Wie eine Studie des Branchenverbandes gfu ermittelt hat, ist in Deutschland mittlerweile mehr als jeder zweite Fernseher ein smartes Gerät mit Internet-Anschluss, wobei rund zwei Drittel der TVs auch tatsächlich mit dem Internet verbunden sind. 31 Prozent der Haushalte nutzen die Inhalte aus dem Netz dabei regelmäßig – vom Zugriff auf Mediatheken und Streaming-Diensten bis zum Abhalten von Videokonferenzen oder dem parallelen Austausch auf Social Media-Plattformen. Doch die Vernetzung unserer Fernsehgeräte bringt auch Risiken mit sich, denn anders als herkömmliche Endpunkte sind IoT-Geräte wie Smart-TVs in vielen Fällen schlecht gegen Cyberattacken abgesichert. So wurden in der Vergangenheit immer wieder Vorfälle bekannt, bei welchen Hacker smarte Fernsehgeräte manipuliert haben, um Nutzer auszuspionieren, Virus-Infektionen zu streuen oder wertvolles geistiges Eigentum zu stehlen.

Vorteile von Hybrid-Apps im Smart-TV-Sektor

Einer der einfachsten und direktesten Wege, vernetzte TV-Geräte zu manipulieren, ist dabei der Angriff auf eine der darauf laufenden Applikationen. Und das ist hier leichter als gedacht, da im Smart-TV-Sektor vor allem Hybrid-Applikationen zum Einsatz kommen.

Hybrid-Apps stellen eine Kombination zwischen Nativen Apps und Web-Apps dar und müssen, da sie verschiedene Cross-Plattform gleichzeitig bedienen, nur einmal entwickelt werden. Die hybride Technik ermöglicht es den Entwicklern, die Anwendung bequem in HTML oder JavaScript zu erstellen und sie dann in eine andere Anwendungsebene zu verpacken. Die App wird also als ein Basiscode entwickelt, der dann einfach zwischen verschiedenen Plattformen portiert werden kann. Für die Portierung von Apps auf smarte TV-Geräte sind hybride Anwendungen deshalb die erste Wahl und auch im Gaming- und Streaming-Bereich stehen sie hoch im Kurs.

Doch so praktisch hybride Anwendungen gerade im IoT-Umfeld auch sind, so risikobehaftet sind sie auch, denn im Vergleich zu herkömmlichen mobilen Anwendungen sind sie deutlich anfälliger für Cyberangriffe. Dies liegt vor allem daran, dass JavaScript und HTML typischerweise weniger Geschick beim Reverse Engineering und der Modifikation von Codes erfordern als der native Binärcode, der in herkömmlichen Apps verwendet wird. Und da die Hybrid-App über einen Webbrowser und nicht über die Anwendung selbst ausgeführt wird, ist es für Angreifer auch deutlich einfacher, ferngesteuerte Man-in-the-Middle-Angriffe durchzuführen, bei denen Daten während der Übertragung abgefangen werden.

Das droht Smart-TV- Endnutzern und Content-Anbietern

Greifen Hacker Apps an, haben sie es in vielen Fällen vor allem auf das Abgreifen von gespeicherten Berechtigungsnachweisen wie Passwörter oder Zahlungsinformationen abgesehen, die sie auf dem Schwarzmarkt verkaufen oder für weitere Betrugs- und Phishing-Angriffe verwenden. In dieser Hinsicht sind Smart-TVs glücklicherweise etwas weniger attraktive Ziele, da die meisten Apps, wie z. B. Streaming-Dienste, die sensiblen Zahlungsdaten eher selten gespeichert haben. Nichtsdestotrotz besteht die Gefahr, dass Angreifer nach einem erfolgreichen Hack E-Mails und andere persönliche Informationen des Users auslesen oder sich Zugriff auf den Authentifizierungs-Token verschaffen, der von der App beim Verbinden mit dem Server verwendet wird. Dieser kann für den Diebstahl der Konto-Zugriffsdaten verwendet werden, die im Darknet hoch gehandelt werden.

Weitaus größere Sorgen dürfte den TV-Content-Anbietern aber die stetige Bedrohung durch Piraterie und den Diebstahl geistigen Eigentums bereiten. Denn das Cracken einer Applikation gewährt Angreifern letztlich auch Zugriff auf Digital Rights Management (DRM)-Schlüssel, die eingesetzt werden, um zu verhindern, dass Inhalte illegal kopiert und weitergegeben werden. Wie Untersuchungen von Arxan Technologies ermittelt haben, stehen Filme und Fernsehsendungen bei Raubkopierern besonders hoch im Kurs und der Zugriff auf DRM-Schlüssel für eine Streaming-App ist für Cyberkriminelle so wertvoll und lukrativ wie das Entdecken einer versteckten Goldmine.

