Durch die Eile der Hersteller, IoT-Geräte auf den Markt zu bringen, geben diese oft zu wenig Acht auf die zusätzlichen Sicherheitsanforderungen, die bei der zunehmenden Vernetzung entstehen. Diese leichtsinnige Vernetzung bedeutet mehr Wege und Hintertüren, die von Hackern ausgenutzt werden können - vor allem, wenn die eigenen Konstrukteure eines Systems nicht wissen, dass diese überhaupt existieren, wie es häufig bei anfälligen Open-Source-Komponenten der Fall ist.

Im Falle der Autowaschanlage von PDQ Inc. laufen die automatisierten Systeme auf Windows CE und verfügen über einen integrierten Webserver, der es Technikern ermöglicht, sie über das Internet zu konfigurieren und zu überwachen. Nicht alle PDQ-Waschanlagen sind online, aber die Forscher fanden mehr als 150, die es waren. Microsoft unterstützt darüber hinaus die Version von WinCE nicht länger, die in der PDQ-Steuerung verwendet wird. Das bedeutet, dass es möglich ist, die Kontrolle über die Maschinen zu übernehmen, indem man Sicherheitslücken im veralteten Betriebssystem ausnutzt.

Woran sich wieder einmal zeigt: Sichere Software ist ein kurzlebiges Konzept. Was heute als sicher gilt, kann sich über Nacht ändern, wenn neue Schwachstellen entdeckt und offen gelegt werden. Je älter ein Code, desto höher ist die Wahrscheinlichkeit, dass Schwachstellen offenbart werden.

Im Fall der Waschanlage fanden die Forscher eine noch einfachere Hintertür, um auf das Online-PDQ-System zuzugreifen – das Admin-Standard-Passwort, das tatsächlich "12345" lautete. Dieser Sicherheitsfauxpas ist eine Mahnung an alle - von Verbrauchern bis hin zu Autowaschanlagen-Besitzern. Denn Cyber-Hygiene und die Änderung der Standard-Passwörter sollten die ersten Dinge sein, die man bei der Einrichtung eines neuen Systems vornehmen sollte –  vor allem wenn es zum Internet der Dinge gehören wird.

IoT und medizinische Geräte

Der Treiber hinter der IoT-Revolution ist Software und diese basiert auf einem Kern aus Open-Source-Komponenten. Ein aktueller Forrester Research Report hebt die weit verbreitete Prävalenz von Open Source in Anwendungen hervor. Er besagt, dass ein eigener Code heute oft nur noch zehn bis 20 Prozent der jeweiligen kommerziellen Anwendung ausmacht. Die On-Demand-Audits von kommerziellen Anwendungen, die Black Duck durchführt, finden immer wieder offene Open-Source-Komponenten in beinahe 100 Prozent der gescannten Anwendungen. Open Source wird in allen Branchen verwendet: sie macht durchschnittlich 20 bis fast 30 Prozent der kommerziellen Anwendungen in der Automobil- und Finanzdienstleistungsbranche und bis zu 46 Prozent im Healthcare-Bereich aus.

Der Gedanke an Software-Schwachstellen in Herzschrittmachern und anderen medizinischen Geräten und Systemen ist beunruhigend. Die gleichen Forscher, die den Carwash-Hack demonstrierten, Billy Rios und Jonathan Butt, hatten zuvor die Aufmerksamkeit auf Herzschrittmacher gelenkt. Sie erwarben Hardware und unterstützende Software von vier verschiedenen Herstellern von Herzschrittmachern und suchten nach Schwächen in Architektur und Ausführung. Eines der größten Probleme, das sie Anfang dieses Jahres in ihrem Paper veröffentlicht haben, war eines, das Black Duck immer wieder sieht: ungepatchte Software-Bibliotheken.

(Nach: Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies, Billy Rios, Jonathan Butts, PhD; Mai2017)

Alle vier Herzschrittmacher, die die Forscher untersucht haben, enthielten Open-Source-Komponenten, die bis zu  50 Prozent mit Schwachstellen behaftet waren. Schlimmer noch, die Herzschrittmacher hatten durchschnittlich 50 Schwachstellen pro anfälliger Komponente und über 2.000 Schwachstellen pro Hersteller.

Es ist nicht bekannt, wie alt die Geräte und Software waren, da die Ausrüstung bei eBay erworben wurde, aber man kann davon ausgehen, dass es sich nicht um neuere Modelle handelt. Denn wie bereits erwähnt, enthält ein älterer Code – egal ob proprietärer oder Open Source - eher Schwachstellen, die offenbart werden können.

Aus dem Paper geht zudem nicht hervor, ob die Forscher die Geräte auf verfügbare Software- und Firmware-Updates vor der Analyse überprüft haben. Die Vermutung liegt nahe, dass sie es nicht getan haben, aber ob dies einen Unterschied gemacht hätte, ist fraglich. Die Forschung von Black Duck Forschung zeigt, dass sich Anbieter in der Regel nicht der verwendeten Open Source bewusst sind, da es viele Möglichkeiten gibt, wie sie in den Code gelangt. Durchschnittlich sind sich Kunden vor einem Code-Scan durch Black Duck weniger als der Hälfte der verwendeten Dritt-Anbieter-Bibliotheken bewusst.

Open-Source-Sicherheit für das Internet of Things

Es gibt Milliarden von Gründen für IoT-Sicherheit. Denn laut Gartner wird es bis zum Jahr 2020 in etwa 20 Milliarden IoT-Geräte geben. Es werden Milliarden vernetzter Geräte in den nächsten Jahren online gehen und damit neue Sicherheitsherausforderungen schaffen. Sicherheit sollte im Mittelpunkt des Designs aller IoT-Geräte stehen - und nicht nachträglich, oder noch schlimmer, reaktiv nach einem Schaden implementiert werden.

Wenn es eine Schwachstelle zu finden gibt, garantieren die Gesetze der Statistik, dass jemand sie schließlich finden wird. Mit über 3.600 neuen Open-Source-Komponenten-Schwachstellen, die im Jahr 2016 gemeldet wurden, ist die Notwendigkeit für mehr Sichtbarkeit und Kontrolle über Open-Source in den IoT-Geräten klar; Erkennung und Sanierung von Open-Source-Sicherheitslücken sollte eine hohe Priorität haben.

IoT-Hersteller müssen einen Cybersecurity-Ansatz etablieren, der nicht nur offensichtliche Expositionen anspricht, sondern auch die Schwachstellen, die in den Anwendungscode eingebettet werden können. Jede Organisation, die IoT-Technologie nutzen möchte, muss ihr Software-Ökosystem prüfen, um zur Identifizierung und zum Management von Open Source beizutragen und sicherzustellen, dass die Open Source, die in ihrer IoT-Plattform sein soll, keine versteckten Sicherheitslücken einführt.