Die Software und Services von Rhebo überwachen die Datenkommunikation sowohl innerhalb der Automatisierungstechnik als auch auf verteilten kritischen IoT-Geräten – unabhängig von der in den IoT-Geräten eingesetzten Software-Bibliothek. Angriffe, Schwachstellen sowie technische Fehlerzustände werden in Echtzeit gemeldet. Das soll vor Attacken im Zusammenhang mit Ripple20 schützen. (Bild: Rhebo)
Diese Software arbeitet unabhängig von der funktionalen, in IoT-Geräten eingesetzten Software. Das Bekanntwerden der Ripple20-Schwachstelle zeigt erneut die „eklatant hohe Unsicherheit bestehender IoT-Netzwerke“, schreibt Rhebo in einer aktuellen Pressemitteilung. Was diese insgesamt 19 Schwachstellen besonders problematisch mache, sei, dass die betroffene Software-Bibliothek der Firma Treck vielerorts überhaupt nicht mehr identifizierbar sei. Diese Bibliothek bilde das Fundament für die Netzwerkkommunikation der IoT-Geräte und werde seit mehr als 20 Jahren weltweit verkauft. Käufer können die Software-Bibliothek nach ihren eigenen Anforderungen anpassen, weiterentwickeln und das Ergebnis nachfolgend unter eigenem Namen oder als Whitelabel weiterverkaufen. In den 1990er Jahren gab es außerdem eine Kollaboration mit dem japanischen Unternehmen Zuken Elmic, die das Produkt unabhängig weiterentwickelt habe.
Ripple20 bedroht das IoT
Die Experten des israelischen Forschungslabors JSOF, die die Ripple20-Schwachstelle entdeckten, sprechen hierbei von Supply Chain Dissemination und warnen: „Der ursprüngliche Käufer könnte sich für ein Rebranding entscheiden oder von einem anderen Unternehmen erworben werden, wobei die ursprüngliche Bibliotheksgeschichte in den Firmenarchiven verloren geht. Mit der Zeit könnte die ursprüngliche Bibliothekskomponente praktisch nicht mehr erkennbar werden.“ Die Spuren der Bibliothek sind größtenteils verwischt. Selbst die großen Hersteller wie Schneider Electric, HP und Rockwell Automation können nicht sicher sein, ob sie alle Stellen in ihren IoT-Geräten identifizieren können, meint Rhebo. Denn in diesen können weitere Komponenten von Drittanbietern verbaut sein, in denen die Bibliothek womöglich unter anderem Namen integriert ist. Kurz: Die Ripple20-Schwachstellen in IoT-Geräten sind nicht vollständig patchbar.
Die JSOF empfiehlt in ihrem technischen Paper deshalb, mittels Deep Packet Inspection anormalen IP-Verkehr auf IoT-Geräten zu identifizieren und konsequent zu blocken. Rhebo bietet dafür seit diesem Jahr mit seiner Sicherheits-Software IoT Device Protection eine schlanke Lösung mit entsprechenden Funktionen, die auch in bestehende IoT-Netzwerke integriert werden kann.
HMS reagiert schnell auf Ripple20-Schwachstelle
Thilo Döring, Geschäftsführer HMS Deutschland: „Wir können unsere Kunden beruhigen. Aktuelle Produkte sind von dem gefährdeten TCP/IP-Stack der Firma Treck nicht betroffen.“ HMS
Der schwedische Hersteller von Netzwerktechnik, HMS Industrial Networks, hat zügig auf die Ripple20-Schwachstelle reagiert und seine Netzwerk-Produkte auf die Ripple20-Schwachstelle untersucht. Ergebnis: Nur einige wenige ältere Produkte sind potenziell anfällig. Zu der vollständigen Nachricht von HMS auf gelangen Sie hier.
IoT-Sicherheit sollte unabhängig sein
Ein Cybersicherheitsansatz muss unabhängig von den Funktionalitäten der IoT-Technologien wirken, befindet Rhebo. Denn es wäre unrealistisch, alle IoT-Geräte von Grund auf neu zu konzipieren – und auch nicht zielführend, weil jede Neuentwicklung wiederum neue Lücken und Schwachstellen schaffe. Der Ansatz, die Cybersicherheit in allen IoT-Geräten zu integrieren und auf deren spezifische Rahmenbedingungen anzupassen, sei realistisch und umsetzbar. Die Lösung dafür gebe es bereits mit der genannten Sicherheits-Software. Sie lernt aktiv mit, beschränkt sich also nicht ausschließlich auf bekannte Gefahrensignaturen. Stattdessen filtert sie auch nach Aktionen, die nicht in das eigentliche Verhaltensmuster des Geräts passen. Ein Großteil der durch Ripple20 ausführbaren Angriffstaktiken gleicht beispielsweise Kommunikationsvorgängen, die für Firewalls legitim wirken. Neben Signaturen wird deshalb auch anomales Verhalten erkannt, geblockt und gemeldet. Die Sicherheits-Software wird direkt auf dem vernetzten IoT-Gerät integriert, um lokal zu wirken und die restliche Flotte der vernetzten IoT-Geräte zu schützen. Das ist umso wichtiger in IoT-Netzwerken, in denen die vernetzten Geräte auf identischer Technologie laufen.
(dw)