So schützt man smarte TVs richtig

Auch wenn hybride Applikationen von Haus aus risikoreicher sind als herkömmliche Anwendungen können Entwickler mit den richtigen Sicherheitslösungen dennoch für ausreichenden Schutz vor Cybermanipulationen und Datendiebstahl sorgen. Der wohl wichtigste Sicherheitsansatz dürfte hier eine Kombination von Obfuscation, d.h. Verschleierungstechniken, mit Laufzeitschutztechniken sein. Verschleierung sorgt dafür, dass ein Softwareprogramm in einen Code umgewandelt wird, welcher schwer zu zerlegen und zu verstehen ist, jedoch die gleiche Funktionalität wie das Original bietet. Die Software bleibt so voll funktionsfähig, ist aber gleichzeitig extrem resistent gegen Reverse-Engineering.

Beim Laufzeitschutz geht es im Wesentlichen darum, ein selbstverteidigendes Anwendungsskript zu erstellen. Dank dem Einfügen von Manipulationsschutz in den Code ist die App ist in der Lage, selbst zu erkennen, ob sie sich im Originalzustand befindet oder manipuliert wurde, etwa durch das Bilden von Prüfsummen bei jedem Hochfahren. Auch kann die App auf diese Weise gefährliche Sandbox-Umgebungen von ungefährlichen Umgebungen, d.h. dem normalen Smart-TV, unterscheiden.

Indem sie sich auf den Schutz von JavaScript als Kernstück ihrer mobilen App konzentrieren, können Entwickler und Anbieter von Smart-TV-Apps auch weiterhin von den Vorteilen hybrider Anwendungen profitieren ohne unnötiges Risiko eingehen zu müssen, Opfer von Piraterie-Angriffen zu werden, oder ihre Kunden der Gefahr des Datendiebstahls auszusetzen.

Gemäß dem Internet of Things Cybersecurity Act 2017 müssen die Anbieter sicherstellen, dass sämtliche IoT-Geräte gepatcht werden können, keine einprogrammierten und nicht änderbaren Passwörter enthalten sowie frei von allen bekannten Sicherheitslücken und Schwachstellen sind.

Der dem US-Senat vorliegende Gesetzesvorschlag stellt einen positiven Schritt in Richtung der dringend benötigten Sicherheitsstandards für vernetzte Geräte dar. Indem die Anbieter dazu verpflichtet werden, alle Sicherheitslücken in ihren Systemen offenzulegen und gleichzeitig zu erklären, warum sie ihr Produkt für sicher halten,  werden die Software-Entwickler dazu gezwungen, dem Thema IoT-Sicherheit noch mehr Aufmerksamkeit zu schenken. Diese Herangehensweise macht letztlich einen Security-by-Design-Ansatz stark, was wesentlich effektiver ist, als im Nachhinein ständig an allen Ecken und Enden nachzurüsten – ein Vorgehen, das für unsere schnelllebige Zeit jedoch typisch ist.

Jetzt bleibt nur zu hoffen, dass Gesetze wie der Internet of Things Cybersecurity Act 2017 auch in allen anderen Ländern und insbesondere in Europa Einzug halten, um den IoT-Markt flächendeckend auf der ganzen Welt sicherer zu machen und grenzenloses Vertrauen zu schaffen. Schon heute kämpfen Organisationen wie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) für eine effektive Sicherheitskultur. Nichtsdestotrotz wäre ein Gesetz, das Anbieter von Rechtswegen her zur Sicherheit verpflichtet, die bestmögliche Sicherheitsmaßnahme überhaupt.

Den Fokus auf primäre Sicherheitsmaßnahmen wie Passwort Management zu richten, ist sicherlich ein guter Ausgangspunkt. Dennoch wäre es hilfreich, wenn zukünftige Gesetze auch tiefgreifendere Sicherheitsmaßnahmen wie etwa Code-Härtung miteinbeziehen würden, um Manipulationen an der Software vernetzter Geräte oder auch Reverse Engineering zu böswilligen Zwecken zu unterbinden. Dabei sollte es keine Rolle spielen, ob die zu schützenden IoT-Devices im Regierungsumfeld eingesetzt werden oder sonst wo.

Zunehmende Verkehrsbelastungen, Umweltverschmutzung, Energieverschwendung, wachsende Müllberge – für viele Probleme unserer heutigen Großstädte hat die intelligente Stadt von morgen eine Antwort: Das Internet der Dinge, d.h. Millionen von vernetzen, digitalisierten und mit Sensoren ausgestatteten Geräten und Infrastrukturen. Von vernetzten Fahrzeugen eines Carsharing-Anbieters, intelligenten Ampelschaltungen, energiesparender Straßenbeleuchtung bis hin zu sensorisierten Mülltonnen oder Bewässerungssystemen in Parks ist alles möglich.

