Software-Erosion – eine unterschätzte Gefahr im Internet of Things

In den vergangenen vier Jahren haben sich Jeremy Vaughan, Gründer von TauruSeer, und seine Tochter Jalen darauf verlassen, dass ein Glukosemonitor und die dazugehörige App das Leben des neunjährigen Mädchens mit Diabetes Typ 1 einfacher machen würden. Doch nur zwei Jahre später war die App nicht mehr so zuverlässig wie zu Anfang und wie es bei einer solchen Krankheit nötig wäre. Es kam zu potenziell lebensbedrohlichen Situationen, in denen die App einfach nicht reagierte und Jeremy Vaughan begann nachzuforschen. Ein Blick in die Bewertungen der App bei Google Play und im Apple App Store zeigte, dass es tausenden weiteren Nutzern genauso erging. Die App und damit das Hightech-Gerät waren damit praktisch nutzlos. Doch was war passiert?

Ein Blick in die Informationen zur App zeigte im Dezember 2018, dass das letzte Versionsupdate der App im Oktober 2016 vorgenommen wurde. In der Zwischenzeit waren jedoch sieben Versionsupdates von Android herausgekommen. Das heißt, die gesamte Umgebung, in der die App lief, hatte sich verändert – nicht jedoch die App. Sie war Opfer der sogenannten Software-Erosion geworden. Darunter versteht man die langsame Verschlechterung einer Software bis hin zur Inkompatibilität mit neuen und zukünftigen Softwareumgebungen. Die Performance nimmt ab, sie lässt sich schlechter anpassen und Programmfehler nehmen zu. Langfristig wird die Software damit unbrauchbar und zu einem Altsystem.

In Fällen wie bei Jalens Glukosemonitor kann Software-Erosion potenziell tödlich enden und Jeremy Vaughan hat in den letzten Jahren viele weitere Fälle entdeckt, in denen medizinische Geräte auf dem besten Weg zum Altsystem sind oder bereits dort angekommen waren. Während in den vergangenen Jahren häufig im Zuge von Compliance-Richtlinien an der Cybersicherheit der Apps gearbeitet wurde, blieben Probleme mit dem Betriebssystem unbehandelt und entwickeln sich langsam aber sicher zu einem großen Sicherheitsrisiko – und diese Gefahr beschränkt sich nicht nur auf medizinische Geräte und die dazugehörigen Apps, sondern auf das gesamte Internet of Things.

Viele dieser Geräte nutzen Künstliche Intelligenz und lernen dazu. Das heißt aber auch, dass sie erhebliche Mengen an lokalem Code enthalten. Der Haken an der Nutzung dieser Geräte ist, dass eine erhebliche Menge an Software gepflegt werden muss. Schätzungen zufolge generieren und verarbeiten Unternehmen derzeit rund 10 Prozent ihrer Daten über solche smarten Geräte und diese Zahl soll in den nächsten fünf Jahren um 75 Prozent steigen. Das birgt jedoch einen ganzen Rattenschwanz an möglichen Fehlerquellen und Schwachstellen.

Wie schnell sich eine Softwareumgebung ändern kann, zeigt ein Blick in die Versionshistorie von Android: Allein seit November 2014 sind 16 Systemupdates veröffentlicht worden, von denen nur noch fünf unterstützt werden. Nun sind sechs Jahre zwar in der technischen Welt eine lange Zeit, doch für viele, gerade teure Maschinen, etwa in der Produktion, ist damit die Lebensdauer noch lange nicht erreicht. Unternehmen sind also darauf angewiesen, dass die Steuerung ihrer Produktionsmittel mit Android 11 genauso funktioniert wie bei der Anschaffung mit Android 5.0, denn während Softwareprobleme bei einer Waschmaschine oder einem Fernseher zwar ärgerlich sind, sieht es bei Fahrzeugen oder schweren Maschinen schon deutlich kritischer aus. Produktionsausfälle oder schwere, potenziell tödliche Unfälle wären die Folge – und dass nur, weil Steuerungs-Apps nicht an die Gegebenheiten der neuen Softwareumgebung angepasst wurden. Und selbst wenn es aktualisierte Versionen gibt, könnten fehlende oder allzu komplizierte Updatemöglichkeiten der IoT-Geräte zum gleichen Ergebnis führen. Die Hersteller sind also gefordert, es nicht dazu kommen zu lassen.
Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Kent Gaertner
Pressereferent
Telefon: +49 (30) 3030808913
Fax: +49 (30) 30308089-20
E-Mail: gaertner@quadriga-communication.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel