Embedded-Software vor Malware und Angriffen schützen

Sicherheitsdesign für Embedded-Systeme Embedded-Software vor Malware und Angriffen schützen

18.02.2015Autor / Redakteur: Gregory Rudy* / Franz Graser

Ein durchgängiges Sicherheitsdesign für Embedded-Software schützt nicht nur vor Cyber-Attacken, sondern bietet auch wirtschaftliche Vorteile – denn die Folgen eines Systemangriffs sind sehr teuer.

Firmen zum Thema

Green Hills Software, Inc

Green Hills Software GmbH

Ein durchgängiges Sicherheitsdesign für Embedded Systeme kann nicht nur vor Cyberattacken schützen, sondern nach der Implementierung auch wirtschaftliche Vorteile bieten.
(Bild: Green Hills Software)

Da Cyberattacken auf Netzwerke drastisch zunehmen, war der Schutz von Embedded-Systemen noch nie so wichtig. Mit steigender Vernetzung steigt auch die Gefahr von Datenschutzverletzungen, was zum Verlust von geistigem Eigentum (IP; Intellectual Property) und der Zuverlässigkeit führt. Gerade die Zuverlässigkeit ist bei Embedded-Systemen besonders wichtig wenn Endanwender sich darauf verlassen, dass Hardware und Software wie vorgesehen arbeiten soll.

Jüngste Schlagzeilen haben gezeigt, dass sich niemand auf IT-Netzwerke verlassen kann: Einrichtungen sind selbst hinter Firewalls von Unternehmen nicht mehr sicher. Daher ist ein Sicherheitsdesign erforderlich, das die reale Bedrohung durch Angreifer adressiert, nämlich deren unbeschränkten Zugriff auf Schnittstellen.

Sicherheitsdesign betrifft mehrere Abteilungen in einem Unternehmen und muss von der Führungsebene vorgegeben werden. Damit Manager die Qualität ihres Sicherheitsdesigns bewerten können, sollten sie sich die folgenden fünf Fragen stellen:

Frage 1: Verweigert das System nicht authentische Befehle?

Hacker versuchen auf zwei Arten, Zugang zu lokalen Netzwerken zu erlangen: über den Zugriff auf ein Informationssystem, das sich bereits im Netzwerk befindet oder durch Anzapfen der physikalischen Netzwerkverbindung. In jedem Fall können die Angreifer Datenpakete einsehen, die über die Netzwerkverbindung gesendet werden und dann ein Reverse Engineering der Protokolle durchführen, um schädliche Prozesse einzubringen.

Gefährdungen lassen sich vermeiden, wenn zuerst alle Endpunkte identifiziert werden, inklusive der Einrichtung, Kontrollsysteme, Nutzer und jedes anderen IT-Systems, das Daten empfängt. Steuerungssoftware sollte nur dann Befehle senden, wenn eine Authentifizierungskommunikation mit der richtigen Einrichtung stattfindet, und Einrichtungen sollten nur dann Befehle akzeptieren, nachdem der Nutzer authentifiziert wurde.

Durchblick mit Datenbrille: David Kleidermacher, Cheftechnologe des kalifornischen Softwarehauses Green Hills, erläutert seine Gedanken zu sicherem Systemdesign für das Internet der Dinge.

Bild 2: Endpunkte getrennt authentifizieren. Im Fall des in der Presse veröffentlichten Hacker-Angriffs auf netzwerkfähige Infusionspumpen ging die Pumpen-Software davon aus, dass jeder Befehl von einer gültigen Quelle kam. Sicherheitsdesigns sollten nie gültige Nutzer vermuten, nur weil die empfangenen Befehle als richtig erscheinen.
(Bild: Green Hills Software)

Sicherheitslücken treten auf, wenn eine Einrichtung Zugriff auf Ressourcen gewährt, ohne den Endpunkt korrekt zu authentifizieren. Sicherheitsdesigns sollten niemals gültige Nutzer vermuten oder Software steuern, nur weil die empfangenen Befehle als richtig erscheinen.

Ein gutes Beispiel ist der in der Presse veröffentlichte Hacker-Angriff auf netzwerkfähige Infusionspumpen in Krankenhäusern. Die Pumpen-Software ging davon aus, dass jeder empfangene Befehl von einer gültigen Quelle kam. Angreifer erlangten auf diese Weise Zugriff auf die Netzwerkverbindung und rekonstruierten das Protokoll durch Reverse Engineering. Damit wurde die Steuerung ausgetrickst, die dann Befehle aussendete, die möglicherweise tödliche Dosen an den Patienten verabreichen konnte.

(ID:43195263)