Doch Umweltschonung, Bequemlichkeit und Ressourceneffizienz haben auch eine dunkle Seite. Denn neben der zuverlässigen Speicherung der immensen Datenfluten sowie deren schneller Analyse ist die Anfälligkeit für Cyberangriffe die wohl größte Herausforderung smarter Städte. Hierin sind sich Sicherheitsexperten einig: Die Stadt der Zukunft ist unsicher.

Wenn der Hacker die Ampel manipuliert

Die zentrale Schwachstelle des IoT sind ungeschützte Geräte, die keinen ausreichenden Sicherheitstests unterzogen wurden und daher ohne größeren Aufwand gehackt und mit Malware infiziert werden können. Für viele Anbieter haben bei der Entwicklung von IoT-Geräten nach wie vor Funktionalität und Kundenfreundlichkeit oberste Priorität. Aspekte der Sicherheit und des Datenschutzes werden auch in Zeiten zunehmender Vernetzung weiterhin gerne vernachlässigt – sei es aus Kostengründen, Zeitdruck oder aufgrund begrenzter Rechenleistung.

Was das für vernetzte Städte und Infrastrukturen bedeutet, machte der Security-Experte Cesar Cerrudo bereits 2015 deutlich: Bei Touren durch einige amerikanische Großstädte wie New York , Los Angeles oder San Francisco musste er feststellen, dass die zur Messung der Verkehrsströme in die Straßen eingelassenen Sensoren völlig unverschlüsselt mit den Knotenpunkten für die Ampelsteuerung kommunizierten. Ein gefundenes Fressen für potenzielle Hacker und Cyberkriminelle! Denn diese Sicherheitslücke ermöglicht es Angreifern, die Zugangspunkte anzuzapfen und die Verkehrsdaten so zu manipulieren, dass es zu falschen Ampelschaltungen und daraufhin zu Unfällen, Staus oder weiträumigen Verkehrsbehinderungen kommen könnte. Doch auch in Deutschland sieht es in den vernetzten Städten sicherheitstechnisch nicht immer rosig aus, wie Security-Berater und -tester Felix Lindner bei einem Penetrationstest der Stadtwerke Ettlingen im Jahr 2014 zeigen konnte. In nur 18 Stunden war es ihm damals gelungen, in die Steuerungszentrale des Energieversorgers einzudringen, von wo aus er das Stromnetz der Stadt hätte lahmlegen können.

Sicherheitslücken und Schwachstellen in IoT-Geräten minimieren

Da im Falle eines Cyberangriffs auf eine vernetzte Stadt tausende von Geräten von Manipulationen oder Malware bedroht sind, ist eine gut durchdachte Sicherheitsstrategie unerlässlich. Diese beginnt mit der Identifizierung und Priorisierung der kritischen Infrastruktur. Nur wer potenzielle Angriffspunkte, schadhafte Umgebungen, veraltete Betriebssysteme etc. frühzeitig identifiziert und absichert, kann schlimmere Ausfälle oder Manipulationen verhindern. Den effektivsten Schutz vor Hackerangriffen bietet dabei eine Sicherheitslösung, die bereits in der IoT-Applikation selbst verankert ist. Anstatt einen Zaun um das Gerät und seine Software zu ziehen, müssen die Applikationen bereits nach Abschluss des Entwicklungsprozesses mit effektiven Schutztechnologien wie Obfuscation (Verschleierung) und Whitebox-Kryptographie sowie fortschrittlichen RASP (Runtime Application Self-Protection)-Technologien ausgestattet werden. Derart geschützt sind die Applikationen dann in der Lage, sich selbst zu verteidigen und mit individuell festgelegten Aktionen auf mögliche Angriffe zu reagieren, indem sie etwa den Betreiber der IoT-Geräte darüber informieren, dass die Software modifiziert wurde. Der sensible Binärcode einer Applikation, ihre Kronjuwelen sozusagen, ist dank App-Härtung von Manipulationen sicher.

Smarte Städte sind eine große Chance, vor allem für die rasant wachsenden Metropolen, die mit Bevölkerungswachstum und zunehmender Verkehrsbelastung zu kämpfen zu haben. Sicherheit, Datenschutz und Privatsphäre müssen jedoch bei allen IoT-Innovationen oberste Priorität haben, wenn diese langfristig gewinnbringend sein sollen. Eine wichtige Rolle spielt hierbei natürlich auch die Aufklärung. Das Thema „Sicherheit“ muss in Unternehmen höchste Priorität bekommen.  Anbieter und Verkäufer der IoT-Geräte und -Technologien müssen in Sachen Cybersicherheit viel besser geschult und aufgeklärt sein. Sie müssen den Risiken Raum geben und die Nutzer über mögliche Gefahren informieren.

