Über unsMediaKontaktImpressum
Mirko Ross 13. April 2021

Cybersicherheit im Internet der Dinge führt zu einem Nachhaltigkeitsproblem

Wenn der Landwirt bei der Reparatur seines Mähdreschers zum Cyberkriminellen wird...

Produkte im Internet der Dinge vor Hacking und Cyberangriffe zu schützen ist eine schwierige Aufgabe. Oftmals führen gut gesicherte Produkte zu schwierigen Nebeneffekten wie verkürzten Lebenszyklen und erschwerter bis unmöglicher Reparatur. Das Internet der Dinge bewegt sich im Spannungsfeld zwischen Produktsicherheit und Nachhaltigkeit mit oftmals gravierenden negativen Folgen für Hersteller, Verbraucher und Umwelt.

Landwirte in aller Welt riefen 2020 zum Boykott des Landmaschinen-Herstellers John Deere auf. Stein des Anstoßes war die Änderung der Software-Benutzungsbedingungen (EULA) für John-Deere- Maschinen wodurch eine "Do it yourself"-Reparatur von Maschinen für Landwirte unmöglich wurde. Die US-Verbraucherschutzorganisation U.S. PIRG erkannte das Problem: ein Mähdrescher Modell S760 verfügt über ein hochkomplexes vernetztes digitales Steuerungssystem aus Aktoren und über 125 unterschiedliche Sensoren. Tritt an diesen digitalen Komponenten eine Störung auf, so verweigert der moderne Mähdrescher seinen Dienst, bis die Störung behoben wird.

Wer traditionelle Landwirtschaft kennengelernt hat, weiß, dass Landwirte es gewohnt sind, Fehler an Maschinen meist selbst und vor Ort zu beheben. Insbesondere in den Erntemonaten gibt es sehr enge Zeitfenster, die je nach Wetterlage eine schnelle Erntearbeit erfordern. Fallen wichtige Maschinen als Erntehelfer aus, so droht dem Landwirt unter Umständen ein Totalausfall seines Ertrages. Die Fähigkeiten zur DIY-Reparatur sind also eine wichtige Voraussetzung für viele Landwirte, um wirtschaftliche Risiken durch Maschinenausfälle minimieren zu können. Nun aber versagen ausgerechnet hocheffiziente Erntemaschinen ihren Dienst auf dem Feld und fordern den betroffenen Landwirt dazu auf, den vom Steuerungssystem angezeigten Fehler durch eine Fachwerkstätte beheben zu lassen. Dem Landwirt sind die Hände gebunden, denn ihm fehlen sowohl die notwendigen digitalen Diagnosesysteme, um den Fehler eindeutig identifizieren zu können, als auch die Software-Berechtigungen zum Austausch von digitalen Komponenten wie Sensoren und Steuerungseinheiten. Die Gefahr: Ernte futsch und deutlich erhöhte Reparaturkosten durch die Fachwerkstatt. Zusätzlich hatte der Landmaschinenhersteller seine vernetzten Maschinen mit neuen Software-Benutzungsbedingungen ausgestattet (EULA), die eine "Überlassung" der Software zum Gebrauch einräumt, deren Gültigkeit allerdings erlischt, sobald unautorisiert eine Manipulation festgestellt wird. Jegliche Änderungen sind dem Hersteller und autorisierten Fachwerkstätten vorbehalten.

Der Kunde einer hochgradig vernetzen modernen Erntemaschine erwirbt also die "Hardware" im oberen sechs- bis siebenstelligen Preissegment, während die zum Betrieb notwendige Software vom Hersteller nur zur Nutzung überlassen ist. Die neue EULA war ein zusätzlicher Tropfen, der das Fass zum Überlaufen brachte und global Landwirte und Verbraucherschützer zum Sturm auf die Barrikaden trieb.

