Produkte im Internet der Dinge vor Hacking und Cyberangriffen zu schützen ist unerlässlich. Gehackte IoT Endgeräte verursachen weltweit über 75% des Internet-Traffics durch Schadsoftware. Aber gut gesicherte vernetzte Produkte können auch zu schwierigen Nebeneffekten wie verkürzten Lebenszyklen und erschwerter bis unmöglicher Reparatur führen. Das Internet der Dinge bewegt sich also im Spannungsfeld zwischen Produktsicherheit und Nachhaltigkeit. Dies hat gravierenden Folgen für Hersteller, Verbraucher und Umwelt.
Ein traditionelles Auto hat im Schnitt einen Lebenszyklus von 11 Jahren. Gerade zu mystisch haben einige Automobilkonzerne die unverwüstliche Lebensdauer der eigenen Fahrzeuge zelebriert. War dies doch ein erhebliches Unterscheidungsmerkmal von „Made in Germany“ zum Vergleich der ausländischen Konkurrenz. Doch dieser Mythos schwindet im Angesicht moderner Elektrofahrzeuge und deren Eigenschaft als vernetztes Software Defined Vehicle. Das eMobil von Morgen wird nur eine durchschnittliche Lebenszeit von 7 Jahren erreichen. Das ist ein um ein Drittel kürzerer Produktlebenszyklus, wie beim alten Verbrenner. Das bedeutet zukünftig: mehr Ressourcenverbrauch bei einer gleichbleibenden Anzahl von Automobilen auf der Straße, da Hersteller deutlich schneller Altfahrzeuge durch Neufahrzeuge ersetzen werden. Ebenso interessant, werden Fragen zur Reparaturfähigkeit dieser neuen eMobil Flotten. Das Software Defined Vehicle wird, wie es der Name schon sagt, im Wesentlichen durch Softwarefunktionen bestimmt, während die klassische Hardware über Digital Right Management (DRM) und Software gebunden wird.
Einen Vorgeschmack auf diese neue Welt der Fahrzeugreparatur erlebt gerade die Landwirtschaft.
So riefen Landwirte aus aller Welt 2020 zum Boykott des Landmaschinen Herstellers John Deere auf. Stein des Anstoßes war die Änderung der Software-Benutzungsbedingungen (EULA) für John Deere Maschine sowie die Tatsache, dass eine „do it yourself“ (DYI) Reparatur von Maschinen für Landwirte unmöglich wurde. Die US-Verbraucherschutz Organisation U.S. PIRG erkennt das Problem: ein Mähdrescher Modell S760 verfügt über ein hochkomplexes verletztes digitales Steuerungssystem aus Aktoren und über 125 unterschiedliche Sensoren. Tritt an diesen digitalen Komponenten eine Störung auf, so verweigert der moderne Mähdrescher seinen Dienst, bis die Störung behoben ist. Wer traditionelle Landwirtschaft kennengelernt hat, weiß dass Landwirte es gewohnt sind Fehler an Maschinen meist selbst und vor Ort zu erledigen. Insbesondere in den Erntemonaten gibt es sehr enge Zeitfenster, die je nach Wetterlage eine schnelle Erntearbeit erfordern. Fallen wichtige Maschinen als Erntehelfer aus, so droht dem Landwirt unter Umständen ein Totalausfall seines Ertrages. Die Fähigkeiten zur DYI Reparatur sind also eine wichtige Voraussetzung für viele Landwirte, um wirtschaftliche Risiken durch Maschinenausfälle minimieren zu können. Nun aber versagen ausgerechnet hoch effiziente Erntemaschinen ihren Dienst auf dem Feld und fordern den betroffenen Landwirt dazu auf den vom Steuerungssystem angezeigten Fehler durch eine Fachwerkstätte beheben zu lassen. Dem Landwirt sind die Hände gebunden, denn ihm fehlen sowohl die notwendigen digitalen Diagnosesysteme, um den Fehler eindeutig identifizieren zu können, als auch die Software-Berechtigungen zum Austausch von digitalen Komponenten wie Sensoren und Steuerungseinheiten. Die Gefahr: Ernte futsch und deutlich erhöhte Reparaturkosten durch die Fachwerkstatt. Zusätzlich hatte der Landmaschinenhersteller in seine vernetzten Maschinen mit neuen Software-Benutzungsbedingungen ausgestattet (EULA), die eine „Überlassung“ der Software zum Gebrauch einräumt, deren Gültigkeit allerdings erlischt, sobald nicht autorisiert eine Manipulation festgestellt wird. Jegliche Änderungen sind dem Hersteller und autorisierte Fachwerkstätten vorbehalten.
