Archiv der Kategorie: IOT – IoT-Security

Sicher verschlüsselt – auch auf dem letzten Meter

In Zeiten von Industrie 4.0 und Industrial Internet of Things (IIOT) setzen Automatisierungslösungen vermehrt auf offene und vernetzte Systemarchitekturen von Standardkomponenten. Angestrebte Produktivitätssteigerungen werden schließlich erst durch den transparenten Zugriff auf die Produktionsdaten möglich. Doch Wartung, Service und gesetzliche Dokumentationspflichten komplexer Systeme können oder sollen oft nicht durch Personal vor Ort geleistet werden – ein Fernzugriff wird notwendig. Die dadurch entstehende Vernetzung funktionaler Einheiten resultiert in gesteigerten Sicherheitsanforderungen. Das gilt nicht nur für räumlich begrenzte Industrieanlagen, sondern ebenso für verteilte Anlagen der Energietechnik.

Wachsende Anforderungen

Vor diesem Hintergrund sind Automatisierungssysteme mehr denn je den „Gefahren“ der IT-Welt ausgesetzt – jede Sicherheitslücke kann fatale folgen für Unternehmen und Mitarbeiter haben. Um dieser Gemengelage Herr zu werden, hat die deutsche Bundesregierung im Sommer letzten Jahres ein IT-Sicherheitsgesetzt verabschiedet, das sich vor allem an die Betreiber kritischer Infrastruktur (KRITIS) richtet. Es schreibt neben regelmäßigen Sicherheitsaudits auch die Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus definieren die IT-Grundschutzkataloge mögliche Szenarien und Schutzmaßnahmen, basierend auf der ISO 27002. Auf diesen bauen wiederum die verschiedenen branchenspezifischen Richtlinien und Empfehlungen auf, die Unternehmen verpflichten, die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Daten zu gewährleisten. Diese Regelungen erhöhen auch die Anforderungen an die Hersteller von Automatisierungstechnik und stellen sie vor neue Herausforderungen.

Ganzheitliche Sicherheit

Um eine sichere Systemarchitektur aufzubauen, gilt es daher, drei verschiedene grundlegende Prinzipien zu beachten. Das „Defense-in-Depth“-Konzept beruht etwa darauf, Sicherheitslösungen zu staffeln oder zu schichten, sodass im Fall der Umgehung einer Schicht eine andere weiterhin Schutz gewährleistet. Durch das „Minimal-Need-To-Know“-Prinzip werden Anwendern und Prozessen nur die maximal erforderlichen Rechte zugewiesen. Das „Redundanzprinzip“ wiederum setzt auf Technologien, die sicherstellen sollen, dass der Ausfall einzelner Komponenten nicht die Sicherheitsfunktionen beeinträchtigt. Auch sollen die Auswirkungen eines uneingeschränkten Anforderns von Systemressourcen minimiert werden. Konkrete technische sowie organisatorische Maßnahmen sind dabei unter anderem die dauerhafte Grundsicherung und Systemhärtung mittels „Patch-Management“ (Update-Fähigkeit) sowie die Langzeitverfügbarkeit der Betriebssysteme. Die Verschlüsselung sensibler Daten (SSL/TLS) bei Speicherung und Übertragung ist ebenso Voraussetzung wie eine entsprechende Netzwerkkonzeption (Segmentierung/Firewall/VPN). Eine sichere Standardkonfiguration und Benutzerauthentifizierung sowie die Vergabe von Benutzerrollen sind ebenfalls Bestandteil des Anforderungskatalogs. Diese Maßnahmen und Prozesse werden typischerweise regelmäßig in Audits überprüft.

Adäquate Lösungen

Bereits heute erfüllt WAGO so alle relevanten Richtlinien im Bereich IT-Security und sogar eine Vielzahl der Vorgaben aus dem BDEW-White-Paper für Anwendungen im Bereich der Energie- und Wasserversorgung, die zur sogenannten „Kritischen Infrastruktur“ (KRITIS) zählen.

Die Controllerfamilie PFC100 & 200 von WAGO tragen diesen Entwicklungen Rechnung. Sie zeichnen sich durch ein plattformübergreifendes Realtime-Linux aus, das als Open-Source-Betriebssystem langzeitverfügbar, skalierbar und updatefähig ist und Tools wie Rsync, Fail2Ban sowie Virenscanner unterstützt. Es können außerdem verschiedene Schnittstellen und Feldbusse wie CANopen, PROFIBUS DP, DeviceNet und Modbus-TCP herstellerunabhängig bedient werden. Natürlich gibt es je nach Einsatz und Risikoanalyse auch unterschiedlich hohe Anforderungen an das Niveau einer Sicherheitslösung. Die WAGO-PFC-Familie ist in jedem Fall für die Umsetzung der aktuell höchsten Sicherheitsanforderungen gemäß ISO 27002 aufgestellt. Sie bietet Onboard-VPN-Funktionalität basierend auf dem sogenannten Strongswan-Package, einer sicheren Kommunikationslösung für Linux®-Betriebssysteme. Darüber hinaus können die Daten bereits im Controller mittels SSL/TLS-1.2-Verschlüsselung (Secure Sockets Layer/Transport Layer Security) verschlüsselt werden. Einen VPN-Tunnel baut dieser dann direkt über IPsec oder OpenVPN auf und überträgt die Daten z. B. in die Cloud. Während IPsec auf Betriebssystemebene bzw. Layer 3 des OSI-Schichtenmodells verschlüsselt, sorgt OpenVPN auf der Anwendungsebene (Layer 5) für Datenintegrität. So entstehen abhör- und manipulationssichere Kommunikationsverbindungen zwischen den Controllern und den Netzzugangspunkten. Auch ein vorgeschalteter VPN-Router ist nicht mehr erforderlich. Bei der Kommunikation mit einem PFC100 oder 200 kann eine verschlüsselte LAN/WAN-Verbindung aufgebaut werden, deren Inhalt nur die beiden Endpunkte verstehen können. Verbindungen werden nur nach erfolgter Authentifizierung aufgebaut. Mit Pre-Shared-Key kommt ein Verschlüsselungsverfahren zum Einsatz, bei dem die Schlüssel vor der Kommunikation beiden Teilnehmern bekannt sein müssen. Dieses Verfahren hat den Vorteil, dass es einfach zu realisieren ist.