Fahrlässige Sicherheitslücken in der Software aber auch die immer raffinierteren Angriffsmethoden der Hacker werden dafür sorgen, dass uns auch 2017 keine Erholung zu Teil wird. Folgende Cyber-Bedrohungen und -Trends erwarten uns im nächsten Jahr:

1. IoT-Angriffe bedrohen unsere Finanzen und unser Leben: Dass das Internet der Dinge aus Security-Sicht mit vielen Risiken verbunden ist, wurde auch in diesem Jahr reichlich diskutiert. Das wahre Ausmaß von Angriffen auf IoT-Geräte wird uns aber vermutlich erst im kommenden Jahr vor Augen geführt werden. IoT-Attacken werden dann wahrscheinlich nicht nur große finanzielle Verluste nach sich ziehen, sondern eventuell auch Verletzungen von Leib und Leben verursachen, wenn etwa vernetze Fahrzeuge oder Medizingeräte vom Cyberterrorismus betroffen sind. Während einige der führenden Anbieter auf dem Bereich der IoT-Sicherheit bereits hart daran arbeiten, ihre Geräte und Applikationen vor gefährlichen Manipulationen zu schützen, nimmt der Großteil das Problem leider noch nicht ernst genug. Für sie hält 2017 vielleicht böse Überraschungen bereit. Wollen wir einmal hoffen, dass es bei finanziellen Schäden bleiben wird.

2. Mehr regulatorische Standards: Branchenverbände und Bundesbehörden haben mittlerweile verstanden, dass Mobilgeräte und das IoT die schwächsten Glieder in der kommerziellen wie auch staatlichen Infrastruktur sind. Da herkömmliche Server und Netzwerke mittlerweile angemessen geschützt sind, konzentrieren sich Hacker vor allem auf Mobil- und IoT-Anwendungen, die in vielen Fällen leicht auszunutzende Sicherheitslücken aufweisen. Vom Staat und dem BSI erwarte ich nach der Einführung des IT-Sicherheitsgesetzes 2015 im kommenden Jahr weitere Regularien vor allem im Bereich Mobile und IoT-Sicherheit.

3. Steigendes Sicherheitsrisiko durch Drohnen: Bei modernen Drohnen handelt es sich im Großen und Ganzen auch um Mobil- bzw. IoT-Geräte, da auch sie mit anderen Geräten vernetzt sind und kommunizieren. Der Einsatz von Paketdrohnen in der Logistik, der in diesem Jahr bereits von Amazon getestet wurde, wird 2017 sicherlich weiter ausgebaut werden. Cyberkriminelle können sich somit über weitere Angriffsmöglichkeiten freuen – von Diebstahl der Ware bis zu physischen Attacken.

4. Vielfältige Angriffe auf Einzelhändler: Hauptziel eines jeden Einzelhändlers ist es, mehr Umsätze zu generieren und die Konkurrenz abzuhängen. Mobile und IoT-Applikationen bieten Händlern hier ganz neue und spannende Möglichkeiten, sich von den Mitbewerbern abzusetzen und ihren Kunden ein zeitgemäßes Einkaufserlebnis zu bieten. Doch der Boom bei den Retail-Apps hat auch Schattenseiten: Der Zeitdruck bei der Markteinführung der Applikationen und die starke Fokussierung auf die Kundenfreundlichkeit führen dazu, dass Aspekte der Sicherheit vernachlässigt werden. Hacker sind sich dessen bewusst und wissen diese Sicherheitslücken gezielt für ihre Zwecke auszunutzen. Das werden wir 2017 sicherlich schmerzlich erfahren.

5. Smart-Home-Haushalte begünstigen Malware-Infektionen: Die Zahl der Smart Homes in Deutschland steigt: Immer mehr Privatpersonen nutzen vernetzte Haushaltsgeräte und steuern z.B. ihre Heizung, Geschirrspülmaschine oder Beleuchtung über spezielle Apps auf ihrem Smartphone. Viele der Nutzer gehen jedoch recht unbedarft mit dieser technischen Revolution um und unterschätzen die damit verbunden Sicherheitsrisiken und Bedrohungen. Moderne Malware ist mittlerweile darauf programmiert, Schwachstellen in vernetzten Haushaltsgeräten zu identifizieren und für Ransomware-Angriffe oder andere böswillige Zwecke zu missbrauchen.

IT-Sicherheits-Anbieter erwarten 2017 große Herausforderungen, denn es liegt an ihnen, das Katz-und-Maus-Spiel zwischen Sicherheitsforschern und Cyberkriminellen unter Kontrolle zu bringen und dafür zu sorgen, dass unsere IT so gut es geht vor Manipulationen geschützt ist. Dass dies kein Kinderspiel ist, versteht sich von selbst. Doch wenn wir von den technischen Innovationen rund um das Internet der Dinge langfristig und nachhaltig profitieren wollen, müssen wir in Sachen Security endlich härtere Geschütze auffahren.

