Vernetzung Wege zur Sicherheit im Internet der Dinge

Autor / Redakteur: Franz Graser / Nico Litzel

Kommt der Hacker bald aus dem Kühlschrank oder aus dem smarten Thermostat? Experten plädieren für ein Umdenken in der Systementwicklung.

Firma zum Thema

Fernziel Internet of Things: Erfahrungen zum Bau sicherer und robuster Systeme, die im Embedded-Bereich gemacht werden, müssen in die allgemeine IT einfließen.
Fernziel Internet of Things: Erfahrungen zum Bau sicherer und robuster Systeme, die im Embedded-Bereich gemacht werden, müssen in die allgemeine IT einfließen.
(Bildcollage: Gleam/iconimage (Fotolia))

Es ist ein ungewöhnlicher Ort, an dem ich David Kleidermacher treffe: Seit Jahren kenne ich ihn als Cheftechnologen des Embedded-Software-Herstellers Green Hills Software. Diesmal – es steht wieder einmal die Embedded World in Nürnberg an – setzt er sich am Stand von QNX zu mir.

Erst beim Blick auf die Visitenkarte fällt der Groschen: Kleidermacher ist jetzt Chief Security Officer des Mobilgeräte- und Cloud-Spezialisten BlackBerry, zu dem QNX gehört.

Es ist eine Überraschung. Aber David Kleidermacher ist ein Mann mit einer Mission. Durch die Entwicklungen bei Green Hills Software hat er die Embedded-Welt mitgeprägt. Das Buch „Embedded Systems Security“ über Methoden zum Bau robuster und zuverlässiger Systeme, das er zusammen mit seinem Vater Mike geschrieben hat, ist ein Standardwerk [1].

Jetzt also ist die Cloud an der Reihe. Das ergibt Sinn: Im Internet der Dinge finden eingebettete Systeme und Cloud-Dienste zusammen, erst im Zusammenspiel der Geräte am Rande des Netzes und den Services im Zentrum ergeben sich die potenziellen Mehrwerte.

2014 wurden 117.000 Cyber-Attacken registriert. Pro Tag.

Denn bei allem Hype um das Internet der Dinge und die Industrie 4.0, die neue Wirtschaftswunder verspricht, wird ein Problem meist ausgeklammert: Wie steht es mit der Sicherheit der Daten, die von den Geräten am Rand des Netzes gesammelt und von den Big-Data-Diensten verarbeitet werden?

Nicht gut. Denn Frank Melber, der beim TÜV Rheinland das Business Development im Bereich IT-Sicherheit leitet, sagt: „Ist eine Kaffeemaschine oder eine Glühbirne internetfähig, dann handelt es sich faktisch um einen Computer, der Kaffee kocht oder den Raum beleuchtet. Ein Computer, der am Netz hängt, ist immer ein potenzielles Ziel für Cyber-Angriffe. Die Kernfrage im Zusammenhang mit dem Internet der Dinge ist: Sind sich die Hersteller der Internet-fähigen Geräte der Tatsache bewusst, dass sie es Angreifern ermöglichen, weitere Schäden zu verursachen, deren Kanäle noch schwierig zu detektieren sind und die derzeit bekannten Bedrohungsszenarien noch überschreiten können?“

Potenzielle Einfallstore für Datendiebe: Smarte Fernsehgeräte und intelligente Kühlschränke, die mit dem Internet verbunden sind, verfügen in der Regel nicht über Schutzmechanismen gegen Angreifer. Zudem werden sie in aller Regel nicht mit aktuellen Sicherheits-Updates versorgt.
Potenzielle Einfallstore für Datendiebe: Smarte Fernsehgeräte und intelligente Kühlschränke, die mit dem Internet verbunden sind, verfügen in der Regel nicht über Schutzmechanismen gegen Angreifer. Zudem werden sie in aller Regel nicht mit aktuellen Sicherheits-Updates versorgt.
( © chesky - Fotolia)

Dazu ein paar Zahlen: Im vergangenen Jahr wurden laut Pricewaterhouse Coopers weltweit rund 43 Millionen Cyber-Attacken registriert – ein neuer Höchststand. Das sind 117.000 Angriffe pro Tag. „Angriffswerkzeuge, die bisher von Staaten eingesetzt wurden, sind heute für jedermann im Internet frei zugänglich“, sagt TÜV-Experte Melber.

Für David Kleidermacher steht fest: Vernetzte Embedded-Geräte und Cloud-Services sind im Kontext des IoT jeweils zwei Seiten derselben Münze: „Damit das Internet der Dinge funktioniert, muss das Gerät selbst Teil einer größeren Geschichte sein. Man braucht Datensicherheit und die Fähigkeit, vom Gerät bis hinauf zur Cloud zu skalieren. Es ist außerdem wichtig, eine Ende-zu-Ende-Lösung anzubieten, die sowohl die Datenanalyse als auch eine robuste Cloud-Lösung einschließt, die überall auf der Welt laufen und unglaubliche Informationsmengen verarbeiten kann.“

Wie man sichere und zuverlässige Embedded-Systeme baut, weiß der jetzige Security-Chef von BlackBerry. Unter seiner Mitarbeit entstand bei Green Hills mit Integrity-178B das bisher einzige Echtzeitbetriebssystem, das nach dem Common-Criteria-Katalog den Evaluation Assurance Level 6+ aufweist.