Überzeugend vielseitig

Die Controller der PFC-Familie sind darüber hinaus auch als skalierbare Knotenpunkten einsetzbar, die bei bereits bestehenden Automatisierungssystemen nachgerüstet werden können, ohne in den eigentlichen Automatisierungsprozess einzugreifen – die Daten werden parallel abgegriffen und können z. B. per MQTT oder OPC UA in die Cloud gesendet werden. Der Anwender ist auf diese Weise in der Lage, Anlagen adaptiv und vorbeugend zu überwachen. Anlagenbetreiber haben dank Cloud-Fähigkeit die Möglichkeit, stets den Überblick über ihre Produktionsanlagen zu behalten und die Prozesse Schritt für Schritt zu optimieren. Mit geringem Aufwand können so komplexe Prozesse nicht nur erfasst und z. B. per Smartphone oder Tablet visualisiert werden, sondern auch mit Analyseverfahren aus dem Big-Data-Umfeld optimiert werden.

Echter Mehrwert

Um in der entstandenen Datenflut nicht unterzugehen, spielen Data-Analytics-Tools eine entscheidende Rolle. Sie sind mit Hilfe der auf Feldebene erfassten Daten in der Lage, Anlagen- und somit Produktionsausfälle im Sinne einer Predictive Maintenance vorherzusagen, indem sie beispielsweise den Verschleiß bestimmter Maschinenkomponenten berechnen. Kostspielige Anlagenausfälle werden auf diese Weise minimiert. In der Zukunft kann eine solche Anwendung dank Data-Analytics etwa voraussagen, dass ein bestimmtes Teil in der Produktionsanlage in drei Monaten ausgetauscht werden muss. Das übergeordnete Automatisierungssystem erkennt dann, um welches Teil es sich handelt, fragt beim Hersteller die aktuelle Lieferzeit an und bestellt das Ersatzteil voll automatisiert. Besonders in Anwendungsfällen, in denen Anlagen kontinuierlich betrieben werden, besitzt eine solche Entwicklung große Relevanz – etwa in automatisierten Fertigungsstraßen in der Automobilindustrie oder in der Prozess- und Lebensmittelindustrie.

IT-Security neu denken

Ganzheitliche Automatisierungslösungen werden in Zukunft also über Funktionen verfügen müssen, die über bloße Automatisierungsfähigkeiten hinausgehen. Schließlich besteht der Kern des „Industrial Internet of Things“-Gedanken darin, Daten gewinnbringend zu verwerten und einen nachhaltigen Mehrwert für das Unternehmen zu generieren. Wer aber dieses Ziel erreichen möchte, sollte die dazu erforderlichen Maßnahmen mitdenken, die in Sachen IT-Sicherheit getroffen werden müssen. Für den Transport digitaler Daten von der Feldebene in eine Cloud müssen die bestehenden Sicherheitsmechanismen intelligent angewandt werden, nicht zuletzt, wenn Cloud-Anbindungen als Ergänzung zum bestehenden Automatisierungssystem an einem Gros der Schutzmechanismen vorbeikommunizieren, die – ganz im Sinne von „Defense in Depth“-Lösungen – einmal eingerichtet worden sind: wie etwa Zugangskontrollen, Berechtigungskonzepte und Firewalls. Um Schaden vom Unternehmen abzuwenden und Wettbewerbsvorteile zu erlangen, ist es unerlässlich, dass Daten zu jeder Zeit sicher ausgetauscht und verwahrt werden. Dies gelingt zukünftig nur durch ein umfassendes IT-Sicherheitskonzept, das den individuellen Anforderungen des Unternehmens im Sinne eines „Security by Design“-Prinzips entspricht – das gilt sowohl für Prozesse im Unternahmen, als auch in der Produktion.

Schwachstellenscans für Embedded Systems

Schwachstellenscanner werden eingesetzt, um über das Netzwerk Systeme von außen auf Schwachstellen oder Konfigurationsprobleme zu überprüfen. Das ist notwendig, trotz der regelmäßigen Updates und Patches, mit denen erfahrene Administratoren die IT-Infrastruktur grundsätzlich gut im Griff haben. Denn moderne IT-Umgebungen werden zunehmend komplexer, nicht nur aufgrund des Einsatzes von Cloud Computing oder Bring-Your-Own-Device-Modellen, auch wegen der Komponenten, die an die IT-Infrastruktur andocken – von Smartphones und Tablets über Drucker und Telefone bis hin zu beliebig komplexen Industriesteuerungen. Das Internet of Things entsteht. Doch wie findet man seine Schwachstellen? 

Problemfall beim Schwachstellenscan: „die Unantastbaren“

Bei Industriesteuerungssystemen oder auch allgemein Embedded Devices beziehungsweise IoT-Devices können Schwachstellenscanner zusätzlichen Netzwerk-Traffic verursachen und dem Gerät die Kapazitäten für seine eigentliche Aufgabe rauben. Manchmal stürzen die Geräte auch gänzlich ab. Erfahrungsgemäß werden häufig Industriesteuerungslösungen eingesetzt, die von den Herstellern nur ungenügend aktualisiert oder supportet werden. Einige Anbieter drohen damit, den Support einzustellen, wenn der Nutzer selbst Updates und Patches einspielt oder Sicherheitsmaßnahmen wie Schwachstellenscans oder Penetrationstests laufen lässt.

Eine weitere Schwierigkeit kommt hinzu, wenn – wie in vielen Firmen üblich – die Hoheit für Produktionsumgebungen und Produktionsnetzwerke nicht bei der zentralen IT, sondern bei den entsprechenden Fachabteilungen liegt. Die Angst davor, kritische Prozesse mit Schwachstellenscans zu beeinträchtigen, führt häufig dazu, dass solche Umgebungen gänzlich von Schwachstellenscans und Schwachstellen-Management-Prozessen ausgeschlossen werden.

Die Gefahren für solche Umgebungen sind trotzdem real: Schadsoftware und Angreifer, die es erst einmal ins interne Firmennetzwerk geschafft haben, sind von internen Entscheidungsbefugnissen wenig beeindruckt. Der Effekt: Ausgerechnet die kritischen Systeme weisen die meisten Lücken auf und werden als erstes angegriffen.

Eine Lösung: passives Scannen nach Lücken

Eine Lösung oder zumindest eine Linderung der Problematik können sogenannte Passive Schwachstellenscanner darstellen. Eines dieser Produkte ist beispielsweise PVS (Passive Vulnerability Scanner) von Tenable. Beliebig viele PVS Appliances können gezielt an extra eingerichteten Mirror-Ports an den Netzwerk-Knotenpunkten – zum Beispiel am Übergang eines Produktions-VLANs zum restlichen Firmennetzwerk – platziert werden. Dort identifizieren sie gänzlich passiv die eingesetzten Softwareversionen und darin enthaltenen Schwachstellen, in dem sie den Datenstrom analysieren.

