Betriebssystem QNX Schwere Sicherheitslücke bei Blackberry gefährdet Millionen Autos
Das kanadische Unternehmen hatte eine Sicherheitslücke seiner Software bekannt gegeben.
Düsseldorf Blackberry hat sich einen Namen mit sicherer Software gemacht. Früher verkaufte der kanadische Konzern Mobiltelefone mit verschlüsselter Kommunikation, mittlerweile überträgt er dieses Wissen auf Programme, mit denen Unternehmen beispielsweise Smartphones und Notebooks verwalten oder ihre Maschinen vernetzen können.
Dieses Image könnte jedoch Schaden erleiden. Die US-Behörde für Cybersicherheit CISA hat am Dienstag vor gravierenden Sicherheitslücken in dem Betriebssystem QNX gewarnt, das Blackberry für die Vernetzung von Autos, Produktionsmaschinen, Medizinprodukten und anderen Geräten anbietet. Diese könnten dazu führen, „dass ein böswilliger Angreifer die Kontrolle über hochsensible Systeme erlangt, was das Risiko für kritische Funktionen der Nation erhöht“.
Besonders betroffen sind Automobilhersteller – hier sieht Blackberry für QNX einen großen Markt. Nach Einschätzung des Marktforschers Strategy Analytics kommt das Betriebssystem in weltweit rund 200 Millionen Fahrzeugen zum Einsatz, zu den Kunden zählen Volkswagen, BMW, Ford und Scania.
Blackberry veröffentlichte am Dienstag einige Informationen über die Sicherheitslücken. Allerdings hätte der Konzern seine Kunden offenbar deutlich früher warnen können: Nach einem Bericht des Portals „Politico“ waren Beamte der US-Regierung monatelang mit Fachleuten des Unternehmens im Austausch – diese hätten das Problem jedoch zunächst bestritten und anschließend eine öffentliche Mitteilung verweigert, heißt es.
Anders gesagt: Blackberry tat trotz Warnungen wenig. „Jede Software hat Fehler, die zu Sicherheitslücken führen können, das Problem bei Blackberry besteht im Umgang damit“, sagt Hans-Joachim Hof, Professor an der Technischen Hochschule Ingolstadt. So habe das Unternehmen erst spät öffentlich über den Vorfall informiert, moniert der Experte für IT-Sicherheit in vernetzten Autos. Zudem wisse das Unternehmen nach eigenen Angaben nicht genau, wo QNX überhaupt zum Einsatz komme.
Der Fall illustriert ein großes Problem der vernetzten Wirtschaft: Unternehmen müssen heute über ihre vollständigen Lieferketten die IT-Sicherheit von Produkten und Dienstleistungen bewerten. Auch in anderen Fällen hat das bereits zu Problemen geführt. So drangen Hacker vor einigen Wochen in die IT-Systeme des Softwareherstellers Kaseya ein, um ein Update mit Ransomware zu präparieren und so zahlreiche Unternehmen zu erpressen.
Software statt Smartphones
Der Name Blackberry steht bis heute für Mobiltelefone mit physischer Tastatur, mit denen Berater und Banker, Politiker und Journalisten immer und überall ihre E-Mails und Kurznachrichten zur Hand hatten – damit war der kanadische Konzern zwischenzeitlich Marktführer. Als Apple das iPhone mit der intuitiven Bedienung per Touchscreen und dem direkten Zugang zum Internet herausbrachte, fand das Management jedoch keine adäquate Antwort.
Nach einer spektakulären Geschichte des Scheiterns trennte sich das Technologieunternehmen von der Smartphoneproduktion – mehrere Elektronikhersteller, die die Marke in Lizenz nutzen wollten, gaben ebenfalls auf. Das Management um John Chen baut stattdessen seit einigen Jahren das Softwaregeschäft aus. So bietet der Konzern Produkte für die Verwaltung und Absicherung von Smartphones, oder für die verschlüsselte Kommunikation.
Die Umstellung ist langwierig und schwierig, Blackberry ist nur einer von vielen Herstellern für Unternehmenssoftware. Und derzeit kein besonders erfolgreicher: Im Geschäftsjahr bis Ende Februar sank der Umsatz um 14 Prozent auf 893 Millionen US-Dollar, der Verlust wuchs um den Faktor sieben auf 1,1 Milliarden Dollar. Auch im laufenden Jahr dürfte das Geschäft nach Einschätzung von Analysten schrumpfen.
Das Betriebssystem QNX, das nun in die Schlagzeilen geraten ist, zählt für das neue Blackberry zu den Hoffnungswerten: Es ermöglicht die Vernetzung von Maschinen aller Art, von Fabrikausrüstung über Medizingeräte bis zu Komponenten der Internationalen Raumstation ISS. Gerade im Automobilsektor sieht der Konzern Chancen – deswegen arbeitet er mit Amazon Web Services seit kurzem an einer Art App Store für vernetzte Fahrzeuge.
Im abgelaufenen Quartal erwirtschaftete die Sparte für das Internet der Dinge, in der QNX das wichtigste Produkt ist, 43 Millionen Dollar, 48 Prozent mehr als im Vergleich zum Vorjahreszeitraum, als die Coronakrise das Geschäft erschwerte. Im gesamten Geschäftsjahr sollen es 180 bis 200 Millionen Dollar sein. Falls potenzielle Kunden nun nicht abgeschreckt sind.
Ransomware im Infotainmentsystem?
Die jetzt veröffentlichte Sammlung von 25 Schwachstellen fassen IT-Sicherheitsforscher unter dem Stichwort „Bad Alloc“ zusammen. Sie ermöglichen es Angreifern, betroffene Geräte aus der Ferne außer Betrieb zu setzen oder Programmcode darauf auszuführen. Betroffen sind diverse Betriebssysteme, die auf der offenen Software Unix basieren – und damit auch mehrere ältere Versionen von QNX aus dem Jahr 2012 und früher, die noch weit verbreitet sind.
Das dürfte die Hersteller vor einige Probleme stellen. „Im Automotive-Bereich ist es nicht so einfach, Sicherheitslücken zu schließen“, betont Hof, der in Ingolstadt die Forschungsgruppe „Security in Mobility“ leitet. So sei es bei den meisten Fahrzeugen noch nicht möglich, per Funk Updates auszuliefern – diese Funktion führen die Hersteller gerade erst ein. Zudem sei es üblich, das Betriebssystem für die eigenen Zwecke anzupassen. Auch die Updates benötigen daher Anpassungen.
Derzeit ist nicht bekannt, dass Angreifer die Sicherheitslücken ausnutzen. IT-Sicherheitsexperte Hof hat mit seiner Forschungsgruppe aber mögliche Szenarien durchgespielt. So könnten Hacker auf das Infotainmentsystem zugreifen, wenn es mit dem Internet verbunden ist, ob über eine SIM-Karte oder ein verbundenes Smartphone. In diesem Bereich kommt QNX häufig zu Einsatz.
Trivial ist das nicht, aber auch nicht unmöglich. Der Zugriff auf Steuerungseinheiten, etwa für die Bremsen, sei deutlich aufwendiger, weil es für diese weitere Absicherungen gebe, sagt Hof. „Die Frage ist: Warum sollte das jemand tun? Viel realistischer ist, dass Erpresser das Infotainmentsystem mit Ransomware verschlüsseln und Lösegeld verlangen.“
Das Kommentieren dieses Artikels wurde deaktiviert.