Der Kunde einer hochgradig vernetzen modernen Erntemaschine erwirbt also die „Hardware“ im oberen sechsstelligen bis siebenstelligen Preissegment, während die zum Betrieb notwendige Software vom Hersteller nur zur Nutzung überlassen ist. Die neue EULA war ein zusätzlicher Tropfen, der das Fass zum Überlaufen brachte und global Landwirte und Verbraucherschützer zum Sturm auf die Barrikaden trieb. Dieser Fall erregte insbesondere in den landwirtschaftlich geprägten Bundesstaaten der USA eine hohe Aufmerksamkeit. Die Folge sind spezielle neue gesetzliche Regelungen zum „Right to Repair“ in einigen Bundesstaaten der USA. Diese Ziele darauf ab, Hersteller von vernetzten Geräten und Maschinen zur besseren Reparaturfähikeit zu verpflichten. Auch in Europa beschäftigt sich das EU Parlament und die EU Kommission mit diesem Thema und es ist zu erwarten, dass Auflagen zur Reparaturmöglichkeit in die Novelle der Richtlinie zur Produkthaftung mit einfließen. Aus Sicht der Cybersicherheit, ist die Kombination von digitalen Zertifikaten und TPM Bauelementen sinnvoll und wichtig. Aus Sicht der Anwender und der Nachhaltigkeit führen diese in ein Dilemma: Reparaturen werden komplizierter bis unmöglich und ein Umgehen der Restriktionen kann nach deutschem Recht illegal sein.
Hacking und Jailbreak ist keine Lösung
Vernetze Produkte stellen eine Mischform, zwischen Software und Hardware dar. Die Funktion des Produktes wird über das Zusammenspiel von Software- und Hardware definiert. Während die Hardware-Eigenschaften einmal festgelegt wurden und der Kunde diese käuflich erworben hat, sind die Eigentümlichkeiten und Rechtsverhältnisse bei den Software-Komponenten komplizierter. Im Internet der Dinge verschmelzen Hardware- und Software, was dazu führt, dass die Hardware nicht ohne die Bedingungen der Software genutzt oder im Falle der Landmaschinen repariert werden kann. Das Resultat ist ein komplexes Konstrukt, welches dazu führt, dass der Anwender im Gebrauch und Betrieb des Produktes vom Hersteller eingeschränkt wird.
Im Internet der Dinge verändern sich die Beziehungen und Machtverhältnisse zwischen Verbraucher und Produzent. Es ist aus Gesichtspunkten der Cybersicherheit und funktionaler Sicherheit durchaus sinnvoll, den Zugriff auf die Software eines Gerätes im Internet der Dinge einzuschränken. Der eingeschränkte Zugriff, sichert das Gerät vor Manipulationen beispielsweise durch Hackerangriffe. Bei einem vernetzten Auto ist dies unerlässlich und bei einem autonomen Fahrzeug wird der Schutz der Sensoren vor Manipulation ebenso wichtig, wie der Schutz der reinen Software. Hier wird es zudem eine Änderung der Haftung im Straßenverkehr geben. Bei traditionellen Fahrzeugen haftet der Mensch hinter dem Steuer im Falle eines Unfalls. Während bei einem autonomen Fahrzeug, diese Haftung auf den Hersteller des Fahrzeuges übergehen wird. Denn der Hersteller liefert die Hard- und Software, die das autonome Fahren ermöglicht. Wird ein Unfall durch einen Fehler in diesem System erzeugt, so haftet der Hersteller. Daher werden Hersteller zum eigenen Schutz den Zugriff und Betrieb auf Software innerhalb der Baugruppen und Komponenten zu beschränken.