Jailbreak ist keine Lösung

Vernetzte Produkte stellen eine Mischform zwischen Software und Hardware dar. Die Funktion des Produktes wird über das Zusammenspiel von Software- und Hardware definiert. Während die Hardware-Eigenschaften einmal festgelegt wurden und der Kunde diese käuflich erworben hat, sind die Eigentümlichkeiten und Rechtsverhältnisse bei den Software-Komponenten komplizierter. Im Internet der Dinge verschmelzen Hard- und Software, was dazu führt, dass die Hardware nicht ohne die Bedingungen der Software genutzt oder im Falle der Landmaschinen repariert werden kann. Das Resultat ist ein komplexes Konstrukt, welches dazu führt, dass der Anwender im Gebrauch und Betrieb des Produktes vom Hersteller eingeschränkt wird. Im Internet der Dinge verändern sich die Beziehungen und Machtverhältnisse zwischen Verbraucher und Produzent. Es ist aus Gesichtspunkten der Cyber- und funktionalen Sicherheit durchaus sinnvoll, den Zugriff auf die Software eines Gerätes im Internet der Dinge einzuschränken. Der eingeschränkte Zugriff schützt das Gerät vor Manipulationen beispielsweise durch Hackerangriffe. Für viele Geräte ist es ebenso sinnvoll, den Zugriff und Betrieb auf Software innerhalb der Baugruppen und Komponenten zu beschränken. Praktisch geschieht dies in der Regel über den Einsatz von Software-Zertifikaten in Kombination mit kryptografisch gesicherten Hardware-Bauelementen (Trusted-Platform-Modulen, TPM). Eine Software kann nur innerhalb des Anwendungssystems installiert und betrieben werden, sofern die Zertifikate und die in der Hardware gespeicherten Schlüssel gültig sind. Ein solches System ist vor Manipulationen der Software und Hardware geschützt.

Wer eine Reparatur mittels Jailbreak durchführt, befindet sich im Bereich der Cyberkriminalität

Dieser IT-technische Grundschutz stellt allerdings ein Problem in der Nachhaltigkeit vernetzter Produkte dar. Faktisch kann nur der Hersteller – oder seine autorisierten Vertragspartner – ein solches Produkt warten und reparieren, da dazu das Recht zur Signatur von Soft- und Hardware mit gültigen Zertifikaten zu administrativen Systemzugängen benötigt werden. Wer dieses Sicherungssystem umgehen möchte, muss faktisch einen Jailbreak durchführen. Dieser wiederum verstößt i. d. R. gegen die abgeschlossenen Betriebsvereinbarungen (EULA) zur Nutzung der vom Hersteller überlassenen Software, was meist zum Erlöschen des Nutzungsrechtes führt und damit die Nutzung des vernetzen Gerätes erheblich einschränkt oder komplett unmöglich macht. Zudem führt ein Jailbreak nach deutschem Recht unter Umständen in einen Straftatbestand nach §202a Strafgesetzbuch:

"(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."

Ein Jailbreak basiert faktisch auf dem Ausnutzen von Schwachstellen in IT-Systemen mit technischen Mitteln. Wer also eine Reparatur ohne Zustimmung des Herstellers mittels Jailbreak durchführt, befindet sich im Sinne der deutschen Justiz im Bereich der Cyberkriminalität.

Eine absurde Vorstellung, wenn der Landwirt bei der Reparatur seines Mähdreschers zum Cyberkriminellen wird. Aus Sicht der Cybersicherheit ist die Kombination von digitalen Zertifikaten und TPM-Bauelementen sinnvoll und wichtig. Aus Sicht der Anwender und der Nachhaltigkeit führen diese in ein Dilemma: Reparaturen werden komplizierter bis unmöglich und ein Umgehen der Restriktionen kann nach deutschem Recht illegal sein.

Verkürzter Lebenszyklus vernetzter Produkte

Nicht nur erschwerte Reparatur ist eine Herausforderung für eine nachhaltige Nutzung von Produkten im Internet der Dinge. Die Cybersicherheit der Produkte über den Lebenszyklus ist eine zusätzliche Erschwernis. Wer vernetze Produkte sicher betreiben möchte, muss jederzeit bekannt gewordene Soft- und Hardware-Schwachstellen schließen können. Im Bereich der Software und Firmware erfolgt dies über Patches und Updates. Im Bereich von Hardware-Schwachstellen über den Austausch der betroffenen Komponenten. Beides ist für einen Großteil vernetzter Produkte eine Herausforderung.