Zwar lässt sich mit einem passiven Schwachstellenscan nicht die gleiche Abdeckung oder ein ähnlicher Tiefgang an Informationen wie bei einem aktiven Scan erreichen, trotzdem wird bereits eine Vielzahl an Schwachstellen auf diesem Weg aufgedeckt. Nun kommt der richtigen Interpretation der Ergebnisse und der Koordination der notwendigen Maßnahmen eine besondere Bedeutung zu. Selbst für versierte IT-Experten kann externe Beratung eine wertvolle Unterstützung sein.

Passive Schwachstellenscans sind zudem hilfreich dabei, ein grundsätzliches Verständnis bei den Fachabteilungen für diese IT-Security-Maßnahmen zu entwickeln. Bestenfalls gelingt es, ein unternehmensweites Schwachstellen-Management über klassische IT-Systeme und Embedded Systems hinweg zu etablieren.

Weiteres IoT-Botnet zeugt vom Handlungsbedarf bei IoT-Sicherheit

Dieser Angriff auf das Internet der Dinge ist eigentlich wenig überraschend. Die Hacker haben sich Sicherheitslücken in veralteter, auf Linux basierender Firmware von vernetzten Geräten zunutze gemacht.

Erst im Juni 2016 wurde ein IoT-Botnet der Hackergruppe Lizard Squad aufgedeckt, das genutzt wurde um Distributed-Denial-of-Service (DDoS) Attacken gegen Banken, Telekommunikationsanbieter und Behörden in Brasilien auszuführen. Zu den Betroffenen gehörten außerdem drei große amerikanische Unternehmen aus der Gaming-Branche.

Der Angriff auf Telnet wurde nun als IoT-Trojaner namens Mirai identifiziert: Die Malware hat es auf vernetzte Geräte mit Linux Busybox abgesehen, wie zum Beispiel Video Recorder oder IP-Webcams von verschiedenen Herstellern. Die betroffenen Geräte werden von den Angreifern für DDoS Attacken ausgenutzt. So bilden die Gründer des Botnet und die Nutzer der Malware zusammen ein riesiges Botnet. Botnetze werden letztlich dazu eingesetzt, um Attacken gegen Webseiten durchzuführen. Welche Webseiten betroffen sind, wissen allein die Angreifer. Mirai ist eine Weiterentwicklung eines älteren Trojaners, bekannt unter verschiedenen Namen wie etwa Gafgyt oder Lizkebab. Gafgyt hat in den vergangenen Monaten wohl über eine Million IoT-Geräte befallen.

Geräte im Internet der Dinge sind angreifbar, weil zum Beispiel die voreingestellten Zugangsdaten nicht abgeändert wurden. Leider können Nutzer nicht wissen, ob ihre Geräte betroffen sind. Um sicher zu gehen, dass ein umfassender Schutz des eigenen Netzwerks, der Privatsphäre und der persönlichen Daten gewährleistet ist, sollten sie ihr Passwort im Heimnetzwerk ändern. Darüber hinaus hilft auch der kostenlose IoT Scanner vom IoT-Security-Experten BullGuard, um zu überprüfen, ob vernetzte Geräte Sicherheitslücken aufweisen. Falls solche vom Scanner gefunden werden, erhalten Nutzer detaillierte Hinweise, wie der Schutz wieder hergestellt werden kann.

Grundsätzlich muss niemand beunruhigt sein, wenn er oder sie bei manchen Geräten noch das voreingestellte Passwort nutzt. Es ist eine Sicherheitslücke, die relativ einfach zu schließen ist. Doch es gibt immer noch kritische, nationale Infrastrukturen, wie zum Beispiel Kraftwerke, die mit dem Internet verbunden sind und voreingestellte Passwörter verwenden. Das sollte dann schon beunruhigen!

Ransomware auf dem Vormarsch – Deshalb sind Erpresser-Trojaner so erfolgreich

Hacker – vom Einzelkämpfer zum durchorganisierten Netzwerk

Ein ausschlaggebender Punkt ist sicherlich die zunehmende Professionalisierung der Hacker-Szene. Die Zeiten, in denen Hacker Einzeltäter waren, die in dunklen Hinterzimmern in die Netzwerke ihrer Opfer einzudringen versuchten, sind lange vorbei. Zwar gibt es auch heute noch Täter, die isoliert handeln, die gefährlichsten Hacker sind allerdings Teil eines größeren Netzwerks. Gut ausgebildet, mit hervorragenden Tools sowie ausreichend finanziellen Mitteln ausgestattet, gleichen sie eher einem perfekt durchorganisierten Ameisenschwarm, der wie ein Unternehmen denkt und nichts dem Zufall überlässt.

Genau das macht moderne Cyberkriminalität so gefährlich, denn während der Schaden eines Einzeltäters relativ überschaubar bleiben dürfte, haben große Täter-Netzwerke dank ihres vereinten Know-hows ganz andere Möglichkeiten, Hindernisse zu überwinden und ihre Opfer zu schädigen. Sie kommen nicht nur öfter ans Ziel, sondern können auch deutlich schwerere Schäden anrichten. Kein Wunder also, dass immer mehr Nutzer aber vor allem Unternehmen Opfer von Ransomware werden.

Ransomware und das Internet der Dinge

Doch nicht nur die Professionalisierung der Hackerszene begünstigt Ransomware-Angriffe, auch die zunehmende Vernetzung im Zuge des IoT-Trends erhöht das Risiko, Cyber-Erpressern zum Opfer zu fallen.

Stellen Sie sich vor, Sie wachen eines morgens auf und müssen feststellen, dass Sie einem Hacker 300 Euro Lösegeld zahlen müssen, um Ihr Auto zu starten. Was skurril klingt, könnte in naher Zukunft allerdings so passieren, denn in einer Welt, in der immer mehr Alltagsgegenstände – vom Auto über die Glühbirne bis zum Herzschrittmacher – via Internet kommunizieren, eröffnen sich Cyberkriminellen viele neue Angriffsmöglichkeiten. Jedes neue IoT-Device bzw. sein Nutzer stellt letztlich ein weiteres potenzielles Opfer dar.

