Kritische Systeme verteidigen: Muss es „smart“ sein?

Originalartikel von Raimund Genes, Chief Technology Officer

Überall geraten „kritische“ Systeme mehr und mehr ins Visier von Angreifern. Vor einiger Zeit wurde darüber diskutiert, ob Flugzeuge oder auch Smart Grids gehackt werden können. Vor etwa einer Woche nun, ist sind die LOT Polish Airlines Opfer eines Distributed Denial-of-Service (DDoS)-Angriffs geworden. Es zeigt sich, dass in vielen Fällen diese kritischen Systeme auf der Basis von quelloffener Software von der Stange gebaut wurden. Noch vor zehn Jahren galt Open Source-Software als sicherer. Heartbleed und Shellshock haben jedoch der Öffentlichkeit gezeigt, dass quelloffene Software ihre eigenen Probleme hat. Technisch weniger Bewanderte könnten der Software Comminity die Frage stellen, wie es möglich war, den Karren so in den Sand zu fahren.

Sicheren Code zu entwickeln ist auch unter den besten Bedingungen schwierig, und leider ist dieses Thema für die meisten Entwickler nicht die erste Priorität. Es ist eine Sache — wenn auch schlimm genug –, ist ein Spiel oder ein Browser unsicher, doch es ist etwas ganz anderes, wenn ein SCADA-Gerät, das Teil eines Elektrizitätswerks ist, abstürzt oder ein medizinisches Gerät gehackt wird und ein Patient zu Schaden kommt.

Nun werden smarte Geräte immer häufiger eingesetzt auch in kritischen Umgebungen, und deshalb müssen Softwareentwickler verstehen, dass sie eine größere Verantwortung für die Sicherheit ihrer Produkte tragen. Möglicherweise müssen auch die Regulierer in den entsprechenden Branchen neue Regeln festlegen, die die Sicherheit der Software garantieren helfen! Angesichts der ernsten Konsequenzen, die schlechte Software haben kann, ist das eine durchaus realistische Forderung.

Genauso wichtig ist es, zu entscheiden, was geschützt werden muss und was online gehen soll. Beispielweise sagen viele, Smart Meter sind sicherer und tragen zur Stromeinsparung bei. Das mag wahr sein, doch welche Konsequenzen hat das? Wer kontrolliert diese Geräte? Wer darf auf sie zugreifen?

Wenn wirklich kritische Geräte Online gestellt werden, müssen sie entsprechend gesichert sein. Die eingesetzte Software muss mit Best Practices entwickelt werden und gegen Exploits gehärtet sein. Auch bedarf es der Tests mit Black Box-Methoden, um die kritischen Systeme gegen bekannte Schwachstellen und Angriffe zu rüsten.

Immer mehr kritische Systeme werden künftig verbunden werden. Die Softwareindustrie muss verantwortlich handeln, um zu gewährleisten, dass die Sicherheitsfehler der Vergangenheit nicht wiederholt werden – womöglich mit negativen Folgen für die Gesellschaft insgesamt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*