Lemminge 4.0

@ctmagazin | Editorial

Das Thema Firmware wirkt nur so lange dröge, bis Ihr Auto aus zügiger Fahrt plötzlich eine Vollbremsung hinlegt. Dank Firmware-Bugs können böswillige Angreifer aber auch einer Notfallzentrale die Lüftung abdrehen oder vernetzte Infusionspumpen Medikamente in tödlicher Dosis spritzen lassen. Auch als Werkzeuge für Spionage, Erpressung und Diebstahl eignen sich Sicherheitslücken in Firmware - siehe die Beispiele ab Seite 80.

Die häufigsten Fehler sind dabei steinalt; schließlich ist es seit Jahrzehnten üblich, dass Software wichtige Funktionen elektronischer Geräte steuert. Trotzdem tauchen fast jeden Tag neue Firmware-Pannen auf. Wie Lemminge in einer Zeitschleife stürzen sich Firmware-Programmierer immer wieder über dieselben Klippen. In scheinbar nagelneuer Firmware stecken Reste uralter Routinen oder ungeprüfte Binärprogramme fremder Zulieferer. Schutzfunktionen werden notdürftig angeflickt oder auf das Sankt-Nimmerleins-Update verschoben. Nicht einmal Standardpasswörter lassen sich ausrotten.

Schockierend daran sind nicht die einzelnen Fehler, sondern Untätigkeit und Unfähigkeit der Industrie. Bei der vierten industriellen Revolution und dem Internet der Dinge will zwar jeder das große Rad drehen, doch zu viele murksen dabei mit Werkzeugen aus der IT-Steinzeit herum. Wenn die Alles-Vernetzung tatsächlich unser Leben revolutioniert, dann wäre es wohl angemessen, unpassende und veraltete Konzepte über Bord zu werfen. Auch wenn das heißt: Zurück ans Reißbrett!

Doch aus Angst, bei Industrie 4.0 und Internet of Things den Anschluss zu verlieren, ignorieren zu viele Firmen solche Gefahren. Dass es ihnen an Wissen und Fachkräften fehlt, machen sie zum Problem ihrer Kunden - und kommen damit auch noch durch. Denn auch für Behörden, Prüfinstitute und Fachgremien sind Firmware-Bugs anscheinend Neuland: Normen und Vorschriften regeln für viele Gerätetypen jedes noch so kleine Detail - außer Software-Sicherheit.

Einem heute gekauften Auto oder einer Heizungsanlage stehen jedoch 8 bis 25 Jahre Nutzungsdauer bevor: reichlich Zeit für Angreifer, um sie auf Sicherheitslücken abzuklopfen. Aus gutem Grund würde wohl kein Entwickler eines Server-Betriebssystems für solche Zeiträume Sicherheit versprechen. Für manche aktuelle Firmware mit Web-Anschluss fehlt dagegen sogar eine Update-Strategie.

Bisher sind die Risiken für Firmware-Pannen ungerecht verteilt, sie liegen zu sehr bei den Käufern. Die wissen meist nicht einmal, an wen sie sich wenden sollen, wenn der Hersteller Hilfe verweigert. Aus Sicht der Industrie lohnt sich Sorgfalt deshalb nicht. Das wird sich erst ändern, wenn sie für ihren Pfusch endlich haften muss.

Christof Windeck Christof Windeck

Artikel kostenlos herunterladen

Kommentare