Schöne neue Welt: Die Haustür lässt sich per App und Fingerprint öffnen, das Licht reagiert auf Gesten und Lautsprecher hören aufs Wort. Was aber, wenn Angreifer ins System eindringen? Die Kontrolle erhalten Hausbesitzer erst wieder, wenn sie Lösegeld gezahlt haben. Auch hier gehen Kriminelle mit der Zeit und fordern Bitcoin anstelle von Bargeld in kleinen und nicht nummerierten Scheinen. Was sich nach Science-Fiction anhört, hat einen ernsten Hintergrund: Das Internet of Things hat ein Sicherheitsproblem.
Die Schweiz wird immer smarter. Das zeigen Daten des Statista Digital Market Outlook. Demnach ist zurzeit in 700’000 Haushalten mindestens eine Smart-Home-Anwendung im Einsatz. Bis 2023 soll ihre Zahl auf mehr als 3,7 Millionen steigen. Am verbreitetsten sind Geräte zur Vernetzung und Steuerung in den eigenen vier Wänden wie smarte Lautsprecher, zentrale Steuerungs- und Kommunikationseinheiten oder Steckdoseneinsätze zum Ein- und Ausschalten nicht-smarter Geräte. Auch wenn die Geräte unterschiedliche Aufgaben übernehmen, sind sie vollgestopft mit Hightech und tauschen unentwegt Informationen miteinander aus.
Lücken werden genutzt
Wie gross die Gefahr ist, haben die erfolgreichen Attacken der Mirai-Malware bereits 2016 verdeutlicht. Die Schadsoftware griff Router, Überwachungskameras, Digital Video Recorder oder Fernseher an, die mit dem Internet verbunden waren. Dabei nutzte sie insbesondere Sicherheitslücken in werkseitig aufgespielter Betriebssoftware und installierte Schadcode auf diesen Geräten, um sie für fremde Zwecke zu missbrauchen. So konnten Kriminelle Bot-Netze aufbauen und gezielte Attacken durch absichtliche Überlastungen von Netzen (Distributed Denial of Service, DDoS) ausführen. Weltweit umfasste das Bot-Netz Mirai rund 500’000 kompromittierte IoT-Geräte. Zum Einsatz kam dieses Netz bei weltweiten Angriffen, beispielsweise Anfang November 2016 vor der US-Präsidentschaftswahl: Mittels Mirai griffen Hacker über den Internetdienstleister Dyn hochfrequentierte Webdienste wie Twitter, Spotify und Amazon an.
Auch wenn in den vergangenen drei Jahren kein weiterer Grossangriff auf das Internet der Dinge erfolgt ist, heisst das noch lange nicht, dass die Gefahr gebannt ist. Vielmehr haben sich Cyberkriminelle verstärkt auf Unternehmen konzentriert und dort Millionenschäden verursacht. Die strukturellen Probleme smarter Geräte bestehen weiterhin und laden Kriminelle geradezu ein:
• Bekannte Sicherheitslücken, die Hersteller nicht oder zu spät beheben.
• Standardpasswörter, die sich durch automatisierte Skripte knacken lassen.
• Ständige Verbindung mit dem Internet heisst auch, dass Geräte von aussen erreichbar sind.
• Standardkonfigurationen, die keinen Beitrag zum Schutz der Privatsphäre leisten, sondern vielmehr darauf abzielen, möglichst viele Nutzerdaten an den Hersteller zu liefern.
• Einsatz von fehlerhaften Komponenten, die sich nachträglich kaum austauschen lassen.
