Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wie steht es mit der Sicherheit bei Internet of things?
IoT…aber sicher!
Keine Frage, das Internet of Things (IoT) ist längst etabliert. Bei einem Spaziergang durch das Internet findet man alle möglichen Dinge, von recht großen wie Containerfrachtschiffen bis hin zu Zapfsäulen, Spülmaschinen und natürlich Glühbirnen.
Wenn man dann ein bisschen genauer hinschaut, findet man auch häufig genug alle möglichen Varianten für Angriffe; von Denial-of-Service (Überlastung des entsprechenden Geräts durch große Mengen Netzwerkverkehr) über Datenklau (im Klartext gespeicherte Kreditkartendaten bei Zapfsäulen, z.B.) bis hin zu Zerstörung, Überlastung und Übernahme.
Die Sicherheit im IoT-Bereich ist dermaßen schlecht, dass der folgende Satz schon nicht mehr lustig ist, sondern eher ermüdend: “Das ‘S’ in IoT steht für Sicherheit”.
Natürlich gibt es auch gut abgesicherte Dinge, aber noch sind diese in der Minderheit. Die Frage ist, warum ist die Sicherheit denn so schlecht, wenn es ein bekanntes Problem ist?
Auf diese Frage gibt es mehrere Antworten. Eine der einfachsten davon ist, dass die von schlechter Sicherheit betroffenen Personen nicht diejenigen sind, welche für die Implementierung der Sicherheit verantwortlich sind. Die Betroffenen sind meist Endanwender; die Entwickler der Dinge im IoT spüren selbst wenig vom Missbrauch ihrer Soft- und Hardware.
Und natürlich geht es um Geld. Je weniger Aufwand in saubere Programmierung und Tests gesteckt wird, desto billiger kann ein Produkt angeboten werden. Je günstiger ein Produkt angeboten werden kann, desto mehr Stücke (erhofft man sich) werden verkauft. Wenn der Wettbewerb seine Produkte teurer anbieten muss, greift der Käufer hoffentlich zum billigsten Artikel.
Der Rückschluss, dass die Produkte umso sicherer sind, je mehr Geld dafür verlangt wird, ist leider falsch. Wie man an den Containerschiffen sieht, ist es keine Frage des Kaufpreises. Als Endanwender oder Verbraucher hat man also möglicherweise gar nicht die Möglichkeit, ein sicheres “Ding” zu erwerben, egal welchen Preis man dafür zu zahlen bereit ist. Diese Situation führt dazu, dass viele Personen mit den Schultern zucken und die Sicherheit im Bereich IoT als unlösbares Problem abhaken.
Solange kein Hersteller eines “Dings” eine sichere Alternative anbietet, ist auch keine Lösung in Sicht. Wenn die Käuferin oder der Käufer aber eine Wahl hat, könnte das Anbieten von sicheren Dingen ein Alleinstellungsmerkmal werden. Man sollte sich auch mal vor Augen führen, was denn diese Dinge sind — manchmal denkt man an die klassische Glühbirne oder Google Home bzw. Amazon Alexa und ist vielleicht versucht, den kompletten Themenkomplex als unnütze Spielerei abzutun.
Dinge, die wesentlich kritischer ‑aber oft genauso unsicher- sind, umfassen U‑Boote, Yachten, autonome LKWs bis hin zu Satelliten. Das Plädoyer für sichere Software im Bereich IoT kommt also weder nur von technophilen Multimedia-Begeisterten, noch ist das ein Markt, in dem kein Geld für sichere Lösungen vorhanden ist.
Kelly Shortridge hat im Rahmen der Konferenz TROOPERS 2018 einige Lösungsansätze bereitgestellt, wie man Security bei den Entwicklern von IoT-Software (und natürlich jeder anderen Software) im Alltagsablauf fest verankern kann.
Teams sollten die Zeit und den Raum haben, Reviews von Securityzielen zu machen. Eine einfache Checkliste mit wenigen Punkten ist hilfreicher als ein mehrere hundert Seiten langes PDF mit Best Practices, welches für ein Zielpublikum von Penetrationstestern geschrieben wurde. Die Komplexität müsse minimal gehalten werden, und der Detailgrad so hoch wie möglich: “Mach einfach von Anfang an Security mit rein” ist viel zu schwammig und hilft niemandem weiter.
Ein “Geschenkbudget” kann hilfreich sein; ein Budget, welches einem Team zukommt, wenn alle Sicherheitskriterien innerhalb eines bestimmten Zeitraums bei der Entwicklung erfüllt wurden. Wenn nicht, geht das Geld an eine wohltätige Organisation. Gute Security wie die Norm zu behandeln, hat ebenfalls eine große psychologische Wirkung. “90% unserer Entwickler fixen Security-Bugs innerhalb von drei Tagen” motiviert mehr und zieht messbare Verhaltensänderungen nach sich als ein erhobener Zeigefinger der Sicherheitsabteilung.
Kelly hat in dem Hinblick noch viele weitere Ideen, die sich aber vor Allem auf Entwickler von IoT Soft- und Hardware beziehen. Wie sieht es aber mit den Endverbrauchern aus? Was können Sie und ich tun, damit unsere vernetzten Geräte nicht Teil des nächsten großen Botnetzes werden?
Die pessimistische Antwort lautet: ganz ohne IT-Kenntnisse sind einem die Hände schon sehr gebunden. Es gibt zwar ein paar Produkte auf dem Markt, die sich um die Abschottung von IoT-Geräten im Heimnetzwerk kümmern, ohne dass die Anwenderin oder der Anwender etwas tun muss; diese sind aber noch nicht wirklich ausgereift. Wenn Sie sich ein bisschen damit beschäftigen, dann wird Ihnen diese Checkliste vielleicht weiterhelfen:
1. Melden Sie sich nach Kauf an Ihrem neuen Device an und ändern Sie das Passwort — falls möglich.
2. Wenn Sie eine moderne Fritzbox haben oder ein ähnliches Gerät eines anderen Herstellers, konfigurieren Sie das Gäste-WLAN und benutzen Sie dieses für alle Geräte, denen Sie nicht wirklich trauen. Sie schützen damit Ihre PCs und Devices, die im regulären WLAN hängen.
3. Schalten Sie Geräte ab, wenn diese nicht benötigt werden.
4. Fragen Sie den Hersteller nach Updates, wenn Sicherheitslücken bekannt werden und installieren Sie diese zeitnah.
5. Erlauben Sie Ihren Dingen nur die Kommunikation zu bestimmten Zielen.
Spätestens bei den letzten beiden Punkten wird klar, dass das Sicherheitsniveau der eigenen IoT-Geräte heute noch maßgeblich davon abhängt, wie tief man sich damit beschäftigen will und auch kann.
Nach wie vor ist im Bereich IoT Sicherheit zu einem Großteil nicht vorhanden oder für den Verbraucher schwierig bis unmöglich zu etablieren. Es bleibt zu hoffen, dass Shortridges Vorschläge großflächig angenommen sowie umgesetzt werden und Erfolg zeigen.

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.

Neueste Kommentare