Praktisch geschieht dies in der Regel über den Einsatz von Software-Zertifikaten in Kombination mit kryptografisch gesicherten Hardware Bauelementen (Trusted Platform Modulen / TPM). Eine Software kann nur innerhalb des Anwendungssystems installiert und betrieben werden, sofern die Zertifikate und die in der Hardware gespeicherten Schlüssel gültig sind. Ein solches System ist vor Manipulationen der Software und Hardware geschützt.
Dieser IT technische Grundschutz stellt allerdings ein Problem in der Nachhaltigkeit vernetzter Produkte dar.
Faktisch kann nur der Hersteller – oder seine autorisierten Vertragspartner – ein solches Produkt warten und reparieren, da dazu das Recht zur Signatur von Soft- und Hardware mit gültigen Zertifikaten zur administrative Systemzugänge benötigt werden. Wer dieses Sicherungssystem umgehen möchte, muss faktisch einen Jailbreak durchführen, also sein eigenes Fahrzeug hacken. Dies wiederum verstößt i.d.R. gegen abgeschlossene die Betriebsvereinbarungen (EULA) zur Nutzung der vom Hersteller überlassenen Software, was meist zum Erlöschen des Nutzungsrechtes führt und damit die Nutzung des vernetzen Gerätes erheblich einschränkt oder komplett unmöglich macht. Zudem führt ein Jailbreak nach deutschem Recht unter Umständen in einen Straftatbestand nach §202a Strafgesetzbuch:
„(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Jeder Jailbreak basiert faktisch auf dem Ausnutzen von Schwachstellen in IT-Systemen, welches mit Hilfe von technischen Mitteln durchgeführt wird. Wer also eine Reparatur ohne Zustimmung des Herstellers mittels Jailbreak durchführt, befindet sich im Sinne der deutschen Justiz im Bereich der Cyberkriminalität. Eine absurde Vorstellung, wenn der Landwirt bei der Reparatur seines Mähdreschers zum Cyberkriminellen mutiert oder sich bei „Hackern“ im Darknet seinen Jailbreak einkaufen muss. Doch es ist Fakt: insbesondere die Ukraine als Land mit hohen Kompetenzen in der IT- und Landwirtschaft, hat sich als führender Lieferant für Jailbreaks von Landwirtschaftsmaschinen etabliert.
Verkürzter Lebenszyklus vernetzter Produkte
Nicht nur erschwerte Reparatur ist eine Herausforderung für eine nachhaltige Nutzung von Produkten im Internet der Dinge. Die Cybersicherheit der Produkte über den Lebenszyklus ist eine zusätzliche Erschwernis. Wer vernetzte Produkte sicher betreiben möchte, muss jederzeit bekannt gewordene Soft- und Hardware-Schwachstellen schließen können. Im Bereich der Software und Firmware erfolgt dies über Patches und Updates. Im Bereich von Hardware-Schwachstellen über den Austausch der betroffenen Komponenten. Beides ist für einen Großteil vernetzter Produkte eine Herausforderung.