Und dabei ist die Vielzahl an vernetzten Geräten noch nicht einmal das Hauptproblem in Sachen IoT-Sicherheit. Zu einer riskanten Angelegenheit macht das Internet der Dinge vor allem auch die  fehlende Sicherheitsausstattung. Immerhin verfügen die meisten IoT-Geräte – sei es aus Kostengründen, aufgrund begrenzter Rechenleistung usw. – eher selten über effektive Schutzmaßnahmen. Im Falle von smarten Produktionsanlagen, Connected Cars oder vernetzten Medizingeräten kann ein Ransomware-Angriff so schnell zur wirtschaftlichen oder lebensbedrohlichen Katastrophe werden.

Wenn Sicherheitsbarrieren versagen

Ein weiteres Problem sind schließlich unzureichende Sicherheitstechnologien, denn so versiert und raffiniert viele Cyberkriminelle heute agieren, so schwer tun sich viele Sicherheitsanbieter, auf neue Bedrohungen adäquat zu reagieren. Gerade in Sachen Malware verlassen sich viele Unternehmen immer noch auf traditionelle signaturbasierte Maßnahmen, die bei der Identifizierung hochentwickelter Schadsoftware aber immer öfter versagen.

Sicherheitsforscher sind sich einig: Ransomware-Angriffe werden auch in Zukunft eine vorherrschende Bedrohung für Privatpersonen und insbesondere Unternehmen und Behörden darstellen. Ob die Angreifer ihre virtuelle Geiselnahme allerdings erfolgreich durchführen können, hängt letztlich von den Fähigkeiten der eingesetzten Sicherheitstechnologien ab. Wer weiterhin unbedacht auf herkömmlichen signaturbasierten Endgeräteschutz vertraut, wird schlechte Karten haben, denn zur erfolgreichen Identifikation von hochentwickelter Malware bedarf es letztlich innovativerer Ansätze wie maschinellem Lernen oder dynamischer Echtzeitanalysen, die selbst raffiniert verschleierte Schadsoftware aufspürt und vor der Infizierung blockiert.

Digitaler Selbstschutz: die größte Herausforderung für die Industrie 4.0

Unsere industriellen Computersysteme haben sich in einer geschlossenen Umgebung proprietärer Technologie entwickelt. Während dieser Entwicklung haben Unternehmen jedoch die Verwundbarkeit der jeweiligen Systeme unterschätzt. Mit dem massenhaften Erfassen und Verarbeiten von Daten entlang der Produktionslinie, also sogenannten Big Data-Technologien, lassen sich zwar die Produktionskosten senken, doch mit dem Aufkommen vernetzter Maschinen nimmt auch das Risiko, Opfer einer Cyberattacke zu werden, exponentiell zu.

Keine „uneinnehmbaren Festungen“ mehr

Die gesamte Entwicklung führt zwar zu einer höheren Wettbewerbsfähigkeit, sie bedeutet für Produktionsstätten aber auch, dass standardisierte Protokolle verwendet werden müssen. Dadurch sind diese Produktionsstätten den gleichen Gefahren ausgesetzt wie andere digitale Geschäftsfelder. Eine Cyberattacke in einem kritischen Bereich, etwa durch einen ungeschützten Zugangspunkt, inkonsequente Netzwerksegmentierung oder menschliche Fehler, können schlimme Folgen haben und enorme Umsatzeinbußen bedeuten.

Methoden müssen den heterogenen Prozessen angepasst werden

Die Sicherheit von vernetzten Produktionsstätten zu gewährleisten ist für unsere Industrie eine große Herausforderung, denn ein Sicherheitsdenken scheint bislang nicht Teil ihrer Kultur zu sein. Die Netzwerke in den Produktionsstätten haben sich völlig unabhängig von der IT der Unternehmen entwickelt. Daher gibt es so gut wie keine Berührungspunkte zwischen der IT und den Fertigungsabteilungen oder den Fertigungsmaschinen. Die Industrie der Zukunft basiert allerdings auf der Vernetzung dieser zwei Welten; das führt letztlich aber auch zu einer größeren Anfälligkeit gegenüber Cyberattacken.

Es wird also notwendig sein, in der Fertigung die gleichen IT-Sicherheitssysteme zu installieren, die auch in anderen Geschäftsbereichen genutzt werden. Dabei sind vor allem zwei spezifische Gesichtspunkte der Fertigungsumgebung zu beachten:

–    Die Lebensdauer von Werkzeugen in der Industrie ist sehr viel höher, als das in digitalen Umgebungen üblich ist. Das bedeutet, dass es möglich sein muss, Computersysteme effektiv zu schützen, auch wenn Microsoft zum Beispiel Windows XP oder Windows 2003 nicht länger unterstützt.
–    Des Weiteren ist zu beachten, dass diese Cybersicherheitssysteme niemals die Produktion verzögern oder in einer nicht standardisierten Weise anhalten dürfen.

Es ist wichtig zu verstehen, dass hierfür nicht einfach bekannte und bewährte Methoden aus dem IT-Sektor auf die Fertigung angewandt werden können. Die Methoden müssen stattdessen für die komplexen und heterogenen Prozesse der Industrie angepasst und zum Teil neu erfunden werden.

Einführung individueller Schutzmaßnahmen

Einer der ersten Schritte dabei muss es sein, neue Mitarbeiter anzuwerben, die das entsprechende Know-how mitbringen und gleichzeitig in der Lage sind, mit speicherprogrammierbaren Steuerungen zu arbeiten. Fachkräfte mit diesem Profil sind zwar in den vergangenen Jahren ausgebildet worden, aber immer noch selten.

Die Entwicklung von innovativen Cybersicherheitslösungen, die die Anforderungen dieses Bereiches erfüllen können, muss ebenfalls beschleunigt werden. Wie wichtig diese Fragen sind, ist der Regierung bekannt. Daher wurde ein Projekt zum Schutz industrieller Systeme gestartet, um herauszufinden, welche Protokolle genutzt werden und wie die speziellen Herausforderungen dieses Sektors sind.

Genauso wichtig ist es jedoch, die Mitarbeiter in Sicherheitsmaßnahmen zu schulen. Dazu gehören zum Beispiel das regelmäßige Austauschen von Passwörtern, das Erkennen von schädlichen E-Mails oder USB-Sticks als Werbegeschenke mit Blick auf die Sicherheitsrichtlinien des eigenen Unternehmens vorsichtig oder gar nicht zu verwenden.

