Suchen

Expertenbeitrag

 Nicole Segerer

Nicole Segerer

Head of IoT Deutschland, Österreich und Schweiz bei Flexera, Flexera

Software Composition Analysis

Sicherheit für IoT-Geräte

| Autor/ Redakteur: Nicole Segerer / Redaktion IoT

Das IoT braucht mehr Sicherheit. Vor systematischen Angriffen ist die erste Verteidigungslinie ein umfassendes Management von Vulnerabilities – auch in Bezug auf Open Source Software.

Firmen zum Thema

Codebasis kennen, Sicherheitslücken schließen
Codebasis kennen, Sicherheitslücken schließen
(Quelle: istock/maxkabakov)

Erst Mirai, jetzt IoT-Reaper – Botnets, die ungepatchte Sicherheitslücken oder Standard-Passwörter von Überwachungskameras, Routern und Internet-of-Things-Geräten ausnutzen, offenbaren immer deutlicher die mangelnde Sicherheit im Bereich des IoTs. Diese Geräte sind ein ideales Angriffsziel für Botnet-Programmierer und anderen Malware-Akteure: Sie sind in der Regel rund um die Uhr an High Speed Netzwerkverbindungen angebunden, laufen unter embedded Linux und verfügen über keine Monitoring-Systeme, Filter oder Protokolle, die vor einer Infiltration warnen könnten. Zudem sind die industriellen Systeme häufig nur für einen eingeschränkten Rollout ausgelegt oder stammen von Unternehmen, die sich nur unzureichend mit dem Thema Sicherheit befassen.

Das Open Source-Risiko

Eine besondere Rolle nimmt hier Open Source Software ein. OSS hat die Softwareentwicklung in den letzten zehn Jahren grundlegend verändert. Die weltweite Vernetzung erlaubt einen engen Austausch zwischen Softwareentwicklern und bietet eine Plattform, auf der Millionen Softwarekomponenten von Dritt-Anbietern frei zur Verfügung stehen. Heute liegt der Anteil der OSS-Produkte bei 50 bis 90 Prozent und umfasst Hunderte, wenn nicht Tausende von OSS-Komponenten. Sie ermöglichen es, große und anspruchsvolle IIoT-Projekte zu stemmen. Dabei werden oft die Sicherheitsrisiken von nicht verwalteter Open-Source-Software übersehen.

Ein typisches System mit embedded Linux verwendet beispielsweise Dutzende oder auch Hunderte von Open-Source-Paketen. Diese Komponenten sind zwar von hoher Qualität, enthalten aber – wie jede Software – Fehler. Im Laufe der Zeit werden die Schwachstellen in diesen Komponenten bekannt und schließlich auch ausgenutzt. In der Regel sind die Geräte nicht für automatische Updates konzipiert und beruhen auf Software von kommerziellen Quellen oder Open-Source-Organisationen, für die im Wochen- oder Monatsrhythmus neue Sicherheitslücken entdeckt werden.

Schwachstellen managen und schließen

Genau diese Schwachstellen heißt es in der nächsten Generation von IoT- und IIoT-Geräten zu berücksichtigen. Best Practices empfehlen Software-Stücklisten eines Geräts zu erstellen und aufmerksam und mit Fokus auf Komponenten mit bekannten Sicherheitslücken zu scannen. Zu finden sind diese beispielsweise in der National Vulnerability Database. Die Datenbank enthält eine Liste der Komponenten, die im Betriebssystem und in der eigentlichen Anwendung verwendet werden. Jedoch sollten sich Unternehmen nicht nur auf öffentlichen Quellen verlassen. Nur wer umfassend informiert ist und auf alle relevanten Daten zugreifen kann, ist den Malware-Autoren einen Schritt voraus – vor allem dann, wenn gleichzeitig ein rigoroses Patching-System gepflegt wird.

Ironischerweise nutzen Malware-Autoren bisweilen die Updatesysteme von Herstellern zur Verbreitung von Malware. Dieses Phänomen tritt dann auf, wenn beispielsweise festkodierte Kennwörter von mehreren Geräten oder Gerätefamilien gemeinsam verwendet werden. Viele aktuelle Malware-Systeme nutzen diese im Grunde triviale Schwachstelle, um Systeme zu infizieren und sich weiterzuverbreiten. Werden die Lücken von Herstellern geschlossen, gehen die Angreifer auf andere Sicherheitslücken über – zum Beispiel in OpenSSL, Bash oder in kommerzieller Firmware, die in DVRs oder Kamera-Leiterkarten zu finden sind.

Überblick behalten

Für IIoT-Systementwickler heißt es daher: Keep Track! Der Überblick über den Einsatz von Open-Source- und kommerziellen Produkten sowie deren Abhängigkeiten ist entscheidend. Unterstützung erhalten sie dabei von entsprechenden Tools und Services. Solche Lösungen für Software Composition Analysis (SCA) geben beispielsweise automatisch Warnmeldungen heraus, sobald neue Schwachstellen in den verwendeten Komponenten entdeckt werden. Entwickler sind damit in der Lage, Produkte auf den Markt zu bringen, die bei der Erstauslieferung keine bekannten Schwachstellen enthalten. Ein kontinuierliches Monitoring hilft ihnen dabei, neue Sicherheitslücken zu entdecken ud Kunden über Patches zu informieren. So lassen sich Komponenten auch beim Einsatz vor Ort stets auf dem neuesten Stand halten.

SCA-Software enthält Scanning- und Workflow-Funktionen, mit denen Technologieunternehmen ihre Open-Source-Komponenten ermitteln, verwalten, aktualisieren und implementieren können. Indem die von den Geräten verwendeten Dateien mit einer Datenbank aus Milliarden bekannter Open-Source-Dateien abgeglichen werden, erkennt das System bekannte Schwachstellen und kann zudem die Konformität mit Open-Source-Lizenzen überprüfen.

Wer als Entwickler diese Anforderungen erfüllt, kann Geräte ausliefern, die einerseits der Open-Source-Community gerecht werden und die andererseits die Anwender vor Angriffen schützen. Damit lässt sich ein neues Sicherheitslevel im IIoT erreichen, dass die Entwicklung und Verbreitung von vernetzten, zukunftsweisenden Systemen weiter vorantreibt.

Über den Autor

 Nicole Segerer

Nicole Segerer

Head of IoT Deutschland, Österreich und Schweiz bei Flexera, Flexera