Eine Erntemaschine kommt im Laufe Ihres Betriebs auf 20.000 – 30.000 Einsatzstunden, wobei bei einer Session ungefähr 1.000 – 1.500 Stunden anfallen. Das bedeutet eine Lebensdauer von 20 Jahren mit 10-15 aufwändigeren Reparaturzyklen, bei denen Verschleißteile ausgetauscht werden müssen. Betrachtet man eine moderne Erntemaschine als hochkomplexes digitales Gerät, gewissermaßen als Smartphone auf Rädern, so kann dessen Lebenszeit mit der durchschnittlichen Supportdauer eines Smartphones verglichen werden: diese beträgt bei Apple iOS Geräten zwischen 4 – 5 Jahre. Nach Ablauf dieser Zeit, sind für Smartphones mit älteren iOS Versionen keine Software Updates und Patches verfügbar. Die Geräte sind faktisch nicht mehr sicher zu betreiben.
Microsoft hat im vergangenen Jahr das Aus für den Software Support für Windows 7 verkündet. Damit endet nach fast Zehn Jahren die Unterstützung durch Microsoft. Doch eine Migration von vernetzten Maschinen und Anlagen zu einem aktuellen Microsoft Betriebssystem gestaltet sich in vielen Fällen kompliziert, da alte Steuerungshardware nicht den Anforderungen neuer Betriebssysteme gerecht werden. Die Migration des Betriebssystems erfordert einen Austausch zentraler Hardware-Elemente, was den Aufwand und die Kosten bei der Einführung eines aktuelleren Betriebssystems in die Höhe treibt. Zudem müssen ältere Sensorsysteme und deren Bus- / Protokollsysteme an das neue Betriebssystem angeschlossen werden, was teilweise schlicht unmöglich ist oder zusätzliche neue Sicherheitsprobleme aufwirft. Im schlechtesten Fall limitiert die Lebensdauer der Software, die Lebensdauer der Hardware vernetzter „smarter“ Produkte auf fünf bis sieben Jahre im sicheren Betrieb. In der Automobilwirtschaft zeigen neue Studien, das bei Elektroautos mit einem Lebenszyklus von 7 Jahren gerechnet wird, während ein traditionelles Verbrennerauto eine Lebensdauer von elf Jahren und deutlich mehr aufweist. „Smart“ bedeutet also leider meist nicht automatisch höhere Nachhaltigkeit des Produktes, sondern es gibt viele komplizierte Faktoren, die die Nachhaltigkeit eines vernetzten Produktes bestimmen. Für Hersteller wiederum gibt es aktuell nicht ausreichend Anreize, die Nachhaltigkeit vernetzter Produkte zu erhöhen, da ein verkürzter Produktlebenszyklus wirtschaftlich interessant erscheint.
Ein spektakuläres Beispiel ist hier der Fall des Audio- / Hifi Produzenten Sonos.
Als Premium-HiFI Hersteller verfügt dieser über zahlreiche Produktlinien im Smart Home Audio Bereich. Dabei können HiFI Produkte untereinander kombiniert und zu smarten Anwendungen vernetzt werden. Es handelt sich bei Sonos, um einem Hersteller im Premium-Bereich, qualitativ hochwertige Produkte, ausserordentliche Qualität und eine lange Betriebsdauer, für den die Kunden gerne einen höheren Anschaffungspreis in Kauf nehmen. Umso überraschter waren Kunden von der Ankündigung des Herstellers, den Software-Support für „ältere“ Produkte einzustellen. Als „älter“ definierte der Hersteller hier Smart Speaker Produkte aus den Jahren 2015, 2009 und 2007. Ein aus IT-Sicht verständliches Datum, da innerhalb von 7 bis 15 Jahren die verwendeten Software-Komponenten nur schwer bis unmöglich pflegbar sind. Das jüngste dieser abgekündigten Produkte hatte somit eine Lebenszeit von fünf Jahren. Verschärft wurde die Ankündigung dadurch, dass Sonos bei vernetzten System den Produktsupport für alle Geräte einstellt, sofern sich darunter eines aus den genannten Modellen des abgelaufenen Supportes befindet. Das Bedeutet, auch ein neu angeschafftes smartes HiFi Produkt erhält keine Softwareupdates und Patches, falls dieses Produkt mit einem der als veralteten klassifizierten Produkt verbunden ist. Kunden mit alten Produkten, konnten diese beim Erwerb eines neuen Gerätes in Zahlung geben und damit einen Rabatt auf eine Neuanschaffung erhalten. Der Hersteller nutzte also die Verweigerung des Software-Supports zur Erzeugung eines neuen Produktabsatzes. Der Aufschrei von Kunden war gewaltig. So gewaltig, dass der Hersteller von der restriktiven Umsetzung zur Verweigerung von Software-Updates in Netzwerken mit älteren Geräten Abstand nahm und sich der CEO von Sonos in einer öffentlichen Stellungnahme bei der treuen Kundschaft entschuldigte.