Unternehmen sollten zwar mehrere Schutzmaßnahmen für ihre Produktionssysteme ergreifen, aber möglichst die gleichen Management- und Reporting-Tools für IT-Systeme und industrielle Systeme nutzen. Das vereinfacht nämlich die Implementierung, Administration und Kontrolle der Cybersicherheit. Die Nutzung einer einzigen technischen Lösung, die die Anforderungen beider Welten erfüllen kann, wird daher bei der Entwicklung von hochperformanten und sicheren Smart Factories von zentraler Bedeutung sein.

In drei Schritten zu mehr Anwendungssicherheit

1.Risiken erfassen – und angemessene Antworten finden

Hand aufs Herz: Perfekte Sicherheit wird es nie geben. Es ist unmöglich, das gesamte Anwendungsportfolio frei von Schwachstellen zu halten. IT-Verantwortliche müssen die verfügbaren Ressourcen deshalb kanalisieren und gezielt einsetzen. Die Grundlage hierfür bildet eine Strategie, die auf konkrete Risiken ausgerichtet ist – und nicht auf die Bewahrung der Illusion, dass ein System unverwundbar gemacht werden könne. Geschützt werden sollten vor allem solche Anwendungen und Teile der Infrastruktur, die von sicherheitskritischer Bedeutung sind.

Zunächst ist dazu eine Bestandsaufnahme von Nöten. Welche Anwendungen gibt es im Unternehmen – und auf welchem Entwicklungsstand befindet sich die Anwendungssicherheit? Sobald diese Fragen geklärt sind, können Richtlinien definiert werden. Diese legen fest, mit welchen Risiken das Unternehmen umgehen kann und welche es auf jeden Fall zu vermeiden gilt. Sie bilden die Basis für das weitere Vorgehen und bestimmen etwa, in welchen Bereichen die Entwickler besondere Trainings erhalten. Im Zentrum aller Bemühungen steht jedoch die Integration etablierter Tools, die dabei helfen, kritische Schwachstellen effizienter aufzuspüren und zu beseitigen.

2. Risiken beachten, die durch Anwendungen von Drittanbietern entstehen

Am ersten Tag ein Gast, am dritten eine Last: Dieses alte Sprichwort lässt sich häufig auch auf die Software von Drittanbietern übertragen. Selbst hauseigene Entwicklungen greifen häufig auf Komponenten zurück, die von externen Dienstleistern stammen oder unter einer Open-Source-Lizenz stehen. Ein solches Vorgehen ist zumeist kostengünstiger, als das Rad neu zu erfinden. Es birgt aber das Risiko, dass man sich mit dem fremden Code auch Sicherheitslücken ins Haus holt.

Um Entwicklern zu helfen, produktiver zu arbeiten und die Anwendungssicherheit dabei nicht aus den Augen zu verlieren, sollten IT-Verantwortliche ihnen einen Informationsvorsprung verschaffen. Zum Beispiel indem sie eine Technologie implementieren, die Informationen über die Komponenten von Drittanbietern sowie über die darin entdeckten Sicherheitslücken bereithält und Anwendungen markiert, die von diesen Schwachstellen betroffen sind.

3. Die richtigen Erfolgsmaßstäbe etablieren

Woher wissen IT-Verantwortliche, dass ihre Pläne aufgehen und ihre Maßnahmen greifen? Metriken und KPIs sollten bei allen Bemühungen zur Verbesserung der Anwendungssicherheit im Zentrum stehen. Denn nur wer die wesentlichen Erfolgsmaßstäbe im Blick behält, kann fundierte Entscheidungen treffen. Detaillierte Statistiken und Analysen helfen auch, ein breites Bewusstsein für die Bedeutung der Anwendungssicherheit zu schaffen – etwa bei Entwicklern, Budgetverantwortlichen und Mitgliedern der Unternehmensführung. Auf einige Metriken sollte ein besonderes Augenmerk gelegt werden:

Richtlinienkonformität: Richtlinien reflektieren, welche Risiken ein Unternehmen unbedingt vermeiden will. Veracode empfiehlt, innerhalb des Anwendungsportfolios konsistente Richtlinien durchzusetzen. Eine mögliche Richtlinie wäre etwa, dass alle Web-Anwendungen frei von den in der OWASP-Top-10-Liste genannten Schwachstellen sein müssen.

Zahl der gefundenen Mängel: Diese Metrik erfasst die Zahl der gefundenen Schwachstellen, die in Applikationen gefunden werden – SQL-Injections, Cross-Site-Scripting (XSS) oder kryptographische Unzulänglichkeiten. Sie lässt vor allem Rückschlüsse darauf zu, in welchen Bereichen Entwickler Nachholbedarf haben und durch gezielte Trainings gefördert werden können.

Erfolgsquote: Wie viele der gefundenen Schwachstellen können am Ende auch beseitigt werden? Die Erfolgsquote ist ein Gradmesser für die Qualität der etablierten Mechanismen und erlaubt es, die Ressourcenallokation besser zu steuern.

Unternehmensspezifische Erfolgsmaßstäbe: Nicht alle sinnvollen Metriken besitzen universelle Gültigkeit, manche gelten lediglich in speziellen Zusammenhängen. IT-Verantwortliche sollten deshalb nach Erfolgsmaßstäben suchen, die die innerhalb ihres Unternehmens geltenden Prioritäten optimal abbilden – etwa die Zahl der automatisiert getesteten Anwendungen oder durchgeführten Trainings.

Fazit: Anwendungssicherheit ist kein Hexenwerk

Um die Anwendungssicherheit im Unternehmen zu verbessern, benötigt die IT zwei Dinge: die richtige Strategie und die richtigen Tools. Risiken müssen erfasst, Erfolgsmaßstäbe etabliert werden. Vor allem aber gilt es, Sicherheitslücken in kritischen Anwendungen zuverlässig zu identifizieren und zu beseitigen. Wer die oben genannten Schritte vollzieht, kommt diesem Ziel schnell näher.

Das ‚Human Internet of Things‘ (HIoT)

Freunde oder auch Fremde, die mich nach meiner beruflichen Tätigkeit fragen, können nur selten etwas mit den Fakten anfangen, von denen ich ihnen über unseren derzeitigen Stand bezüglich der Abwehr von Cyber-Bedrohungen berichte. Als ich stolz von unserem hervorragenden Abschneiden bei der Cyber Grand Challenge erzählte, zeigten sich die Menschen überrascht, dass es einer Maschine auch nur im Entferntesten möglich sein sollte, eine andere Maschine zu hacken, ohne dass ein Mensch dabei die niederen Arbeiten übernehmen muss. Natürlich kommen Unternehmen, die sich mit der Entwicklung von sicherheitskritischem Code befassen, mit den Cyber-Security-Risiken zurecht – aber wie steht es mit den einzelnen Menschen?

