Menü

Risiko Firmware

Firmware ist nur was für Profis? Von wegen: Heute hängen alltägliche Dinge im Internet und lassen sich darüber fernsteuern. Wenn die Heizungsanlage durchdreht und der DSL-Router für Angreifer offen steht, ist nicht selten veraltete Firmware schuld.

Von
vorlesen Drucken Kommentare lesen 106 Beiträge
Risiko Firmware

Firmware? Eine langweilige Sache für irgendwelche Profis, die gerne an Ihren PCs herumschrauben? Weit gefehlt! In den meisten Alltagsgegenständen steckt frei programmierbare Elektronik und damit auch Firmware: Vom Rauchmelder bis zur Waschmaschine, von der Heizung bis zum Auto, vom Herzschrittmacher bis zum Scharfschützengewehr. Das Problem: Im Schatten des viel beschworenen Internet der Dinge erleben längst ausgerottet geglaubte Sicherheitsprobleme eine Renaissance.

Was ursprünglich nur als Sammlung der skurrilsten und beängstigenden Pannen geplant war, deckte ein grundsätzliches Problem der umfassenden Vernetzung auf: Selbst wenn eine durch Firmware verursachte Lücke bekannt wird und der Hersteller nach mehren Monaten ein Update zuwege bringt, verschwindet das Problem nicht.

So hatte c't 2013 wiederholt über kritische Sicherheitslücken in Steuerungsanlagen berichtet ─ darunter befanden sich weit verbreitete Vailant-Heizungen, sogar Kirchenglocken ließen sich aus der Ferne läuten. Das Erschreckende: Auch zwei Jahre später spuckten einschlägige Suchmaschinen auf Anhieb dutzende IP-Adressen von betroffenen Anlagen aus, darunter die von Schulen und Feuerwachen. Während der Nachfrage bei Herstellern, Systemintegratoren und Betreibern der Anlagen erfuhr die Redaktion dann vor allem, wie man Update-Schwarzer-Peter spielt.

Dabei war das Bedrohungspotenzial durchaus eklatant, denn wer die Passwortliste mitliest, bekommt vollen Zugriff auf die Anlagen. In Italien öffneten etwa eine Papierfabrik und eine Solaranlage ihre Türen, in Norwegen eine Bioenergiezentrale, in Schweden eine Gebäudebelüftungsanlage und in den Niederlanden eine Fleischerei. Die Redakteure hätten aber auch mühelos in einer Handvoll deutscher Schulen in jedem Klassenzimmer die Heizungen hochdrehen und den Schülern Hitzefrei verschaffen können.

Anders als bei PC-Software existiert bei Firmware keine Kultur für Sicherheitsupdates, weder bei den Herstellern noch den Kunden. Folglich können Angreifer oft über Monate oder Jahre bekannte Lücken auszunutzen. Das Fazit der Redakteure: So lange zwar jede Imbissbude strengen Auflagen unterliegt, bei sicherheitskritischer Firmware aber jeder wurschteln kann wie er will, hat das Internet der Dinge einen faden Beigeschmack.

Den kompletten Bericht über die Risiken von Firmware und wie Sie sich schützen können, finden Sie in c't 21/15. Darin erfahren Sie außerdem, warum es kein Problem ist, einen Jeep aus der Ferne in den Graben zu lenken, Safes mit dem USB-Stick zu knacken oder smarte Scharfschützengewehre zu manipulieren.

(uk)

Anzeige
Anzeige