibilität ist der
Seite 21 und 22: IoT Dokumentation bei der Anlagenwa
Seite 23 und 24: Produktionslogistik geeigneten Masc
Seite 25 und 26: Kommunikation IIoT-Gateway und Embe
Seite 27 und 28: Kommunikation IIoT-Gateway unterst
Seite 29 und 30: Kommunikation Sensor-2-Information
Seite 31 und 32: EtherCAT-P für eine kompakte und k
Seite 33 und 34: Kommunikation Kompakte, robuste IoT
Seite 35 und 36: Kommunikation BGMs von Silicon Labs
Seite 37 und 38: Kommunikation Industrielles Cloud-G
Seite 39 und 40: Messtechnik Magnetfeldscanner mit L
Seite 41 und 42: Messtechnik 4-GHz-Protokollanalysat
Seite 43 und 44: Analoge PCIe-Messkarte mit bis zu 2
Seite 45 und 46: Sensoren Basic Measuring Circuit: T
Seite 47 und 48: Kleinster ICP-Triax-Beschleunigungs
Seite 49 und 50: Sensoren Regelung niedriger Druck-
Seite 51 und 52: Bedienen und Visualisieren Portfoli
Seite 53 und 54: Bedienen und Visualisieren Full-HD
Seite 55 und 56: Bildverarbeitung 18 neue USB 3.1 Ei
Seite 57 und 58: Bildverarbeitung verbaut sein. Zum
Seite 59: Bildverarbeitung Exklusiv-Kooperati
Seite 63 und 64: Sicherheit Steuerfunktionen an Schu
Seite 65 und 66: AutomationML macht es möglich! Die
Seite 67 und 68: Software/Tools/Kits Fehlersituation
Seite 69 und 70: Stromversorgung Vier neue DC/DC-Wan
Seite 71 und 72: Neues PS/2-ATX-Flaggschiff vorgeste
Seite 73 und 74: Elektromechanik Aktuelle Kühllösu
Seite 75 und 76: Elektromechanik Kompakt-Verteiler f
Seite 77 und 78: Bauelemente Power Management-IC fü
Seite 79 und 80: Automatisierung Sichere Automatisie
Seite 81 und 82: Systemerweiterung Vipa Micro PLC -
Seite 83 und 84: Formfaktor, UTX. . . . . . . . . .
Seite 85 und 86: Anwendungssoftware, Motion Control
Seite 87 und 88: PASStec GmbH . . . . . . . . . . .
Seite 89 und 90: ICO Innovative Computer GmbH . . .
Seite 91 und 92: WIBOND Informationssysteme . . . .
Seite 93 und 94: mikrolab GmbH . . . . . . . . . . .
Seite 95 und 96: SE Spezial-Electronic GmbH. . . . .
Seite 97 und 98: Fortec Elektronik AG . . . . . . .
Seite 99 und 100: ICO Innovative Computer GmbH . . .
Seite 101 und 102: POHL Electronic GmbH. . . . . . . .
Seite 103 und 104: PLUG-IN Electronic GmbH . . . . . .
Seite 105 und 106: INCOstartec GmbH . . . . . . . . .
Seite 107 und 108: Pyramid Computer GmbH . . . . . . .
Seite 109 und 110: HACKER - Datentechnik . . . . . . .
Seite 111 und 112:
Pentair Technical Solutions GmbH .
Seite 113 und 114:
TL Electronic GmbH. . . . . . . . .
Seite 115 und 116:
Komplettsysteme, Fernwarten Aaronn
Seite 117 und 118:
MPL AG . . . . . . . . . . . . . .
Seite 119 und 120:
Einkaufsführer Embedded Systeme 20
Seite 121 und 122:
Addi-Data GmbH . . . . . . . . . .
Seite 123 und 124:
Karl Kruse GmbH & Co. KG. . . . . .
Seite 125 und 126:
Yamaichi Electronics Dtl. GmbH . .
Seite 127 und 128:
BEG Bürkle GmbH & Co. KG. . . . .
Seite 129 und 130:
ABS GmbH. . . . . . . . . . . . . .
Seite 131 und 132:
Tenasys Europe GmbH . . . . . . . .
Seite 133 und 134:
Wer vertritt wen? 2J Antenna Rutron
Seite 135 und 136:
Evans Capacitor, USA KAMAKA Vertrie
Seite 137 und 138:
Ortus Technology Co. Ltd., J SE Spe
Seite 139 und 140:
Firmenverzeichnis 3S-Smart Software
Seite 141 und 142:
D congatec AG Auwiesenstr. 5, 94469
Seite 143 und 144:
info@expresslogic.de, www.expressLo
Seite 145 und 146:
Inperio Systems GmbH Gewerbering 6,
Seite 147 und 148:
N.A.T. GmbH Konrad-Zuse-Platz 9, 53
Seite 149 und 150:
SSV Software Systems GmbH Dünenweg
Seite 151 und 152:
SBC/Boards/Module Embedded Systeme
Seite 153 und 154:
SBC/Boards/Module sowie einem Embed
Seite 155 und 156:
Vielseitig einsetzbar, leistungssta
Seite 157 und 158:
SBC/Boards/Module Video-Rekorder-Bo
Seite 159 und 160:
SBC/Boards/Module Pico-ITX Embedded
Seite 161 und 162:
Industrie-PCs/Embedded Systeme wend
Seite 163 und 164:
Industrie-PCs/Embedded Systeme von
Seite 165 und 166:
Industrie-PCs/Embedded Systeme 10 Z
Seite 167 und 168:
Industrie-PCs/Embedded Systeme Bild
Seite 169 und 170:
Industrie-PCs/Embedded Systeme Kom
Seite 171 und 172:
Industrie-PCs/Embedded Systeme Füh
Seite 173 und 174:
Industrie-PCs/Embedded Systeme ber
Seite 175 und 176:
Industrie-PCs/Embedded Systeme Apol
Seite 177 und 178:
Industrie-PCs/Embedded Systeme Neue
Seite 179 und 180:
Industrie-PCs/Embedded Systeme Edge
Seite 181 und 182:
Industrie-PCs/Embedded Systeme Komp
Seite 183 und 184:
Die Zwei-Hand-Sicherheits-Steuerung
Seite 185 und 186:
Mehr Flexibilität und höhere Prod
Seite 187 und 188:
ROTEC t e c h n o l o g y A FORTEC
Alle anzeigen

3-2018

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?