Chaos Computer Club, Frank Rieger,Industrie 4.0,IoT

Frank Rieger vom Chaos Computer Club zeigt die Risiken von heutigen IoT-Lösungen auf. - Bild: Wikipedia / Tobias Klenze / CC-BY-SA 4.0.

IT-Sicherheit ist für die meisten Unternehmen ein dröges und eher ungemütliches Thema. Zwar wissen alle, dass es im Zweifelsfall um viel geht, die Bedrohung bleibt jedoch oft abstrakt. „Es gibt Risiken im Kontext von Industrie 4.0 und Internet of Things, aber man sieht meist einen unkritischen Umgang mit den Problemen, die daraus entstehen“, stellte Frank Rieger fest. Der Sprecher der Hacker-Vereinigung Chaos Computer Club sieht die Softwaretechnologie in einer Krise: Es sei eigentlich ein sehr schlechter Zeitpunkt, an schlechte Software auch noch physische Aktoren zu hängen.

Heftpflaster helfen nicht mehr

Eines der Probleme ist demnach die Verlagerung von Komplexität. Ein Smartphone habe ein integriertes Chipset mit 16 bis 24 CPUs und acht bis zwölf verschiedenen Betriebssystemen – so trage man in der Hosentasche eine Komplexität herum, für die man früher ein Data Center mit vielen Admins gebraucht hätte. „All die ganzen Tricks, die wir uns ausgedacht haben, um Angriffe weniger schlimm zu machen, sogenannte Mitigations, zerfallen gerade“, ist sich Rieger sicher. Die alten Heftpflaster für fragile Software würden nicht mehr helfen.

Als Beispiel für Angriffsflächen nannte er Malware auf Druckern und verwies auf eine aktuelle Meldung zu HP. „Der Königsweg, als Auditor ein Unternehmen ‚hopps zu nehmen‘, sind Drucker; oft wird derselbe Drucker in der Produktion und im Sekretariat benutzt“, berichtete der Experte. In Intel-PCs und -Laptops zum Beispiel stecke ein zusätzliches Betriebssystem namens Management Engine, das dem Computer die Realität simuliere und im Speicher Dinge tun könne, die man nicht sieht – eine Hintertür also. „Doof nur, dass diese Fernwartungsfunktion sehr angreifbar ist“, konstatierte Rieger.

Hoffen auf das Beste

All das seien Puzzlesteine aus der aktuellen IT-Security-Landschaft, über die man sich zunehmend Sorgen mache. „Die Software, die wir bauen und weiterentwickeln, wird in der Regel nie weggeschmissen“, erklärte der Experte. Ihre Langlebigkeit über Jahrzehnte führe dazu, dass Software aus einer Zeit im Einsatz sei, in der sicheres Programmieren und Bug-Klassen unbekannt waren.

Zugleich gebe es keine ökonomischen Incentives, den Wechsel zu machen. Gerade in Industriebetrieben seien häufig Steuerungen mit sehr alter Software verbaut, deren Update teilweise extrem teuer sei, weil das auch einen Hardware-Austausch voraussetze.

Stattdessen setze man dann auf eine Firewall, die eigentlich nur schwache Bedrohungen abwehren kann, und hoffe auf das Beste. Keine gute Grundlage für Industrie 4.0, meint Rieger. Besonders kritisch sieht er, dass hier sehr große Datenmengen bewegt werden. Hacker schauten sich spezifisch nach großen Datenvolumen als Angriffsfläche um, so habe es bei Android immer wieder Patches für den Media Player gegeben, weil dort komplexe, große Dateien verarbeitet würden. „Da machen Programmierer eher Fehler, das macht Schwachstellen wahrscheinlicher“, begründete Frank Rieger.

Vielzahl an Angriffswegen

Auch in der Industrial-Control-Welt gebe es viele Minicomputer mit Betriebssystemen und Software, die angreifbar seien, so insbesondere durch die immer häufiger in der Industrie eingesetzten Chipsets für WLAN. So musste beispielsweise Qualcom Atheros gerade eine Sicherheitslücke schließen, die durch Linux-Treiber entstand, mit denen Chipsets angefahren werden. „Die Verkettung und die Vielzahl von möglichen Angriffswegen führt dazu, dass man die Beherrschbarkeit dieser Technologie grundsätzlich in Frage stellen muss“, warnte der Security-Experte.

Heute bestehe die Realität von Software-Entwicklung darin, einige Bausteine aus Libraries und Frameworks zusammenzusetzen und aus anschließendem Finetuning, alles unter Zeitdruck. „Man verlässt sich darauf, dass die Frameworks schon sicher sein werden“, monierte Rieger.

So tickt die Industrial Value Chain Initiative

Beim Inventarisieren der vielen Komponenten gelte für Seurity-Auditoren jedoch als grobes Maß: Wenn die Liste mehr als eine Bildschirmseite lang sei, dann finde man garantiert etwas. Statt Engineering gehe es um „Gebastel“. „Wenn Sie sich das, was wir mit Software machen, in Mechanik vorstellen, wäre es nicht sehr schön“, stellte der Experte fest. Schon einfache Anwendungen, die so zusammengebaut werden, umfassten leicht mehr als zehn Millionen Zeilen Code.

Gute Chancen für Deutschland

Doch der Security-Spezialist sieht auch eine positive Entwicklung in Deutschland bei neuen Engineering-Ansätzen, die auf guten, schlanken und verständlichen Code setzen. Es gebe Betriebssystemkonzepte wie MirageOS, das darauf beruht, nur die Komponenten einzubauen, die von der Software wirklich gebraucht werden.

Viele dieser neuen Ideen müssten nur noch in die Öffentlichkeit gebracht werden. Diese Art des Herangehens bietet gerade für die deutsche Industrie eine große Chance, glaubt Frank Rieger, denn im asiatischen Raum gehe es vorwiegend um den Preis, es fehle die strukturelle Fähigkeit und die Motivation, sichere Lösungen herzustellen.

Mit dem was hier nun im Bereich Software-Engineering entstehe, gebe es überhaupt erstmals die Möglichkeit, strukturell sichere IOT- und Industrie 4.0-Lösungen zu bauen. Um solche sicheren Lösungen kommt man nicht herum, auch wenn es mehr Zeit braucht, meint Rieger. Dazu gehören für ihn auch rechtliche Themen oder eine Haftpflichtversicherung für Software.

„Wir brauchen andere Förderstrukturen, sodass gemeinnützige Startups entstehen können, um den Rückstand gegenüber dem Silicon Valley durch Überholen einzuholen“, forderte der Sprecher des Chaos Computer Club auf dem Fachkongress Industrie 4.0. Nicht alles müssten Unternehmen selbst stemmen, wenn es gemeinnützige Ansätze gebe. Mittlerweile existiere es auch eine gute akademische Vorarbeit für Lösungen, mit denen sich die Sicherheit von Software messen lasse.

Software ganz neu aufbauen

Aus Sicht des Experten muss Software komplett neu aufgebaut werden: Eine große Aufgabe, die Geld und Zeit kostet. „Sonst haben wir irgendwann cyberphysikalische Aktoren verbunden mit schlechter Software und wundern uns, warum die Mensch-Roboter-Kooperation doch nicht so gut funktioniert wie gedacht. Wir müssen den Plan für diese Zukunft machen, auch wenn es zehn Jahre dauert“, so Frank Rieger. Das Thema nicht anzugehen, sei hingegen keine Lösung.

  • Rolf Najork

    Rolf Najork, CEO der Bosch Rexroth AG, erklärte unter dem Motto "Change as a chance" den Weg von Bosch Rexroth zur Future Factory. - Bild: Anna McMaster

  • Axel Henning Saleck

    Dr.-Ing. Axel Henning Saleck, Academic Member der Industrial Value Chain Initiative, stellte die Ziele, Arbeitsweise und Aktivitäten der Industrial Value Chain Initiative (IVI) aus Japan vor. - Bild: Anna McMaster

  • Franz Böhnlein

    Franz Böhnlein, Leiter Fertigungsplanung Standorte Neckarsulm, China / CKD der Audi AG zeigte die Vision und Realität der Smart Factory am Beispiel der Produktion des neuen Audi A8. - Bild: Anna McMaster

  • Jarno Suomela

    Jarno Suomela, Head of Software Platform Portfolio bei Landis+Gyr Oy, stellte die Plattform-Strategie für Devices und Applikations-Software seines Unternehmens vor. - Bild: Anna McMaster

  • Ausstellung

    Auch im Ausstellungsbereich des 5. Fachkongresses Industrie 4.0 in Karlsruhe konnten sich die Besucher über die neusten Entwicklungen aus der Praxis informieren. - Bild: Anna McMaster

  • Wilk

    Claus Wilk, der Chefredakteur der Fachzeitung Produktion, führte durch die Veranstaltung. - Bild: Anna McMaster

  • Bick

    Prof.Dr. Werneer Bick, Generalbevollmächtigter der ROI Management Consulting AG, gilt als einer der größten Experten in Sachen Industrie 4.0. - Bild: Anna McMaster

  • Ausstellung

    Auch an den Ständen in der Ausstellung wurde viel über Technologien gefachsimpelt. - Bild: Anna McMaster

  • Blume

    SVV-Projektleiterin Franziska Blume hatte wie immer die Veranstaltung charmant im Griff. - Bild: Anna McMaster

  • Ausstellung 2

    An den Ständen der Aussteller standen die Kollegen stets für Fragen zur Verfügung. - Bild: Anna McMaster

  • Programm

    Angesichts des vollen Programms lohnte sich der wiederholte Blick in den Flyer um nichts zu verpassen. - Bild: Anna McMaster

  • Publikum

    Sichtlich gute Laune beim Publikum des Fachkongresses Industrie 4.0 in Karlsruhe. - Bild: Anna McMaster

  • Ausstellung 3

    Viele Fragen - und viele Antworten gab es in der Ausstellung zum Fachkongress Industrie 4.0 - Bild: Anna McMaster

  • Publikum 4

    Interessiert lauschte das Publikum den spannenden Fachvorträgen der I4.0-Experten. - Bild: Anna McMaster

  • Saal

    Der 5. Fachkongress Industrie 4.0 fand in der Messe Karlsruhe statt. - Bild: Anna McMaster

  • Publikum 5

    Angesichts der geballten Industrie-4.0-Praxis auf der Bühne schien es so manchem Gast die Sprache zu verschlagen. - Bild: Anna McMaster

  • VR

    Praxis, Praxis, Praxis lautet das Motto des Fachkongresses Industrie 4.0 - das will natürlich auch ausprobiert werden. - Bild: Anna McMaster