Dass die Umsetzung einheitlicher Sicherheitsstandards und adäquater Schutzmaßnahmen bei Milliarden von unterschiedlichen IoT-Geräten und einer exorbitant großen Menge an transferierten Daten eine große Herausforderung bedeutet, versteht sich von selbst. Die größten Gefahren gehen dabei vor allem von vier IoT-typischen Schwachstellen aus, nämlich begrenzter Rechenleistung, unkontrollierten Umgebungen, veralteten Netzwerken und Betriebssystemen sowie mangelnder Sicherheitstechnologie.

Begrenzte Rechenleistung verhindert wirksame Sicherheit

Ausreichend Sicherheit benötigt ausreichend Performance – das dürfte jedem klar sein. Für das Internet der Dinge wird dies aber schnell zum Problem,  denn anders als traditionelle PCs und Mobilgeräte besitzen die meisten IoT-Geräte eine begrenzte Rechenleistung. Dies beeinträchtigt ihre Sicherheit, denn für das Ausführen wirksamer Security-Maßnahmen bleiben so kaum Ressourcen übrig. Man denke etwa an smarte Glühbirnen, die zwar eine IP-Adresse besitzen, deren Rechenlistung aber sehr begrenzt sein dürfte. Viele insbesondere günstigere Geräte sind daher nur mit einem Minimum an Sicherheit ausgestattet und vernachlässigen insbesondere wichtigen Malwareschutz. Die Hacker indes können sich freuen, denn ihnen bieten sich viele neue und vor allem lukrative Angriffsziele.

Hacker profitieren von unkontrollierten Umgebungen

IoT-Devices und Mobilgeräte haben viel gemeinsam. Beide speichern, übermitteln und verarbeiten sensible Kundendaten in unkontrollierten und möglicherweise schadhaften Umgebungen. Die Hersteller mobiler Software können die Verarbeitung sensibler Informationswerte allerdings auf zentralisierte und vertrauenswürdige Server verlegen und so besser schützen. Bei IoT-Geräten sieht die Situation etwas anders aus, denn diese sammeln ihre Informationen typischerweise in der physischen Welt. Selten werden die Daten auf dem Gerät verarbeitet, bevor sie zum Backend-Server geschickt werden. Aufgrund inhärenter Schwachstellen bieten IoT-Geräte Cyberkriminellen daher eine deutlich größere Angriffsfläche als Mobilgeräte.

Überholte Systeme öffnen Cyberkriminellen Tür und Tor

Ein weiteres vermeidbares Sicherheitsrisiko geht von veralteten Netzwerken und Betriebssystemen aus. So erfreut sich Windows XP trotz offiziellem Support-Ende immer noch größter Beliebtheit und ist Untersuchungen zu Folge noch immer das am dritthäufigsten genutzte Betriebssystem. Obwohl das Sicherheitsdesign von XP konzeptionell komplett veraltet ist und z.B. zahlreiche moderne Verschlüsselungsalgorithmen nicht unterstützt werden und die Software zudem regelmäßig von schwerwiegenden Sicherheitslücken betroffen ist, verharren viele Unternehmen – darunter auch Betreiber kritischer Industrie 4.0-Anlagen oder IT-Verantwortliche in großen Kliniken – auf dem Betriebssystem-Grufti.

Innovative Sicherheitstechnologien werden noch immer sparsam eingesetzt

IoT-Geräte können auf vielfältige Weise angegriffen und mit Schadsoftware infiziert werden  – oftmals reichen dafür einfache kostenlose Hacking-Werkzeuge aus dem Internet. Effektive Sicherheitstechnologien, die Angreifer wirksam identifizieren und Manipulationen verhindern können, werden dennoch spärlich eingesetzt. In Sachen effektive IoT-Sicherheit haben Unternehmen und Software-Entwickler noch einiges nachzuholen, denn sie überschätzen in vielen Fällen die Wirksamkeit herkömmlicher Endpoint-Lösungen und verlassen sich auf klassischen Anti-Virus, Firewalls oder aber auch statische Verschlüsselungs- und Verschleierungsprogramme, die in Zeiten des IoTs jedoch längst nicht mehr ausreichend sind. Wer IoT-Anwendungen schützen möchte, muss deshalb auf eine Sicherheitslösung setzen, die in der Software selbst verankert ist, anstatt nur einen Zaun um sie zu bauen. So müssen Software und Applikationen bereits am Ende ihres Entwicklungsprozesses mit Härtungs-Technologien ausgestattet werden, die das Einschleusen von Malware verhindern und Datendiebstahl unterbinden. Zudem muss IoT-Software grundsätzlich so ausgestattete sein, dass sie eine schadhafte Modifikation ihrer Laufzeit jederzeit erkennt und abwehren kann – natürlich ohne dabei die Performance der Anwendung zu beeinträchtigen.