Der Durchschnittsbürger weiß möglicherweise nicht einmal, wofür das Kürzel ‚IoT‘ steht oder dass die Auswirkungen des IoT so enorm sind, dass wir bereits Teilbereiche wie das Industrial IoT (IIoT) schaffen mussten. Tatsache ist auch, dass sich GrammaTech auf Unternehmen und Organisationen konzentriert, und nicht auf einzelne Menschen. Wann aber wird das IoT die Menschen ganz persönlich betreffen? Wann werden wir die menschliche Version des IoT, also so etwas wie das ‚Human Internet of Things‘ haben?

Kürzlich fand mich auf einer Reise in der Warteschlange für einen Flug wieder, der in Halbstundenschritten immer mehr Verspätung ansammelte, ohne dass ein Ende in Sicht war. Als Grund wurde ein nicht näher benanntes ‚mechanisches Problem‘ angeführt, das zunächst behoben werden müsse. Langsam baute sich unter den Passagieren eine Missstimmung auf, als es hieß, der zuständige Techniker habe Probleme mit dem Installieren einer Software. Man sagte entschieden, man müsse nur noch das Softwareproblem herausfinden, und anschließend könnten wir los. Die Abflugzeit würde sich jetzt wirklich nur noch um weitere 25 Minuten verzögern.

Eigentlich eine interessante Situation –  mechanische Probleme, so dachten die Mitarbeiterin und vermutlich auch die anderen Passagiere, sind kompliziert und knifflig, und ihre Behebung nimmt viel Zeit in Anspruch, die wir nur in 30-Minuten-Schritten beziffern können. Die Lösung eines Softwareproblems dagegen wird höchstens 25 Minuten dauern.

Es kam wie es kommen musste: Nach den besagten 25 Minuten wurden wir an ein anderes Gate verwiesen und flogen mit einem ganz anderen Flugzeug. Anstatt aber von der Reise ermüdet und frustriert zu sein, fühlte ich mich auf seltsame Weise rehabilitiert.

„Software ist doch kompliziert!“ hätte ich am liebsten meinen ungeduldigen Mitreisenden zugerufen. „Und mit CodeSonar von GrammaTech können Sie Ihren Code besser verstehen!“

Natürlich hatten diese Menschen nichts mit Code zu tun, und so verlockend es auch sein mag, Moralpredigten zu halten – in diesem Fall wäre ich auf taube Ohren gestoßen. Doch dann sagte mein Nebenmann: „Ein Glück, dass es nur ein Softwareproblem war! Diese mechanischen Sachen haben mich schon langsam nervös gemacht!“ Daraufhin fragte ich mich, wann eigentlich die normalen Menschen besser über eines der größten Risiken für unsere Infrastrukturen, unsere Arbeitsplätze und unser Leben informiert werden müssen. Hätte ich die Auffassung meines Mitreisenden bestätigt, hätte ich damit implizit etwas Falsches als wahr durchgehen lassen?

Ich fragte mich nun, wie sehr normale Menschen eigentlich am Thema Cybersicherheit interessiert sind. Während die Passagiere unseres neuen Flugzeugs ausstiegen, stellte ich mit Google Trends auf meinem Laptop ein stetig wachsendes Interesse fest, was mich beruhigte: 

Grafik:
Grafik: Cyber Security

 

 

 

 

 

 

Trends sind aber eben doch nur Trends, und so benötigte ich einen Vergleich. Wie oft denken wir US-Bürger im Vergleich dazu an Donuts? Das Ergebnis war ernüchternd – mehr als 3/4 so viele!

Grafik:
Grafik: Donuts vs. Cyber Security

 

 

 

 

 

 

Bevor wir uns aber von Donuts ablenken lassen (hier gibt es ein enormes Potenzial), gehen wir lieber einen Schritt zurück und fragen uns: Muss sich der Normalbürger überhaupt um das Thema Cybersicherheit kümmern? Der normale Fluggast mag sich keine Gedanken um anfällige Software machen. Müssen wir uns aber unnötig die Köpfe schwermachen, solange sich die zuständigen Personen der Risiken bewusst sind?

Ich denke, dass unter anderem die folgenden Geschichten die Antwort auf diese Frage geben:

Mutter erfährt, dass die Webcam im Schlafzimmer ihrer Tochter gehackt war

Linux-Bug setzt 1,4 Milliarden Android-Nutzer der Gefahr von Hijacking-Attacken aus

So erschreckend einfach ist es, eine Verkehrsampel zu hacken!

Nach meiner Auffassung ist es nur eine Frage der Zeit, bis wir eine stärker individualisierte Variante des Internet of Things haben werden. Wenn ich auf einen Spam-verseuchten Link in einer Email klicke und sich daraufhin nicht mein, sondern Ihr Computer einen Virus einfängt, wer haftet dann für Ihren Schaden?

Wenn ein Hacker in mein Heimnetzwerk eindringt, meinen eigenen Computer unbehelligt lässt, stattdessen meine ganze Stadt infiltriert und dabei auf einen wichtigen Computer zugreift, der entscheidende Infrastrukturen kontrolliert – was passiert in diesem Fall, wenn eine Schwachstelle ausgenutzt wird, und die Stromversorgung der gesamten Stadt zusammenbricht? Wird man den Vorfall bis zu meinem Heimnetzwerk zurückverfolgen, das der Neffe meiner Schwägerin eingerichtet hat, weil er sich ‚damit auskennt‘?

GrammaTech ist in der Tat ein Unternehmen, das Probleme für Organisationen auf der ganzen Welt löst, die die Sicherheit ihrer Kunden schützen. Wie aber wird es sein, wenn wir nicht mehr diese Organisationen als Mittelsmänner haben, sondern wenn wir selbst mehr Verantwortung für unsere Sicherheit übernehmen? Wann wird es endlich das Human Internet of Things geben? ich glaube, ist es nur eine Frage der Zeit.

 

Ohne IT-Sicherheit kein Internet der Dinge

Ob Produktion, Gesundheitswesen, Energie oder Transport – das IoT hält derzeit in zahlreichen Branchen Einzug, die zusammen fast zwei Drittel des globalen Bruttoinlandsprodukts erwirtschaften. Unter dem Schlagwort Industrie 4.0 machen sich hierzulande vor allem Unternehmen der Fertigungsindustrie die zunehmende Reife der IoT-Technologien zunutze. Politisch steht die Förderung der Digitalisierung ganz oben auf der Agenda. Im vergangenen Jahr hat das Bundesministerium für Wirtschaft und Energie im Rahmen der „Digitalen Strategie 2025“ mehrere sogenannte Mittelstand 4.0-Kompetenzzentren benannt, die vor allem kleinere und mittlere Unternehmen bei der Digitalisierung ihrer Produktionsprozesse unterstützen.

Hauptknackpunkt: Sicherheit des IoT

Während diese Entwicklung völlig neue Möglichkeiten für Unternehmen und Gesellschaft verspricht, werden jedoch auch zahlreiche Schwachstellen und Sicherheitsrisiken deutlich. Das IoT abzusichern, stellt Unternehmen vor große Herausforderungen. Denn allzu oft wird das Thema Sicherheit erst nachgelagert, als Technologiefolge fokussiert: Zuerst werden die neuen Technologien implementiert und erst im Nachhinein werden die erforderlichen Maßnahmen ergriffen, um sie vor cyberkriminellen Angriffen zu schützen. Hintergrund ist das hohe Innovationstempo und der steigende Wettbewerbsdruck, unter dem die meisten Unternehmen stehen. Die Folge sind Sicherheitslücken und Schwachstellen, die zunehmend professionell organisierte und kommerziell ausgerichtete Cyberkriminelle ausnutzen, um großen wirtschaftlichen Schaden anzurichten.

Bild: FFPR
Bild: HCL Technologies

IoT vergrößert Angriffsfläche um ein Vielfaches

Mit der stark zunehmenden Vernetzung im IoT entstehen für Unternehmen nicht nur neue Chancen, ihre Wettbewerbsfähigkeit zu steigern – sie machen sich dadurch auch angreifbar. Kernziel der Industrie 4.0 ist es, in der Produktion alle Anlagen, Maschinen, Werkstücke, Werkzeuge und Materialien mit Sensoren und eigenen Identitäten auszustatten und diese zu vernetzen, damit sie miteinander kommunizieren und die Produktion auf diese Weise automatisch steuern können. Dadurch entstehen unvorstellbar große Datenströme – die von Cyberkriminellen über die Vielzahl neu vernetzter Endgeräte angezapft werden können. Laut Gartner waren im vergangenen Jahr 4,9 Milliarden Geräte vernetzt. Bis 2020 sind es schätzungsweise 26 Milliarden – 26 Milliarden potenzielle Angriffsziele, über die Hacker Unternehmensnetze infiltrieren können.

Vor internen und externen Gefahren schützen

Daher müssen die ersten Maßnahmen dahin zielen, potenzielle Schwachstellen und Angreifer zu ermitteln. Dabei gibt es grundsätzlich zwei Kategorien:

  1. passive Angreifer, die Sicherheitslücken in IoT-Geräten und Netzwerken ausnutzen, um vertrauliche Daten – etwa Geschäftszahlen, Produktentwicklungen oder Ähnliches – zu stehlen. Diese Angriffe sind meist schwer zu erkennen, da sie häufig von internen Quellen ausgehen. Daher sollten Unternehmen ihre Mitarbeiter sensibilisieren und informieren, wie sie zur Sicherheit des gesamten Unternehmens beitragen können.
  2. aktive Angreifer, die IoT-Geräte und Netzwerke per Sybil- oder Distributed Denial of Service (DDoS)-Attacken angreifen. Ihr Ziel ist es, den Geschäftsbetrieb zu stören und bestimmte Anlagen oder Maschinen lahm zu legen. Diese Angriffe können schwerwiegende, teilweise sogar lebensgefährliche Folgen haben, wenn es sich beispielsweise um medizinische Geräte im Krankenhaus handelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte von einem solchen Angriff mit fatalen Folgen berichtet: Hacker verschafften sich mittels ausgefeilter Phishing-Taktiken Zugriff zum Netzwerk eines Stahlwerks. Dadurch konnten sie die Steuerung eines Hochofens manipulieren, sodass sich dieser nicht mehr herunterfahren ließ. Dies führte zu massiven Schäden in der Gießerei.

 

Sicherheit geht vor

Daher ist es für IoT-Projekte zwingend notwendig, sie von Anfang an auf Basis einer sicheren Infrastruktur aufzubauen. Dazu zählen neben der Einhaltung von Branchenrichtlinien, wie sie beispielsweise auch vom BSI empfohlen werden, auch regelmäßige Penetrationstests, die Unternehmen frühzeitig auf potenzielle Schwachstellen aufmerksam machen. Entscheidend ist dabei, dass die neuen Sicherheitsstrukturen sämtliche virtuellen und physischen Elemente abdecken, von der Authentifizierung auf Geräteebene bis hin zu Anwendungssicherheit und Datenschutz. Die Herausforderung, die jedes Unternehmen für sich lösen muss, ist es, ein individuelles, umfassendes Sicherheitskonzept zu entwickeln. Denn universelle Pauschallösungen für IoT-Sicherheit gibt es nicht.

Sicherheit im Internet der Dinge – Hier liegen die größten Risiken

Dass die Umsetzung einheitlicher Sicherheitsstandards und adäquater Schutzmaßnahmen bei Milliarden von unterschiedlichen IoT-Geräten und einer exorbitant großen Menge an transferierten Daten eine große Herausforderung bedeutet, versteht sich von selbst. Die größten Gefahren gehen dabei vor allem von vier IoT-typischen Schwachstellen aus, nämlich begrenzter Rechenleistung, unkontrollierten Umgebungen, veralteten Netzwerken und Betriebssystemen sowie mangelnder Sicherheitstechnologie.

Begrenzte Rechenleistung verhindert wirksame Sicherheit

Ausreichend Sicherheit benötigt ausreichend Performance – das dürfte jedem klar sein. Für das Internet der Dinge wird dies aber schnell zum Problem,  denn anders als traditionelle PCs und Mobilgeräte besitzen die meisten IoT-Geräte eine begrenzte Rechenleistung. Dies beeinträchtigt ihre Sicherheit, denn für das Ausführen wirksamer Security-Maßnahmen bleiben so kaum Ressourcen übrig. Man denke etwa an smarte Glühbirnen, die zwar eine IP-Adresse besitzen, deren Rechenlistung aber sehr begrenzt sein dürfte. Viele insbesondere günstigere Geräte sind daher nur mit einem Minimum an Sicherheit ausgestattet und vernachlässigen insbesondere wichtigen Malwareschutz. Die Hacker indes können sich freuen, denn ihnen bieten sich viele neue und vor allem lukrative Angriffsziele.

