Gefahr durch Cyberkriminalität droht den Nutzern nicht nur durch Malware, die via Internetbrowser oder Mail, oft in Form von Werbung, verteilt wird. Zur Zielscheibe von Hackern werden vermehrt auch sogenannte Embedded Systems, also Softwarekomponenten, die in einen bestimmten technischen Kontext „eingebettet“ sind. Sie übernehmen meist Überwachungs- und Steuerungsaufgaben und sorgen dafür, dass bestimmte Prozesse automatisiert ablaufen können. Moderne Waschmaschinen beispielsweise verfügen über ein Embedded System, das es erlaubt, den Waschprozess zu einem bestimmten Zeitpunkt in Gang zu setzen. Immer häufiger ist die entsprechende Firmware mit dem Netz verbunden, kann via Email oder über App durch den Nutzer kontrolliert werden oder sendet ihre Daten an den Hersteller zur zentralisierten Auswertung. Das Internet der Dinge macht diese nutzerfreundlicher – und zugleich anfälliger für unbefugte Manipulation.
Massive Sicherheitslücken bei BMW aufgedeckt
Zugegeben, die Waschmaschine im Keller wird kaum Zielscheibe eines Hackerangriffs werden. Der neue BMW in der Garage hingegen scheint da schon lohnenswerter. Der Softwareexperte Dieter Spaar beschäftigte sich im Auftrag des ADAC mit der Frage, welche Daten das Mobilfunkmodem ConnectedDrive, das bereits seit einigen Jahren in BMW-Fahrzeugen im Einsatz ist, an den Automobilhersteller übermittelt. Obwohl das Hauptaugenmerk der Untersuchung nicht auf Sicherheitsaspekten lag, entdeckte der Experte gravierende Mängel. Innerhalb von relativ kurzer Zeit gelang es ihm, das schlecht verschlüsselte Fernentriegelungssystem zu hacken, sodass sich die Fahrzeuge auf seinen Knopfdruck hin öffneten. Die entsprechenden Fehler wurden von BMW mittlerweile korrigiert, dennoch macht die Episode deutlich, wie komplex virtuelle und nonvirtuelle Kriminalität zusammenspielen und via Embedded Systems ganz konkrete Auswirkungen in der Lebenswelt der Endverbraucher haben können.
Auch die Industrie 4.0 ist bedroht
Entwickler für Embedded System Firmware sind auf dem Arbeitsmarkt sehr gefragt, wie die Ergebnisliste der Jobbörse stepstone.de zeigt. Das verwundert nicht, schreitet doch die totale Vernetzung des Alltags mit schnellen Schritten voran. Gleichzeitig werden Embedded Firmware Systems auch in der Industrie immer wichtiger – Maschinen werden vermehrt durch viele kleine Embedded System- Einheiten überwacht und der Produktionsprozess dadurch kontrolliert. Zumeist sind diese Embedded Systems nicht an das Netz angeschlossen – was nicht bedeutet, dass sie sicher wären. Oft nehmen Angreifer die Hintertür, indem sie die Attacke bereits beim Zulieferer, beispielsweise einem hochspezialisierten Ingenieurbüro, das nur ungenügend geschützt ist, starten. Schädliche Malware wird dann vom Zulieferer einzelner Maschinenteile ins System getragen. Aus diesem Grund ist es von zentraler Bedeutung, dass die Embedded System Branche sich intensiv der Sicherheitsfrage widmet.
Sicherheitsproblem im Bereich Embedded Systems erkannt
Das tut sie bereits, ein Umdenken findet statt. Auf dem 5. Bremer IT-Sicherheitstag am 10. September 2015 können sich Embedded System Entwickler, IT-Sicherheits- und Datenschutzbeauftragte, technische Experten und Entscheidungsträger zu den speziellen Sicherheitsanforderungen im Bereich der Embedded Systems informieren und durch von Experten durchgeführte Fehleranalysen von Vorfällen der Vergangenheit – wie den Sicherheitslücken beim Connected Car von BMW – lernen. Auch das Bundesamt für Sicherheit und Informationstechnik (BSI) und der IT-Branchenverband Bitkom haben bereits auf die jüngsten Entwicklungen reagiert. Zusammen haben sie die Allianz für Cybersicherheit auf die Beine gestellt, wo Firmen freiwillig Angriffe auf ihre Software melden können. Nun plant die Bundesregierung ein Gesetz, das zumindest Angriffe auf kritische Infrastrukturen, die eine großflächige Bedrohung darstellen, sogar meldepflichtig macht. Nur wenn Attacken beobachtet und analysiert werden, können zielgerichtete, effiziente Sicherheitsvorkehrungen getroffen werden.