Es gibt nicht ausreichend Anreize, die Nachhaltigkeit zu erhöhen, da ein verkürzter Produktlebenszyklus auch wirtschaftlich interessant ist

Eine Erntemaschine kommt im Laufe ihres Betriebs auf 20.000 – 30.000 Einsatzstunden, wobei bei einer Session ungefähr 1.000 – 1.500 Stunden anfallen. Das bedeutet eine Lebensdauer von 20 Jahren mit 10-15 aufwändigeren Reparaturzyklen, bei denen Verschleißteile ausgetauscht werden müssen. Betrachtet man eine moderne Erntemaschine als hochkomplexes digitales Gerät – gewissermaßen als Smartphone auf Rädern – so kann dessen Lebenszeit mit der durchschnittlichen Supportdauer eines Smartphones verglichen werden: diese beträgt bei Apple-iOS-Geräten zwischen 4 – 5 Jahren. Nach Ablauf dieser Zeit sind für Smartphones mit älteren iOS-Versionen keine Software-Updates und Patches verfügbar. Die Geräte sind faktisch nicht mehr sicher zu betreiben. Microsoft hat im vergangenen Jahr das Aus für den Software-Support für Windows 7 verkündet. Damit endet nach fast zehn Jahren die Unterstützung durch Microsoft. Doch eine Migration von vernetzten Maschinen und Anlagen zu einem aktuellen Microsoft-Betriebssystem gestaltet sich in vielen Fällen kompliziert, da alte Steuerungshardware nicht den Anforderungen neuer Betriebssysteme gerecht wird. Die Migration des Betriebssystems erfordert einen Austausch zentraler Hardware-Elemente, was den Aufwand und die Kosten bei der Einführung eines aktuelleren Betriebssystems in die Höhe treibt. Zudem müssen ältere Sensorsysteme und deren Bus-/Protokollsysteme an das neue Betriebssystem angeschlossen werden, was teilweise schlicht unmöglich ist oder zusätzliche neue Sicherheitsprobleme aufwirft. Im schlechtesten Fall limitiert die Lebensdauer der Software die Lebensdauer der Hardware vernetzter "smarter" Produkte auf fünf bis zehn Jahre im sicheren Betrieb. Während vergleichbare unvernetzte Investitionsgüter eine Lebensdauer von zwanzig Jahren und deutlich mehr aufweisen. "Smart" bedeutet also leider meist nicht eine höhere Nachhaltigkeit des Produktes. Für die Hersteller wiederum gibt es nicht ausreichend Anreize, die Nachhaltigkeit vernetzter Produkte zu erhöhen, da ein verkürzter Produktlebenszyklus für Hersteller auch wirtschaftlich interessant ist.

