Security-Updates im IoT

Firmware- und Software-Updates für eingebettete Systeme kommt eine immer wichtigere Rolle zu. Angreifer zielen ständig auf die Firmware und Software in IoT-Geräten und suchen nach Schwachstellen, die ausgenutzt werden können. Auf IoT-Geräte, die sich nicht updaten lassen, selbst wenn sich dort neue Sicherheitslücken finden, sollten Unternehmen verzichten. Das fordern Maik Morgenstern, Mitglied der Kompetenzgruppe Security im eco - Verband der Internetwirtschaft, und sein Kollege Markus Schaffrin, Security-Experte im Verband.

Wie sich die Security bei IoT-Geräten aktuell halten lässt, zeigt zum Beispiel das Projekt ALESSIO (Anwendungen mit hoher Lebensdauer durch updatefähige Lösungen schützen), an dem neben dem Fraunhofer-Institut AISEC unter anderem Siemens und die TU München beteiligt sind. In einer Mitteilung zu dem Projekt heißt es: „ Zuverlässiger Schutz sicherheitskritischer Informationen im Gerät basiert auf einer Kombination aus Software und Hardware. Während Software auch noch im Nachhinein verändert werden kann, ist Hardware beziehungsweise ein Sicherheits-Chip einmal integriert vor Manipulationen aus der Ferne geschützt. Denn der Sicherheits-Chip ist vergleichbar einem Tresor, einem besonders geschützten Bereich, in dem Daten und sicherheitsrelevante Informationen getrennt von der Software abgelegt werden. Dennoch muss diese zentrale Sicherheitsfunktion selbst auch aktualisiert werden können, da sich im Lauf der Zeit beispielsweise Angriffsmethoden verändern können.“

Im Rahmen von ALESSIO konnten die Projektpartner zeigen, dass updatefähige Sicherheitslösungen auf zwei technischen Wegen erreicht werden können - zum einen über chipbasierte Sicherheitselemente mit aktualisierbarer Software, zum anderen wird ein updatefähiges Sicherheitselement in programmierbaren logischen Schaltungen realisiert, bei dem Hardware-Komponenten zur Laufzeit sicher aktualisiert werden können. Das Projekt ALESSIO zeigt also, dass sich auch die Sicherheit im IoT aktualisieren lässt, ein wichtiger Punkt für Security by Design und die Forderung nach einer Sicherheit, die dem Stand der Technik entspricht.

Angesichts der Vielzahl an Sicherheitslücken im IoT und der bekannt gewordenen Attacken auf IoT-Geräte erscheint Security by Design im Internet der Dinge noch wie ein frommer Wunsch. Doch es führt kein Weg daran vorbei, allein schon wegen der wachsenden Bedeutung des IoT. „Das Risiko eines Angriffs auf ein vernetztes Gerät ist zu groß, um es zu ignorieren“, betont Sean Peasley, IoT-Sicherheitsleiter beim Beratungsunternehmen Deloitte. „Firmen sollten einen proaktiven, sicher gestalteten Ansatz verfolgen und gezielt da­ran arbeiten, Geräte, Software und Infrastruktur zu überwachen und zu patchen.“