Die wachsende Bedeutung sicherheitskritischer Software im IoT

Das Internet der Dinge führt neue, manchmal unerwartete Sicherheiten ein Risiken.

Sicherheitskritische Anwendungen sind natürlich seit Jahrzehnten auf Software angewiesen. Das 1961 von John F. Kennedy gestartete Apollo-Flugprogramm nutzte beispielsweise eine Bord-Flugsoftware. Aber die Verbreitung vernetzter Geräte in industriellen Umgebungen hat eine Welt ermöglicht, in der Software Kernprozesse in Jets, Chemie- und Nuklearanlagen, Gebäude- und Sicherheitsalarmanlagen sowie selbstfahrenden Autos ausführt.

Generell überschattet das Thema Cybersecurity Fragen der Softwarequalität. „Ich denke, die Softwarewelt ist mit Sicherheit aufgewacht. Ich glaube, sie sind noch nicht von Sicherheitsbeschränkungen aufgewacht“, sagte Kate Stewart, Senior Director of Strategic Programs bei der Linux Foundation und Finalistin für den IoT World Leader of the Year Award.

[ IoT-Welt ist Nordamerikas größte IoT-Veranstaltung, bei der sich Strategen, Technologen und Implementierer vernetzen und IoT, KI, 5G und Edge in allen Branchen in die Tat umsetzen. Buchen Sie jetzt Ihr Ticket. ]

Wenn es um IoT und die Verschmelzung digitaler und physischer Welten geht, die die betriebliche Effizienz und Funktionalität von Geräten verändern können, von medizinischen Geräten bis hin zu militärischen Geräten. Aber Innovation befeuert auch einen Kollisionskurs von Softwareentwicklungsparadigmen, wie der Cybersicherheitsexperte Bruce Schneier in „Click Here to Kill Everybody:Security and Survival in a Hyper-connected World“ schrieb.

Einerseits gibt es das Paradigma der agilen Softwareentwicklung, bei dem Schnelligkeit und Anpassungsfähigkeit im Vordergrund stehen. Auf der anderen Seite steht die langsam voranschreitende Softwareentwicklungsmethodik, die in den Bereichen Luft- und Raumfahrt, Industrie, Medizin und Medizin zu finden ist. „Dies ist die Welt strenger Tests oder Sicherheitszertifizierungen und lizenzierter Ingenieure“, schrieb Schneier.

Bei der Linux Foundation ist einer von Stewarts Schwerpunkten das Zephyr-Projekt, das ein Echtzeit-Betriebssystem entwickelt hat die Sicherheit und Sicherheit für ressourcenbeschränkte Geräte priorisiert.

„Beim Internet der Dinge konzentrieren sich die Leute auf das, womit sie sich wohl fühlen“, sagt Stewart. „Ich konzentriere mich auf die tief eingebettete Seite und das sichere Sammeln von Daten.“ Letzteres beinhaltet die Zusammenarbeit mit Sicherheitsexperten, die sich traditionell nicht auf Software konzentrieren. „Ein Großteil der Sprache rund um die bestehenden Standards im Sicherheitsbereich ist 20 bis 30 Jahre alt“, sagte sie. Und die Elemente, die sich auf Software beziehen, sind oft veraltet, da sich die Softwareentwicklungsmethodik geändert und seitdem das Codevolumen erhöht hat.

Eine Herausforderung ist die manchmal verschwommene Frage, wie ein Software-Update unerwartete sicherheitsrelevante Probleme verursachen kann. Softwareentwickler, die in kritischen Infrastrukturen arbeiten, führen umfangreiche Analysen durch, bevor sie Software veröffentlichen. „Wenn Sie viele Sicherheitsupdates für diese Software durchführen, wird dann Ihre anfängliche Analyse ungültig? Was müssen Sie tun, um sicherzustellen, dass Sie durch die Anwendung eines Fehlers oder einer Sicherheitskorrektur die Dinge nicht noch schlimmer machen? Wir haben derzeit nicht unbedingt die besten Tools, um das herauszufinden“, sagte Stewart.

Eine weitere Hürde ist der traditionell geschlossene Charakter von Sicherheitsstandards. „Im Moment gibt es eine ganze Reihe von [Sicherheits-]Standards, auf die jeder schaut, und die interessante Herausforderung aus Open-Source-Perspektive besteht darin, dass diese Standards alle geschlossen sind“, sagte Stewart. „Open-Source-Entwickler wollen nicht unbedingt 3.000 Dollar zahlen, um sich die Standards anzusehen.“

Solche Herausforderungen bieten einen Grund für die weitere Zusammenarbeit zwischen Sicherheits-, Regulierungs- und Softwareexperten, sagte Stewart. „Wir arbeiten gerade mit Leuten zusammen, die [auf Sicherheit spezialisiert sind] und bei den verschiedenen Zertifizierungsstellen sowie möglicherweise einigen der Vorschriften, um zu verstehen, was wirklich wichtig ist und wie wir sichere Softwareentwicklung für alle praktikabel machen.“