Beispiel: Der Fall Sonos

Ein spektakuläres Beispiel ist hier der Fall des Audio-/Hifi-Produzenten Sonos. Als Premium-Hersteller verfügt Sonos über zahlreiche Produktlinien im Smart-Home-Audio-Bereich. Dabei können Sonos-Produkte untereinander kombiniert und zu smarten Anwendungen vernetzt werden. Es handelt sich bei Sonos um einem Hersteller im Premium-Bereich: qualitativ hochwertige Produkte, außerordentliche Qualität und eine lange Betriebsdauer, für die Kunden gerne einen höheren Anschaffungspreis in Kauf nehmen. Umso überraschter waren Kunden von der Ankündigung des Herstellers, den Software-Support für "ältere" Produkte einzustellen. Als "älter" definierte der Hersteller hier Smart-Speaker-Produkte aus den Jahren 2007, 2009 und 2015. Das jüngste Produkt hatte somit eine Lebenszeit von fünf Jahren. Verschärft wurde die Ankündigung dadurch, dass Sonos bei vernetzen System den Produktsupport für alle Geräte einstellt, sofern sich darunter eines aus den genannten Modellen des abgelaufenen Supportes befindet. Das bedeutet, auch ein neu angeschafftes smarten Sonos-Produkt erhält keine Software-Updates und Patches, falls dieses Produkt mit einem veralteten Sonos-Produkt verbunden ist. Kunden mit alten Produkten konnten diese beim Erwerb eines neues Sonos-Gerätes in Zahlung geben und damit einen Rabatt auf eine Neuanschaffung erhalten. Sonos nutzte also die Verweigerung des Software-Supports zur Erzeugung eines neuen Produktabsatzes. Der Aufschrei von Sonos-Kunden war gewaltig. So gewaltig, dass der Hersteller von der restriktiven Umsetzung zur Verweigerung von Software-Updates in Netzwerken mit älteren Geräten Abstand nahm und sich der CEO von Sonos in einer öffentlichen Stellungnahme bei der treuen Kundschaft entschuldigte. Was bleibt, ist ein irreparabler Vertrauensverlust bei Kunden.

So können Hersteller und Kunden IoT-Lebenszyklen verlängern

Tatsächlich ist es als Hersteller ein leichtes, sich in verkürzte Produkt-Lebenszyklen im Internet der Dinge zu verirren. Eine nachhaltige Nutzung der Produkte erfordert entweder ein radikal geändertes Geschäftsmodell oder ein neuartiges Produktdesign und neue Support-Modelle.

Hochpreisige Investitionsgüter sollten digitale Steuerungs-, Sensorik- und Aktorik-Baugruppen in modular austauschbaren Einheiten organisieren. Der Austausch muss ein Soft- und Hardware-Upgrade während des Lebenszyklus ermöglichen, damit das Gerät sowohl funktional wie auch in puncto Cybersicherheit laufend den steigenden Anforderungen angepasst werden kann.

Bei der Versorgung mit Patches und Updates kommen viele Hersteller bei einer Laufzeit von Jahren an eine deutliche Grenze des Machbaren. Es ist vielfach schwierig, die Infrastrukturen für eine Softwareentwicklung für ältere Geräte bereitzustellen: dies fängt beim Wissen der Mitarbeiter an, betrifft die Unterstützung durch Bauteil-Lieferanten sowie Softwareentwicklungswerkzeuge und Compiler. Auch hier sind neue Designprinzipien gefragt: beispielsweise vom Hersteller imitierte Programme, die den Austausch und Ersatz von älteren Bauteilen ermöglicht, so dass diese wieder zuverlässig mit Sicherheits-Updates und -Patches versorgt werden können. Zudem sollten Hersteller alternativer Komponenten nicht über eine restriktive Zertifikatsvergabe oder durch TMP-Systeme ausgeschlossen werden, damit Produkte auch dann repariert werden können, wenn der eigentliche Hersteller den Support eingestellt hat.

Das EU-Parlament hat 2020 die Initiative ergriffen, um das "Recht auf Reparatur" in einheitliche europäische Regelungen münden zu lassen. Ziel ist es, Rechte der Verbraucher zu stärken und die Nachhaltigkeit von Produkten zu verbessern. Dies soll dadurch erreicht werden, dass die Industrie auf gemeinsame Normen und Maßstäbe zur Reparatur von Produkten verpflichtet wird. Die politische Debatte ist damit eröffnet und die Wahrscheinlichkeit hoch, dass sich die Industrie mittelfristig auf neue Standards setzen muss. Cybersicherheit hat einen Einfluss auf die Reparatur und den Lebenszyklus von Produkten. Daher wird die Frage der Cybersicherheit im aktuellen politischen Diskurs eine Rolle spielen.

Autor

Mirko Ross

Mirko Ross ist ein international anerkannter Aktivist, Experte, Redner, Publizist und Forscher im Bereich Cybersicherheit und Internet der Dinge.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben