Techtalk

Fachthema

Aus Fehlern lernen

Internet, Cloud, IoT, M2M - Alles ist vernetzt. Und damit ist auch alles angreifbar. Embedded Entwickler, die ihre Geräte sicher gegen unberechtigte Zugriffe von von außen machen wollen, können viel vom US Department of Homeland Security lernen.

Andreas Pfeiffer Portrait
von Andreas Pfeiffer

angreifbare IoT Devices

Internet, Cloud, IoT Devices, AI Embedded,  M2M - Alles ist vernetzt. Und damit ist auch alles angreifbar. Durch zwielichtige Gesellen oder auch ohne Vorsatz durch Fehlbedienungen. Embedded Entwickler, die ihre Geräte sicher gegen unberechtigte Zugriffe und Manipulationen von außen machen wollen, können viel vom US Department of Homeland Security lernen. Auf deren Web-Site gibt es eine Liste an aktuellen Meldungen über Sicherheitsprobleme mit Systemen aus dem industriellen Umfeld.

Platinen mit Schloss

Schwachstellen identifizieren

Ich werfe regelmäßig einen Blick auf diese Liste. Ich finde es interessant, welche namhaften Unternehmen ernsthafte Sicherheitsprobleme mit Hard- und Software von bereits ausgelieferten Geräten haben. Nun gut, es gibt keine absolute Sicherheit, und mit ausreichend krimineller Energie können Hacker in jedes System eindringen. Nur beruhigend, wenn viele dieser Firmen Schwachstellen selbständig identifizieren und auf dieser Web-Plattform samt Abhilfemaßnahmen veröffentlichen.

Unwissenheit oder Schlamperei?

Ganz schlimm finde ich es jedoch, wenn ich über grundlegende und allseits bekannte Sicherheitsmaßnahmen lese, die von manchen Herstellern weiterhin einfach nicht berücksichtigt werden. Sei es durch Unwissenheit, Schlamperei oder Ignoranz. Solche Dinge dürften heute nicht mehr passieren. So liest sich die Beschreibung jüngster Entdeckungen eines freundlichen Hackers bei weit verbreiteten Medizingeräten wie ein Beispiel aus dem Lehrbuch was man alles falsch machen kann.

  • Zugriffsports für Servicetechniker waren offen und konnten mit einfachen Port-Scans entdeckt werden.
  • Der Zugriff war nicht durch ein Passwort gesichert.
  • Der Zugriff war über unverschlüsselte Protokolle mittels Telnet möglich und erlaubte ein Eindringen mit hohen Privilegien auf die innerste Systemebene.
  • Passwörter für weitere Zugänge, Rezeptur- und Firmwareupdates wurden fix kodiert und teilweise in Klartext im System abgespeichert.
  • Ältere Versionen von Softwarekomponenten mit bereits bekannten Sicherheitslücken wurden verwendet.
Visualisierung eines Security Schlosses auf Platine

Mir rinnt es kalt über den Rücken, wenn ich mir vorstelle als Patient in einem Krankenhaus an so ein System angeschlossen zu werden. Glücklicherweise wurden diese Lücken rechtzeitig entdeckt und der Hersteller von den Aufsichtsbehörden verdonnert Maßnahmen zu treffen. Und glücklicherweise können Sie als Entwickler von Embedded Systemen mit diesen Veröffentlichungen laufend Ihre eigenen Sicherheitsmaßnahmen prüfen und erweitern.

Werfen Sie doch einfach einmal einen Blick auf https://www.cisa.gov/news-events/cybersecurity-advisories und lernen Sie aus den Fehlern anderer, bevor Sie diese Fehler selbst machen.

passendes Webinar zum Thema?