Zu Besuch auf der embedded world 2013

Sicherheit, Transparenz, Teamwork

Diana Kupfer

Seit Dienstagmorgen findet in Nürnberg die elfte embedded world Exhibition & Conference statt. Drei Tage lang dreht sich im dortigen Messezentrum alles um das Thema Embedded-System-Technologie. Noch bis Donnerstagabend füllen 873 Aussteller und insgesamt über 22 000 Besucher aus aller Welt die großzügigen Ausstellungshallen beim weltweit größten Branchentreff. Parallel finden in den Konferenzräumen des Messezentrums Vorträge zu unterschiedlichen Themenbereichen der eingebetteten Entwicklung statt: von Sicherheitsgrundlagen für eingebettete Software über Embedded Java, Android und Linux bis hin zur Fertigung von Hardwarekomponenten. Schwerpunktthemen sind dieses Jahr u. a. M2M, Embedded-System Design Automation, Android und Automotive Applications. Der größte Akzent liegt allerdings auf dem Thema Sicherheit: Safety und Security.

Was vernetzt ist, ist auch angreifbar. Das kann besonders in Cyber-physischen Systemen, dort also, wo physische Objekten mittels Software gesteuert werden, fatale Folgen haben. Im Internet der Dinge bedeutet „Security“ – Sicherheit vor Angriffen – also auch immer „Safety“ – Sicherheit im Betrieb. Das von vielen Embedded-Herstellern bislang stiefmütterlich behandelte und nicht zuletzt deshalb drängende Thema gab denn auch gleich zu Beginn der Konferenz den Ton an. In seiner Eröffnungsansprache erzählte Prof. Matthias Sturm, Vorsitzender des Fachbeirates der Konferenz, eine Anekdote vom Vorabend: Konferenzsprecher hatten ihm demonstriert, wie leicht sich praktisch jedes beliebige Gerät in einem öffentlichen Raum hacken lässt: „Ich rate Ihnen: Wenn Sie ein Smartphone dabei haben, schalten Sie es ab“, bemerkte er augenzwinkernd.

Think evil – do good

In der anschließenden Eröffnungskeynote „Securing Invisible Things“ demonstrierte Stuart McClure, CEO und President der Cyber-Security-Firma Cylance, Schwachstellen in unterschiedlichen Embedded-Systemen. Sein vorgezogenes Fazit zum Thema war ernüchternd: „Die Industrie hat uns alle im Stich gelassen“. Gravierende Denkfehler in der Herstellung von Produkten, aber auch veraltete Technologien seien verantwortlich für haarsträubende Sicherheitslücken, die sogar ohne profunde Programmierkenntnisse ausgenutzt werden können. Und gehackte Gerätesoftware kann Menschen schaden und sogar töten – man braucht nur medizinische Geräte wie implantierte Insulinpumpen, Defibrillatoren oder Neurostimulatoren zu denken. Was nach einem Cyber-Krimi-Szenario à la Daniel Suarez klingen mag, stellt bereits seit geraumer Zeit eine akute Gefahr dar: Wie McClure in Erinnerung rief, war es 2008 im polnischen Lodz einem 14-Jährigen gelungen, mit einer einfachen Infrarot-Fernbedienung die Weichen von Straßenbahnen zu verändern und damit vier Züge zum Entgleisen zu bringen. Dabei waren zwölf Menschen verletzt worden. Wohlgemerkt: Auch „Smart“ TVs aus dem Hause Samsung – „Smart“ hatte McClure auf seinen Folien bewusst in Anführungszeichen gesetzt – werden mit nicht authentifizierten Infrarot-Fernbedienungen gesteuert. Die sind obendrein mit High-Sensitivity-Funktionalität ausgestattet, so dass ein Angreifer auch noch in 200-300 Metern Entfernung Zugriff auf das Gerät hat. „Legacy-Technologien sind letztendlich die Achillesferse neuer Technologien“, so der Speaker.

Aber auch in Sachen Design müsse ein Umdenken stattfinden. Eines der derzeit größten Mankos ist laut McClure, dass sich Systementwickler zwar brav an Richtlinien halten, aber nicht in Cyberkriminelle hineinversetzen. „Think evil – do good“, riet daher der Speaker: Nur der, der wie ein Hacker denke, könne ein System aufsetzen, das von Anfang an gegen Angriffe resistent ist. Wer hignegen einen Private Key in der Firmware ablege, wie am Beispiel eines Netzwerkverteilers von Ruggedcom demonstriert, brauche sich nicht zu wundern, dass dieser sich mit einem einfachen Perl-Skript extrahieren lasse. Der Status quo sei reine Symptombehandlung, das Ziel sollte Prävention sein, so der Experte.

Abb. 1: Stuart McClure: „Securing Invisible Things“
Geschrieben von
Diana Kupfer
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.