Augen auf beim Kauf
Ganz auf smarte Geräte zu verzichten, ist sicherlich eine sehr sichere Variante, um Cyberattacken abzuwehren. Allerdings ist sie auch verbunden mit dem Verzicht auf die bekannten Vorteile der innovativen Helfer. Mit wenigen Entscheidungen und Handgriffen lässt sich aber die Sicherheit von IoT-Devices nachhaltig verbessern. Bereits vor dem Kauf sollten Kunden der Sicherheit grosse Aufmerksamkeit widmen. Denn das Preis-Leistungsverhältnis sollte nicht als alleiniges Kaufkriterium herangezogen werden. So ist etwa ein bekanntes und vertrauenswürdiges Produkt dem eines unbekannten und sicherlich auch billigeren No-Name-Anbieters vorzuziehen. Ein weiteres Kriterium beim Kauf: Wie lange stellt der Anbieter Updates für das Gerät bereit und wie umfangreich sind diese? Wer ein Gerät ohne aktuelle Updates oder über den Zeitraum, in dem der Hersteller Updates bereitstellt, hinaus betreibt, sollte sich der damit verbundenen Risiken bewusst sein. Des Weiteren ist darauf zu achten, dass Produkte aktuelle Sicherheitsfunktionen wie einen passwortgeschützten Administrationsbereich, verschlüsselte Datenübertragung oder Sicherheitszertifikate anbieten.
Erst konfigurieren, dann vernetzen
Grundsätzlich müssen Nutzer die Fragen klären, ob alle Geräte dauerhaft mit dem Netz verbunden beziehungsweise ständig von aussen erreichbar sein müssen. So können Hausbesitzer bereits bei der Konfiguration Einstellungen anpassen und die Erreichbarkeit aus dem Netz regeln. Überhaupt lohnt es sich, Zeit in die Erstinstallation zu investieren. Hier lassen sich bereits erste spezifische Sicherheitskonfigurationen umsetzen. Sinnvoll ist es, ausschliesslich Funktionen zu aktivieren, die für den persönlichen Einsatz des Gerätes erforderlich sind. Wer beispielsweise im Alltag nur darauf Wert legt, die Heizung aus der Ferne einschalten zu können, muss nicht unbedingt auch seine Webcam, das Türschloss und die Lichtsteuerung nach aussen öffnen.
Hersteller liefern die Geräte meist ab Werk mit einfachen Standardpasswörtern wie "admin" aus oder mit einem für viele Modellreihen gültigen Standardpasswort, das auch im Handbuch nachzulesen ist. All diese Passwörter probieren Hacker im Rahmen eines Brute-Force-Angriffs automatisiert aus. Es gilt also, diese Passwörter durch ein komplexes und damit auch starkes zu ersetzen. Passwort-Manager leisten gute Hilfe, um sichere Passwörter zu generieren. Gleichzeitig sind sie ein guter Ort, um alle Zugangsdaten in einer geschützten Umgebung zu speichern. Auch der Einsatz der 2-Faktor-Authentifizierung ist angeraten, um Angreifer fern zu halten. Nutzen mehrere Benutzer dasselbe Gerät, machen unterschiedliche Nutzerprofile Sinn. Im Idealfall sollte der Verlust eines einzigen Passwortes nicht zur Kompromittierung eines Gerätes oder eines ganzen Netzwerkes führen.
Die Nutzer von IoT-Devices haben zumindest zum Teil selbst in der Hand, ihre Geräte vor Hackern zu schützen. Aber auch die Branche tut gut daran, mehr in die Sicherheit der Geräte zu investieren. Denn immer noch fehlt es etwa an Standards. Und so erinnert die Situation des Internet of Things nicht von ungefähr an die Anfänge der Elektrifizierung wie im England des ausgehenden 19. Jahrhunderts, wo sich gebietsweise dutzende Stromanbieter tummelten, die ihrerseits alle unterschiedliche Spannungen, Frequenzen und Steckerformate nutzten. Auch gab es keine Vorgaben, wie die Verkabelung innerhalb eines Hauses auszusehen hat. Und Sicherungen existierten schlichtweg nicht. Die Kombination aus fehlenden Normen und dem Ringen verschiedener Anbieter um möglichst viele Kunden resultierte in vielen Fällen in verheerenden Bränden und tödlichen Unfällen mit Hochspannung.