Das Internet der Dinge wird unser Leben nachhaltig verändern. Eine absolute Sicherheit vor Datendiebstahl und Manipulationen wird es dabei nie geben, denn die zunehmende Vernetzung wird zwangsläufig dafür sorgen, dass Unternehmen aber auch Privatpersonen die Kontrolle über ihre Daten verlieren und sie letztlich nicht mehr in Kenntnis darüber sind, wo sich ihre Informationen befinden bzw. wer darauf Zugriff hat. Dennoch müssen Unternehmen und IoT-Entwickler proaktiv dafür sorgen, dass das Herzstück ihrer IoT-Lösungen die Sicherheit und nicht die Innovation ist.

Die traditionsbewusste Automobilbranche stellt die Transformation vom Auto zum „rollenden Computer“ vor ganz neue Herausforderungen: So sieht sie sich nicht nur mit einem starken Wettbewerb konfrontiert, sondern muss auch in Sachen IT-Sicherheit neue Konzepte und Standards einführen. Denn dass vernetzte Fahrzeuge auch immense Risiken bergen, zeigt sich spätestens immer dann, wenn Sicherheitslücken und Hacker ins Spiel kommen. Vor allem im letzten Jahr bestimmten Schlagzeilen über spektakuläre Angriffe von Car-Hackern und gefährliche Manipulationen an unseren Autos die Nachrichten – von der potenziell lebensgefährlichen Fernsteuerung eines Jeeps bis zum Airbag-Hack. Auch wenn diese Hacks allesamt kontrolliert durchgeführt wurden und nicht von realen Cyberkriminellen, so zeigten sich doch in verschiedensten Modellen unterschiedlicher Hersteller signifikante Sicherheitslücken.

Vielfältige Angriffsmöglichkeiten
In einem modernen Fahrzeug sind bereits heute bis zu 100 Mikrocomputer verbaut, die unter anderem Lenkung, Bremsen oder Triebwerksbeschleunigung steuern. Hinzu kommen Infotainment-Systeme und Wi-Fi-Netzwerke für die GPS-Navigation sowie mobile Smartphone-Apps, die mit dem Auto kommunizieren. Cyberkriminellen bieten sich also viele Angriffspunkte, über die sie sich Zugriff zur Software eines Fahrzeugs verschaffen können. Dabei lassen sich grob zwei Angriffsszenarien unterscheiden: Physische Angriffe, bei denen sich der Hacker zunächst Zugang zum Fahrzeug verschafft und direkt am Auto manipulieren kann, z.B. mittels Code-Injection-Techniken, sowie Angriffe aus der Ferne, sogenannte Remote-Angriffe. Hier können Hacker Malware z.B. über Navigationssysteme, mit Bluetooth oder USB verbundenen Devices, SMS-Schnittstellen oder über manipulierte Smartphone-Apps einschleusen und weitere Fahrzeug-Anwendungen infizieren. Bereits vor knapp einem Jahr demonstrierte der Sicherheitsforscher Samy Kamkar, wie er über eine Sicherheitslücke in der beliebten OnStar-App von GM Fahrzeugfunktionen manipulieren kann. Nachdem es ihm gelungen war, sich zwischen die App und den Server des Unternehmens zu schleusen, erlangte er Zugriff auf alle App-Funktionen und konnte anschließend Autotüren fremder Wagen öffnen und sogar den Motor starten. Autodiebstahl 2.0 eben.

Die im Auto verbauten Systeme wandeln sich zudem zunehmend weg von Mikrocontrollern hin zu Mehrprozessorarchitekturen von ARM und Intel mit komplexeren Betriebssystemen, wie wir sie von PCs und mobilen Geräten her kennen. Typische Beispiele sind die in der Head-Unit und der Mittelkonsole verbauten Systeme. Damit werden die bereits zahlreich bekannten Angriffe auch auf diesen Systemen möglich. Hinzu kommt, dass OEMs oder auch die Zulieferindustrie die Software nicht gänzlich selbst schreiben, sondern einen Drittmarkt eröffnen. Sie verteilen Software Development Kits (SDK), um attraktive und bekannte Software auf ihre Plattformen zu bekommen. Und auch diese SDKs bieten potenzielle Angriffsmöglichkeiten.