Hacker profitieren von unkontrollierten Umgebungen

IoT-Devices und Mobilgeräte haben viel gemeinsam. Beide speichern, übermitteln und verarbeiten sensible Kundendaten in unkontrollierten und möglicherweise schadhaften Umgebungen. Die Hersteller mobiler Software können die Verarbeitung sensibler Informationswerte allerdings auf zentralisierte und vertrauenswürdige Server verlegen und so besser schützen. Bei IoT-Geräten sieht die Situation etwas anders aus, denn diese sammeln ihre Informationen typischerweise in der physischen Welt. Selten werden die Daten auf dem Gerät verarbeitet, bevor sie zum Backend-Server geschickt werden. Aufgrund inhärenter Schwachstellen bieten IoT-Geräte Cyberkriminellen daher eine deutlich größere Angriffsfläche als Mobilgeräte.

Überholte Systeme öffnen Cyberkriminellen Tür und Tor

Ein weiteres vermeidbares Sicherheitsrisiko geht von veralteten Netzwerken und Betriebssystemen aus. So erfreut sich Windows XP trotz offiziellem Support-Ende immer noch größter Beliebtheit und ist Untersuchungen zu Folge noch immer das am dritthäufigsten genutzte Betriebssystem. Obwohl das Sicherheitsdesign von XP konzeptionell komplett veraltet ist und z.B. zahlreiche moderne Verschlüsselungsalgorithmen nicht unterstützt werden und die Software zudem regelmäßig von schwerwiegenden Sicherheitslücken betroffen ist, verharren viele Unternehmen – darunter auch Betreiber kritischer Industrie 4.0-Anlagen oder IT-Verantwortliche in großen Kliniken – auf dem Betriebssystem-Grufti.

Innovative Sicherheitstechnologien werden noch immer sparsam eingesetzt

IoT-Geräte können auf vielfältige Weise angegriffen und mit Schadsoftware infiziert werden  – oftmals reichen dafür einfache kostenlose Hacking-Werkzeuge aus dem Internet. Effektive Sicherheitstechnologien, die Angreifer wirksam identifizieren und Manipulationen verhindern können, werden dennoch spärlich eingesetzt. In Sachen effektive IoT-Sicherheit haben Unternehmen und Software-Entwickler noch einiges nachzuholen, denn sie überschätzen in vielen Fällen die Wirksamkeit herkömmlicher Endpoint-Lösungen und verlassen sich auf klassischen Anti-Virus, Firewalls oder aber auch statische Verschlüsselungs- und Verschleierungsprogramme, die in Zeiten des IoTs jedoch längst nicht mehr ausreichend sind. Wer IoT-Anwendungen schützen möchte, muss deshalb auf eine Sicherheitslösung setzen, die in der Software selbst verankert ist, anstatt nur einen Zaun um sie zu bauen. So müssen Software und Applikationen bereits am Ende ihres Entwicklungsprozesses mit Härtungs-Technologien ausgestattet werden, die das Einschleusen von Malware verhindern und Datendiebstahl unterbinden. Zudem muss IoT-Software grundsätzlich so ausgestattete sein, dass sie eine schadhafte Modifikation ihrer Laufzeit jederzeit erkennt und abwehren kann – natürlich ohne dabei die Performance der Anwendung zu beeinträchtigen.

Das Internet der Dinge wird unser Leben nachhaltig verändern. Eine absolute Sicherheit vor Datendiebstahl und Manipulationen wird es dabei nie geben, denn die zunehmende Vernetzung wird zwangsläufig dafür sorgen, dass Unternehmen aber auch Privatpersonen die Kontrolle über ihre Daten verlieren und sie letztlich nicht mehr in Kenntnis darüber sind, wo sich ihre Informationen befinden bzw. wer darauf Zugriff hat. Dennoch müssen Unternehmen und IoT-Entwickler proaktiv dafür sorgen, dass das Herzstück ihrer IoT-Lösungen die Sicherheit und nicht die Innovation ist.

Forscher hacken Jeep – schon wieder

Eine solche Übernahme wäre für die mitfahrenden Personen lebensgefährlich. Julian Totzek-Hallhuber, Solution Architect bei Veracode, bezieht im Folgenden Stellung zu den Gefahren von Connected Cars:

„Die Sicherheitslücke bei Fiat ist nicht die erste Lücke in vernetzten Fahrzeugen. KFZ-Hersteller, Komponentenhersteller und unabhängige Softwarefirmen stehen gleichermaßen vor der großen Herausforderung, ein sicheres Programm zur Anwendungsentwicklung aufzusetzen. Dazu muss ihnen unbedingt bewusstwerden, wie gefährlich das Hacken der Fahrzeuge und gerade der Fahrzeugsteuerung sein kann. Sie sollten aus den aktuellen Sicherheitslücken lernen und verstärkt ihren Fokus darauf legen, die Sicherheit schon während der Entwicklung von Anwendungen zu erhöhen. Im Moment können wir froh sein, dass sich die Fahrzeuge noch in der Entwicklung – und nicht auf der Straße – befinden.

Was wir in der Automobilindustrie beobachten können, ist ein Mikrokosmos dessen, was aktuell in der Finanzbranche, dem Gesundheitswesen und praktisch jeder anderen Branche passiert – es werden unzählige Anwendungen programmiert, ohne auf die Sicherheit zu achten. Applikationen aus dem Internet erobern derzeit das Automobil, doch sie stellen ein enormes Risikofeld dar, das unbedingt in den Fokus der KFZ- und Softwarehersteller rücken muss.

Denn eine kürzlich veröffentlichte Studie von Veracode und IDC zeigt, dass Autofahrer durchaus Bedenken haben. 57 Prozent der deutschen Autofahrer macht sich Sorgen um die Sicherheit von vernetzten Assistenzsystemen im Auto. Und auch den Herstellern geht es nicht anders: sie haben große Sicherheitsbedenken gegenüber Anwendungen, die sie nicht selbst entwickelt haben. Bis Anwendungen und Systeme im Auto ausreichend vor Cyberangriffen geschützt sind, wird es wohl noch bis zu drei Jahren dauern.“