Wie steht es mit der Sicherheit bei Internet of things?

IoT…aber sicher!

Keine Frage, das Internet of Things (IoT) ist längst eta­bliert. Bei einem Spa­ziergang durch das Internet findet man alle mög­lichen Dinge, von recht großen wie Con­tai­ner­fracht­schiffen bis hin zu Zapf­säulen, Spül­ma­schinen und natürlich Glüh­birnen.

Wenn man dann ein bisschen genauer hin­schaut, findet man auch häufig genug alle mög­lichen Vari­anten für Angriffe; von Denial-of-Service (Über­lastung des ent­spre­chenden Geräts durch große Mengen Netz­werk­verkehr) über Datenklau (im Klartext gespei­cherte Kre­dit­kar­ten­daten bei Zapf­säulen, z.B.) bis hin zu Zer­störung, Über­lastung und Über­nahme.

Die Sicherheit im IoT-Bereich ist der­maßen schlecht, dass der fol­gende Satz schon nicht mehr lustig ist, sondern eher ermüdend: “Das ‘S’ in IoT steht für Sicherheit”.

Natürlich gibt es auch gut abge­si­cherte Dinge, aber noch sind diese in der Min­derheit. Die Frage ist, warum ist die Sicherheit denn so schlecht, wenn es ein bekanntes Problem ist?

Auf diese Frage gibt es mehrere Ant­worten. Eine der ein­fachsten davon ist, dass die von schlechter Sicherheit betrof­fenen Per­sonen nicht die­je­nigen sind, welche für die Imple­men­tierung der Sicherheit ver­ant­wortlich sind. Die Betrof­fenen sind meist End­an­wender; die Ent­wickler der Dinge im IoT spüren selbst wenig vom Miss­brauch ihrer Soft- und Hardware.

Und natürlich geht es um Geld. Je weniger Aufwand in saubere Pro­gram­mierung und Tests gesteckt wird, desto bil­liger kann ein Produkt ange­boten werden. Je güns­tiger ein Produkt ange­boten werden kann, desto mehr Stücke (erhofft man sich) werden ver­kauft. Wenn der Wett­bewerb seine Pro­dukte teurer anbieten muss, greift der Käufer hof­fentlich zum bil­ligsten Artikel.

Der Rück­schluss, dass die Pro­dukte umso sicherer sind, je mehr Geld dafür ver­langt wird, ist leider falsch. Wie man an den Con­tai­ner­schiffen sieht, ist es keine Frage des Kauf­preises. Als End­an­wender oder Ver­braucher hat man also mög­li­cher­weise gar nicht die Mög­lichkeit, ein sicheres “Ding” zu erwerben, egal welchen Preis man dafür zu zahlen bereit ist. Diese Situation führt dazu, dass viele Per­sonen mit den Schultern zucken und die Sicherheit im Bereich IoT als unlös­bares Problem abhaken.

Solange kein Her­steller eines “Dings” eine sichere Alter­native anbietet, ist auch keine Lösung in Sicht. Wenn die Käu­ferin oder der Käufer aber eine Wahl hat, könnte das Anbieten von sicheren Dingen ein Allein­stel­lungs­merkmal werden. Man sollte sich auch mal vor Augen führen, was denn diese Dinge sind — manchmal denkt man an die klas­sische Glüh­birne oder Google Home bzw. Amazon Alexa und ist viel­leicht ver­sucht, den kom­pletten The­men­komplex als unnütze Spie­lerei abzutun.

Dinge, die wesentlich kri­ti­scher -aber oft genauso unsicher- sind, umfassen U-Boote, Yachten, autonome LKWs bis hin zu Satel­liten. Das Plä­doyer für sichere Software im Bereich IoT kommt also weder nur von tech­no­philen Mul­­ti­­media-Begeis­­terten, noch ist das ein Markt, in dem kein Geld für sichere Lösungen vor­handen ist.