Klare Prinzipien für sichere IoT-Systeme

Außerdem hat Kleidermacher mit dem PHASE-Modell (PHASE steht für Principle of High Assurance Security Engineering) fünf Prinzipien für die Entwicklung robuster und sicherer Lösungen definiert. Diese Kriterien passen quasi auf einen Bierdeckel: Minimale Implementierung, komponentenbasierte Architektur, das Principle of Least Privilege (Softwareprozesse und -module sollten lediglich Zugriffe auf die Systemressourcen erhalten, die sie für ihre Aufgabe tatsächlich benötigen), ein sicherer Entwicklungsprozess und Validierung durch externe Experten sind die Grundlagen sicherer Systeme.

Die Grundsätze sollen aber nicht nur den Entwicklern klar sein. Kleidermacher fordert, dass diese Prinzipien im ganzen Unternehmen verstanden und vom Vorstandschef abwärts von der gesamten Belegschaft umgesetzt werden: „Man muss diese Prinzipien auf alles anwenden, was man tut – darauf, wie man den Quellcode verwaltet und das Netzwerk managt, wie man den Zugang zum Computerraum regelt – und auch auf den Prozess für die Softwareentwicklung.“

Mikrokernel als Plattform zur Virtualisierung

David Kleidermacher: Der langjährige Cheftechnologe des Embedded-Spezialisten Green Hills Software ist nun Chief Security Officer beim Mobilfunk- und Cloud-Anbieter BlackBerry. Seine Erfahrungen aus dem Embedded-Umfeld bringt er nun ins Internet der Dinge ein.
David Kleidermacher: Der langjährige Cheftechnologe des Embedded-Spezialisten Green Hills Software ist nun Chief Security Officer beim Mobilfunk- und Cloud-Anbieter BlackBerry. Seine Erfahrungen aus dem Embedded-Umfeld bringt er nun ins Internet der Dinge ein.
(Bild: Frank Boxler/Messe Nürnberg)

Natürlich lesen sich die fünf PHASE-Prinzipien einfacher, als sie sich umsetzen lassen. Das Aufbrechen von Software in Komponenten sei zum Beispiel zeitaufwendig und kostenträchtig, „aber es muss gemacht werden“, insistiert Kleidermacher. Am besten sei es, wenn genau eine Person für genau eine Komponente verantwortlich ist.

Dadurch sei gewährleistet, dass der Code der betreffenden Komponente überschaubar bleibe. Das gegenteilige Extrem sieht Kleidermacher dagegen als Horrorvorstellung an: „Wenn 50 Personen an einer Komponente arbeiten, ist keiner verantwortlich. Das kann nicht klappen.“

Diese Grundsätze gilt es nun auf die große IT, also auf Unternehmenslösungen und Cloud-Dienste zu übertragen. BlackBerry, so Kleidermacher, habe hier gegenüber anderen Konkurrenten den Vorteil, dass es bereits von einer tiefgreifenden Sicherheitskultur durchdrungen ist: „Wenn Leute 15 Varianten des Spiels Angry Birds auf ihr Smartphone laden, dann besteht eine reelle Chance, dass sie sich mit Malware infizieren. Wenn man aber Angry Birds in einem abgeteilten Bereich [des Smartphones] spielt und der geschäftliche Bereich davon komplett getrennt und isoliert ist, dann spielt das keine Rolle. BlackBerry war das erste Unternehmen, das dies verstanden hat.“

Diese Aufteilung der Gerätesoftware in geschäfts- oder sicherheitskritische und allgemein zugängliche Bereiche spielt aus Sicht von David Kleidermacher eine nicht zu unterschätzende Rolle im Internet der Dinge. Virtualisierungstechniken, bei denen Echtzeitbetriebssysteme als Hypervisor-Plattformen dienen und Anwendungsbereiche gegeneinander isolieren, werden an Bedeutung zunehmen. Insbesondere Betriebssysteme, die auf Mikrokerneln basieren, dürften sich für solche Plattformen gut eignen, meint Kleidermacher.

Momentan seien Controller etwa der Cortex-M-Klasse noch nicht in der Lage, solche Systeme zu beherbergen, aber das werde sich in absehbarer Zeit ändern. „Chipsätze, auf denen Mikrokernel laufen können, werden immer preiswerter. Natürlich wird es immer winzig kleine Sensoren geben, auf denen das nicht möglich ist. Aber die Mikrokernel werden immer breiter anwendbar, der Trend geht in die richtige Richtung.“

Over-the-Air-Updates sind zentrales Qualitätsmerkmal

Ein weiteres wichtiges Kriterium für sichere Systeme im IoT ist die Fähigkeit, die mit dem Netz verknüpften Geräte „over the air“ (OTA) mit Software-Aktualisierungen zu versorgen. TÜV-Experte Frank Melber kritisiert, dass die wenigsten internet-fähigen Geräte mit regelmäßigen Sicherheits-Updates auf den neuesten Stand der Firmware gebracht werden.

Auch in diesem Bereich sieht David Kleidermacher einen Erfahrungsvorsprung für seine neue Firma: „Wer sonst hat eine Lösung für Over-the-Air-Updates, die gegen Millionen Geräte im Feld getestet wurde und die all die unterschiedlichen Softwareversionen verwalten kann? Es gibt eine Menge harter Probleme bei OTA, und BlackBerry hat sie bereits gelöst.“

Dieser Text ist ursprünglich bei unserem Schwesterportal Elektronikpraxis erschienen. Verantwortlicher Redakteur: Franz Graser

Literaturhinweise:

[1] David und Mike Kleidermacher: Embedded Systems Security. Practical Methods for Safe and Secure Software and Systems Development. Elsevier 2012

(ID:43383686)