Sicherheitsbewusstsein auf Seiten der Nutzer – Sicherheitsstandards auf Seiten  der Hersteller
Um Szenarien wie diese zukünftig verhindern zu können, bedarf es gezielter Aufklärungsarbeit, gesteigertem Sicherheitsbewusstsein und moderner Sicherheitstechnologien auf jeder Ebene der Fahrzeug-Technik.  Wie groß die Unwissenheit vieler Autofahrer in Sachen Car-IT ist, zeigt auch die Studie von BearingPoint und TNS. Demnach sind sich 39 Prozent der der Autobesitzer nicht einmal darüber bewusst, dass vernetzte Funktionen in ihren Fahrzeugen vorhanden sind. Und auch auf Seiten der Händler werden Fehler gemacht: So gaben nur 40 Prozent aller Befragten an, über die technischen Funktionen ihres Autos ausreichend informiert worden zu sein. Viele monierten zudem die fehlenden Kenntnisse der Händler in Bezug auf vernetzte Funktionen. Ein großes Risiko, denn nur wer gut über die im Fahrzeug eingebetteten Anwendungen informiert ist, wird auch verfügbare Softwareupdates regelmäßig herunterladen, was im Falle entdeckter Sicherheitslücken unabdingbar ist. Autohersteller müssen ferner darauf achten, dass Softwareaktualisierungen auch jenseits der Werkstatt einfach via Mobilfunknetz ins System überspielt werden können. Denn je geringer der Aufwand für ein Update ist, desto wahrscheinlicher ist es, dass der Fahrzeugnutzer dieses auch zeitnah installiert. Natürlich sind auch hier höchste Sicherheitsmaßnahmen notwendig, damit die Mobilfunkverbindung  keine neue Risikoquelle eröffnet.

Aber auch auf Seiten der Softwareentwickler müssen neue Sicherheitsstandards etabliert werden. Jegliche im Fahrzeug eingebettete Software sowie alle mobilen Apps, die mit dem Auto interagieren müssen mit wirksamen Härtungs-Technologien ausgestattete sein, die den Binärcode der Anwendungen vor jeglichen Manipulationen schützt und das Einschleusen von Malware verhindern. Zudem gilt es sicherzustellen, dass die Anwendungen ausschließlich mit den „richtigen“ Servern kommunizieren.

Wie wahrscheinlich ist ein Angriff auf mein Auto?
So beunruhigt mancher Autofahrer bei all den Schlagzeilen rund um gehackte Autos auch sein mag, bisher haben Cyberkriminelle kein wirkliches Interesse an Autos und ihren Unterhaltungssystemen gezeigt. So hat es bisher keinen öffentlichen Fall eines durch einen Hackerangriff verursachten Unfalls gegeben. Dass Connected Cars noch nicht im Hauptfokus der Hacker liegen, dürfte vor allem dem Mangel finanzieller Anreize geschuldet sein. Das Hacken von PCs und Mobilgeräten, die jede Menge wertvolle Banking- und Kredtitkartendaten enthalten, aber auch Cyber-Angriffe auf vernetzte Industrieanlagen sind deutlich profitabler. Wenngleich auch Fahrzeug-Software eine Reihe von Betrugsmöglichkeiten mit finanziellen Vorteilen bereithält. So entsteht laut einer Untersuchung des ADAC durch manipulierte Tachos jährlich ein Schaden von rund sechs Milliarden Euro. Private Gebrauchtwagenkäufer bezahlten für derart manipulierte Autos im Schnitt 3000 Euro zu viel. Aber auch Ideen wie automatisches Zahlen an Tank- und Elektroladestellen, über die heute bereits nachgedacht wird, dürften das Hackerherz erfreuen. Aus Sicht der Security ergeben sich hier dann dieselben Herausforderungen wie beim mobilen Bezahlen mit Handy und Co.

Ausschließen lassen sich Hackerangriffe auf Fahrzeuge in Zukunft selbstverständlich nicht, wobei wir uns eher vor Datenklau und illegalen Überwachungen fürchten sollten als vor Manipulationen von Bremse und Co. Auch dürften Dienstwägen und Fahrzeugflotten von Unternehmen gefährdeter sein als Privat-Autos.

Die Zukunft fährt autonom
Noch hat die Digitalisierung und Vernetzung unserer Mobilität ihren Höhepunkt nicht erreicht, denn die Zukunft gehört dem autonomen Fahren. Fahrerlose Autos oder LKWs sollen in den kommenden Jahren nicht nur Komfort und Effizienz erhöhen, sondern vor allem für mehr Sicherheit im Straßenverkehr sorgen. Damit dieser Ansatz aber letztlich aufgeht und die gewollte Sicherheit nicht mehr Unsicherheiten mit sich bringt, müssen Automobilhersteller und Technologie-Unternehmen reichlich in den Schutz unserer Car-IT und die dazugehörige die Aufklärungsarbeit investieren.

Die zunehmende Verschmelzung von IT und Automatisierungstechnik und die daraus resultierende intelligente Zusammenarbeit aller am Produktionsprozess beteiligten Komponenten versprechen dem Unternehmen Effizienzsteigerung,  eine Flexibilisierung des Ressourcenmanagements und nicht zuletzt eine Individualisierung der Massenproduktion. Schon heute steht fest: Um dauerhaft wettbewerbsfähig zu bleiben, müssen Unternehmen die Potenziale der Digitalisierung voll ausschöpfen.