Wenn sich alte Fehler rächen
Jemand, der sich ein smartes Haus oder eine smarte Wohnung zulegen möchte, will nicht alle paar Jahre seine komplette Ausstattung austauschen müssen. Führt eine Sicherheitslücke dazu, dass hunderte von Haushalten plötzlich angreifbar sind, dann stösst der Vorschlag, die unsicheren Geräte ausser Betrieb zu nehmen oder auszutauschen, beim Konsumenten auf wenig Gegenliebe – schliesslich funktionieren die Geräte ja noch. Hier sind die Hersteller in der Pflicht. Und genau da liegt derzeit noch Einiges im Argen. Dadurch, dass die Branche recht schnelllebig ist, kommen laufend neue Anbieter dazu, während andere entweder verschwinden oder aufgekauft werden. Das Ergebnis ist ein heilloses Durcheinander von Herstellern und Zulieferern auf der einen Seite und Abhängigkeiten auf der anderen Seite, die kaum noch zu durchschauen sind.
Da heutzutage kein Hersteller mehr alle Produktionsschritte selbst übernimmt und viele Aufgaben an externe Dienstleister abgibt, ergeben sich schnell Situationen, in denen ein Hersteller keine Möglichkeit mehr hat, eine Sicherheitslücke zu beheben. So geschehen bei einem Hersteller, der unter anderem vernetzte Kameras anbietet. Einige Modellreihen waren anfällig für nicht-autorisierte Zugriffe von aussen. Da aber der Hersteller einer bestimmten sicherheitsrelevanten Softwarekomponente nicht mehr erreichbar war und somit die Entwicklungsumgebung nicht mehr zur Verfügung stand, waren die Geräte zwar noch einsatzfähig, aber zumindest unter Sicherheitsaspekten irreparabel kaputt – und damit nicht mehr einsetzbar. Wer ein sicheres Gerät wollte, dem blieb eigentlich nur der Neukauf. Zwar zu einem vergünstigten Preis, aber Neukauf bleibt Neukauf. Das ist um so ärgerlicher, wenn ein Gerät nur wenige Monate im Einsatz war.
Dieses Problem ist nicht nur auf die IoT-Branche beschränkt. Auch die Autoindustrie ist aufgrund dieser Entwicklungen im Umbruch, da Autos immer stärker vernetzt sind. Künftig müssen Hersteller also nicht mehr nur die Ersatzteilversorgung für mehrere Jahre gewährleisten, sondern auch die Software so gestalten, dass Nachbesserungen möglich sind. Anders als ein Smartphone bleiben viele Autos auch mal zehn oder 20 Jahre im Einsatz.
Das kann aber nur funktionieren, wenn Hersteller die Grundlagen dafür schon bei der Planung schaffen. Das gilt insbesondere für alles, was die Sicherheit betrifft. Ein unsicheres Produkt nachträglich abzusichern, ist in nahezu allen Fällen unmöglich. Sicherheit muss also bereits sehr früh im Fokus der Entwicklung stehen.
Eine andere Fragestellung wurde noch gar nicht beleuchtet: die Produkthaftung. Wer haftet rechtlich, wenn eine Sicherheitslücke in einem Produkt unmittelbar zu einem Schaden (ob materiell oder immateriell) führt? Hier findet derzeit ein angeregter juristischer Diskurs statt. In den USA gibt es bereits erste Gesetzentwürfe, die diesen Fall abdecken sollen. Hier ist aber noch vieles in Bewegung.
Der Autor
Tim Berghoff ist Security Evangelist bei G Data Software. In seiner Position bei G Data bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G Data in der Sicherheits-Fachwelt, bei Presse, Händlern, Resellern und Endkunden und spricht häufig auf nationalen und internationalen Veranstaltungen. Tim Berghoff arbeitet seit 2009 bei G Data, erst im Support für Unternehmenskunden, später war er im Consulting für internationale B2B-Distributoren, Partner und Endkunden tätig.
(Quelle: G Data Software)