Die Welt nach dem Yahoo-Hack

»Die Risiken sind unabsehbar«

27. September 2016, 14:08 Uhr   |  Hagen Lang


Fortsetzung des Artikels von Teil 2 .

Gehackte Teslas und worauf IT-Kunden achten sollten

smarterworld.de: Wie bewerten Sie, dass chinesische Sicherheitsexperten  kürzlich einen gehackten und ferngesteuerten Tesla vorgeführt haben?


Professor Pohl: Der Tesla-Fall ist deswegen noch dramatischer, weil es hier um Leib und Leben der Insassen und weiterer Teilnehmer am Straßenverkehr geht. Im aktuellen Fall konnte per Funk (Over the Air) auf sicherheitsrelevante Funktionen zugegriffen werden wie Bremsen, Seitenspiegel, Hupe, Türöffner, Kofferraum, Klimaanlage, Schiebedach, Licht, Sitzverstellung etc. in dem der Bordcomputer mit dem alle Komponenten verbindenden CAN-Bus – auch während der Fahrt - gehackt wurde.

 

Es entsteht der Eindruck, dass die Software, die das Auto steuert, unter Sicherheitsaspekten nicht hinreichend getestet ist; darauf deutet auch das von Tesla betriebene Bug Bounty Programm mit Prämien von früher 1.000.- $ und aktuell 10.000.- $ pro erkannter Sicherheitslücke. Anders als bei den üblichen Fahrfunktionen, bei denen der Fahrer vielleicht noch Fehlverhalten korrigieren kann, können Sicherheitslücken nicht (zeitnah) vom Fahrer behoben werden – weder kennt er sie, noch hat er hinreichende Fachkenntnisse.

 

Die natürliche Aufgabe des PKW-Herstellers ist also, die ihm nicht bekannten Sicherheitslücken tatsächlich systematisch und methodisch zu identifizieren. Anderenfalls können unter Ausnutzung der Sicherheitslücken die lebenswichtigen PKW-Funktionen wie Bremsen etc. übers Internet manipuliert werden.


smarterworld.de: Yahoo und Tesla sind große Vorreiter ihrer Branchen. Wenn schon die es nicht können, stellt deren Scheitern nicht die Seriosität aller Security-Behauptungen der Internet-Wirtschaft, IoT und Industrie 4.0 in Frage?


Professor Pohl: Immer noch glauben viele Anwender, 100% Security sei schon mit Grundschutzmaßnahmen zu erreichen; ja – viele glauben ja auch, dass ausschließlich Innentäter angreifen; und ihren Mitarbeitern vertrauen sie doch. Selbst Sicherheitstools wie Virensuchprogramme, Router, Firewalls, Verschlüsselung vieler Hersteller enthalten noch Sicherheitslücken, so dass sie von Angreifern außer Kraft gesetzt werden können. Diese Risiken sind im IoT und in Industrie 4.0 potenziert vorhanden.

 

smarterworld.de: Unternehmen, die die Verlockungen von Industrie 4.0 und Cloud hören, fragen sich jetzt: sind Clouds überhaupt sicher zu machen? Sind Produktionssysteme nach außen absicherbar?


Professor Pohl: Nein. Nicht solange die Organisierte Kriminalität Tausende unveröffentlichter Sicherheitslücken kennt!

 

smarterworld.de: Woran erkennt man als Kunde die »sichereren« Systeme? Kann man die kaufen?

 

Professor Pohl: Eine Lösung ist ganz einfach und auch preiswert zu haben: Setzen Sie für dieselbe Aufgabe keine unterschiedlichen Produkte ein. Sagen Sie Ihren (also wenigen) Produktlieferanten, sie sollen die unveröffentlichten Sicherheitslücken (Zero-Day-Vulnerabilities)  identifizieren und patchen. Nicht mehr und nicht weniger.

 

Dieses Security Testing ist Stand der Technik und wird in der seit mehr als 4 Jahren verabschiedeten ISO 27034 beschrieben. Im Übrigen: Wenn der Hersteller das Security Testing entwicklungsbegleitend durchführt, wird es noch preiswerter – er spart sich die enormen Patchkosten (und den Imageverlust) nach der Auslieferung seiner Produkte.

 

Dies haben bereits heute eine ganze Reihe von Herstellern erkannt und identifizieren und patchen die Sicherheitslücken ihrer Produkte proaktiv bereits während des Entwicklungsprozesses!

Seite 3 von 3

1. »Die Risiken sind unabsehbar«
2. Nachrichtendienste und organisierte Kriminalität spielen mit
3. Gehackte Teslas und worauf IT-Kunden achten sollten

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

softScheck GmbH