Zunehmende Vernetzung bedeutet Gefahrenanstieg

Security-Experten begegnen der Idee der smarten Fabrik indes mit Misstrauen, da sie in Hinblick auf Datenschutz, Schutz des geistigen Eigentums und möglicher Manipulationen der Produktionsanlagen von außen enorme Sicherheitsrisiken mit sich bringt. Tatsache ist, dass ein Großteil der bestehenden Industrieanlagen weder für eine Vernetzung mit dem Internet konzipiert, noch mit einem Fokus auf IT-Sicherheit entwickelt wurde. Während die wertvollen Produktionsmaschinen heute höchsten physischen Schutz durch modernste Überwachungs- und Alarmanlagen genießen, wird die Sicherheit der mindestens ebenso wertvollen Software hingegen sträflich vernachlässigt – mit fatalen Folgen. Unzureichend geschützte Netze, Applikationen und embedded Systeme können für Industrieanlagen zur großen Gefahr werden, denn sie sind Einfallstor für Cyberkriminelle und Hacker. Sind die Angreifer erst einmal in eine Anwendung vorgedrungen, können sie Anlagen, Maschinen und Abläufe nach Belieben manipulieren oder fremdsteuern. Von vereinzelten Störungen innerhalb der Produktionsabläufe bis hin zum kompletten Stillstand, von Stromausfällen, dem Verlust sensibler Unternehmensinformationen bis hin zur Industriespionage – die denkbaren Szenarien für Hackerangriffe auf Industrieanlagen oder kritische Infrastrukturen sind vielfältig.

Wie real diese Gefahren tatsächlich sind, zeigte sich nicht nur 2010, als der Computerwurm Stuxnet eine iranische Urananreicherungsanlage sabotiert hat, sondern auch  im Jahr 2014, als Cyberkriminelle den Hochofen eines deutschen Stahlwerkes manipulieren konnten und ein geregeltes Herunterfahren des Ofens verhindert haben. Auch die Schäden, die Industriespionage und Reverse Engineering nach sich ziehen, können beziffert werden. Wie der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) in seiner aktuellen Studie zur Produktpiraterie ermittelt hat, entstehen Unternehmen in Deutschland durch den illegalen Nachbau von Maschinen und Anlagen jährlich Schäden in Höhe von 7,3 Milliarden Euro. Immerhin 70 Prozent der deutschen Unternehmen sind von illegalen Plagiaten betroffen. Reverse Engineering ist dabei mit 69 Prozent die häufigste Ursache von Plagiaten.

Vernetzte Produktionstechnologie erfordert ein Umdenken in Sachen IT-Security

Wenn Unternehmen von der Idee der Industrie 4.0 dauerhaft profitieren und einen klaren Wettbewerbsvorteil schaffen möchten, müssen sie daher nicht nur in die technische Aufrüstung ihrer Produktionsstätten und die Vernetzung ihrer Standorte investieren, sondern auch bestehende Sicherheitsstandards überdenken und aktualisieren. Traditionelle Sicherheits-Tools zum Schutz vor traditionellen Bedrohungen sind dabei weiterhin unabdingbar, müssen jedoch an die zunehmende Vernetzung angepasst und daher um neue innovative Abwehrmethoden ergänzt werden. Dass klassische Anti-Virus-Lösungen, Firewalls oder statische Verschlüsselungs- und Verschleierungsprogramme keinen ausreichenden Schutz bieten, ist längst bekannt, und doch sind wirksame, in den Programmen und Anwendungen fest verankerte Schutzmaßnahmen eine Ausnahme. Was die Industrie braucht sind Sicherheitslösungen, die die einzelnen Anwendungen und embedded Systeme in ihrem Inneren härten und vor Manipulationen, Reverse Engineering oder dem Einschleusen von Malware schützt. Nur wenn alle im Produktionsablauf beteiligten Applikationen selbst in der Lage sind, Angriffe zu erkennen und diese unabhängig von äußeren Schutzmaßnahmen abzuwehren kann, kann Sicherheit garantiert werden. Dabei sollte allerdings  die Verfügbarkeit aller kritischen Daten und Systeme stets gewährleistet sein. Die Sicherheitslösung darf laufzeitkritische Anwendungen niemals beeinträchtigen. Behindert oder verzögert etwa das Herunterladen eines Sicherheitsupdates einzelne Produktionsabläufe, kann es zu Fehlproduktionen oder Produktionsrückständen kommen.

In einer vernetzen Welt, in der die Digitalisierung rasant voranschreitet und auch in unseren Fabriken immer weiter Einzug hält, werden wir zwangsweise mit einer ständig wachsenden Zahl an Sicherheitslücken konfrontiert, die hin und wieder zu leichten, zunehmend aber auch schwerwiegenden Sicherheitspannen führen werden. Umso wichtiger ist es, dass sich Unternehmen ihrer Verantwortung bewusst sind und umfassende Security-Konzepte entwickeln, die die Sicherheit von Industrieanlagen und ihrer Software gezielt im Blick haben und jegliche Art von Cyberkriminalität adressiert. Nur so kann Industrie 4.0 letztlich erfolgreich funktionieren.