Kelly Shor­tridge hat im Rahmen der Kon­ferenz TRO­OPERS 2018 einige Lösungs­an­sätze bereit­ge­stellt, wie man Security bei den Ent­wicklern von IoT-Software (und natürlich jeder anderen Software) im All­tags­ablauf fest ver­ankern kann.

Teams sollten die Zeit und den Raum haben, Reviews von Secu­ri­ty­zielen zu machen. Eine ein­fache Check­liste mit wenigen Punkten ist hilf­reicher als ein mehrere hundert Seiten langes PDF mit Best Prac­tices, welches für ein Ziel­pu­blikum von Pene­tra­ti­ons­testern geschrieben wurde. Die Kom­ple­xität müsse minimal gehalten werden, und der Detailgrad so hoch wie möglich: “Mach einfach von Anfang an Security mit rein” ist viel zu schwammig und hilft nie­mandem weiter.

Ein “Geschenk­budget” kann hilf­reich sein; ein Budget, welches einem Team zukommt, wenn alle Sicher­heits­kri­terien innerhalb eines bestimmten Zeit­raums bei der Ent­wicklung erfüllt wurden. Wenn nicht, geht das Geld an eine wohl­tätige Orga­ni­sation. Gute Security wie die Norm zu behandeln, hat eben­falls eine große psy­cho­lo­gische Wirkung. “90% unserer Ent­wickler fixen Security-Bugs innerhalb von drei Tagen” moti­viert mehr und zieht messbare Ver­hal­tens­än­de­rungen nach sich als ein erho­bener Zei­ge­finger der Sicher­heits­ab­teilung.

Kelly hat in dem Hin­blick noch viele weitere Ideen, die sich aber vor Allem auf Ent­wickler von IoT Soft- und Hardware beziehen. Wie sieht es aber mit den End­ver­brau­chern aus? Was können Sie und ich tun, damit unsere ver­netzten Geräte nicht Teil des nächsten großen Bot­netzes werden?

Die pes­si­mis­tische Antwort lautet: ganz ohne IT-Kenn­t­­nisse sind einem die Hände schon sehr gebunden. Es gibt zwar ein paar Pro­dukte auf dem Markt, die sich um die Abschottung von IoT-Geräten im Heim­netzwerk kümmern, ohne dass die Anwen­derin oder der Anwender etwas tun muss; diese sind aber noch nicht wirklich aus­ge­reift. Wenn Sie sich ein bisschen damit beschäf­tigen, dann wird Ihnen diese Check­liste viel­leicht wei­ter­helfen:

1. Melden Sie sich nach Kauf an Ihrem neuen Device an und ändern Sie das Passwort — falls möglich.
2. Wenn Sie eine moderne Fritzbox haben oder ein ähn­liches Gerät eines anderen Her­stellers, kon­fi­gu­rieren Sie das Gäste-WLAN und benutzen Sie dieses für alle Geräte, denen Sie nicht wirklich trauen. Sie schützen damit Ihre PCs und Devices, die im regu­lären WLAN hängen.
3. Schalten Sie Geräte ab, wenn diese nicht benötigt werden.
4. Fragen Sie den Her­steller nach Updates, wenn Sicher­heits­lücken bekannt werden und instal­lieren Sie diese zeitnah.
5. Erlauben Sie Ihren Dingen nur die Kom­mu­ni­kation zu bestimmten Zielen.

Spä­testens bei den letzten beiden Punkten wird klar, dass das Sicher­heits­niveau der eigenen IoT-Geräte heute noch maß­geblich davon abhängt, wie tief man sich damit beschäf­tigen will und auch kann.

Nach wie vor ist im Bereich IoT Sicherheit zu einem Großteil nicht vor­handen oder für den Ver­braucher schwierig bis unmöglich zu eta­blieren. Es bleibt zu hoffen, dass Shor­tridges Vor­schläge groß­flächig ange­nommen sowie umge­setzt werden und Erfolg zeigen.