So können Hersteller und Kunden IoT Lebenszyklen Verlängern
Tatsächlich ist es als Hersteller ein leichtes sich in verkürzte Produkt-Lebenszyklen im Internet der Dinge zu verirren. Eine nachhaltige Nutzung der Produkte erfordert entweder ein radikal geändertes Geschäftsmodell oder ein neuartiges Produktdesign und neue Support-Modelle.
Hochpreisige Investitionsgüter sollten digitale Steuerungs-, Sensorik- und Aktorik-Baugruppen in modular austauschbaren Einheiten organisieren. Der Austausch muss ein Soft- und Hardwareupgrade während des Lebenszyklus ermöglichen, damit das Gerät sowohl Funktional wie auch in Punkto Cybersicherheit laufend den steigenden Anforderungen angepasst werden kann. Zudem muss der Software-Lebenszyklus und die Software-Lieferkette dauerhaft organisiert werden. Dies stellt Hersteller vor neue Herausforderungen. Bei der Versorgung mit Patches und Updates kommen viele Hersteller bei einer Laufzeit von 5-7 Jahren an eine deutliche Grenze des machbaren. Es ist vielfach schwierig die Infrastrukturen für eine Software-Entwicklung für ältere Geräte bereitzustellen: dies fängt beim Wissen der Mitarbeiter an, betrifft die Unterstützung durch Bauteil-Lieferanten sowie Software-Entwicklungswerkzeuge und Compiler. Auch hier sind neue Designprinzipien gefragt: beispielsweise vom Hersteller imitierte Programme, die den Austausch und Ersatz von älteren Bauteilen ermöglicht, so dass diese wieder zuverlässig mit Sicherheitsupdates und Patches versorgt werden können. Zudem sollten Hersteller alternativer Komponenten nicht über eine restriktive Zertifikatsvergabe oder durch TMP Systeme ausgeschlossen werden, damit Produkte auch dann repariert werden können, wenn der eigentliche Hersteller den Support eingestellt hat.
Das EU-Parlament hat 2020 die Initiative ergriffen, um das „Recht auf Reparatur“ in einheitliche europäische Regelungen münden zu lassen. Ziel ist es, Rechte der Verbraucher zu stärken und die Nachhaltigkeit von Produkten zu verbessern. Dies soll dadurch erreicht werden, dass die Industrie auf gemeinsame Normen und Maßstäbe zur Reparatur von Produkten verpflichtet wird. Die politische Debatte ist damit eröffnet und die Wahrscheinlichkeit hoch, dass sich die Industrie mittelfristig auf neue Standards einrichten muss. Cybersicherheit hat einen Einfluss auf die Reparatur und den Lebenszyklus von Produkten. Daher wird die Frage der Cybersicherheit im aktuellen politischen Diskurs eine Rolle spielen.
Bei asvin nehmen wir das Thema „Nachhaltigkeit“ bei der Bereitstellung von Cybersicherheitslösungen im Internet der Dinge ernst. Wir bereiten unsere Kunden auf das Thema vor und unterstützen diese dabei sichere und nachhaltige vernetzte Produkte zu entwickeln, zu vermarkten und deren Betrieb zu sichern.