Das Internet der Dinge, oft IoT als Abkürzung des englischen Begriffs „Internet of Things“ genannt, basiert auf einer Vielzahl verbundener Geräte, die miteinander Daten austauschen. Das können Smart Home-Anwendungen sein, aber auch ganze Fabriken – prinzipiell alle internetfähigen Geräte. Die einzig wichtige Frage dabei ist: Macht es Sinn, diese Geräte zu verknüpfen? Welchen Vorteil haben Sie davon?
Internet der Dinge: Sinn und Unsinn der Gerätevernetzung
Die Ansicht, dass es ja nicht schlimm sein kann, Geräte X mit Y und Z zu verbinden und nach und nach ein riesiges Daten-Netzwerk aufzubauen, ist nicht unbedingt die beste. Denn jedes einzelne Gerät sollte auch entsprechend abgesichert sein – und das kann für den normalen Endbenutzer schwer nachvollziehbar und umsetzbar sein. Woher soll man wissen, ob der smarte Toaster nun zuletzt geupdated wurde oder nicht? Mit welchen Systemen und Protokollen kommunizieren die Geräte? Welche Zugriffsstellen gibt es überhaupt für mögliche Hacks?
Bisher ist die Vernetzung noch nicht so weit fortgeschritten, dass sich der durchschnittlicher Nutzer darüber allzu viele Gedanken macht. Diese Einstellung in der Zukunft noch beizubehalten dürfte sich aber über kurz oder lang (eher kurz, wenn wir ehrlich sind) als Fehler herausstellen. Mikko Hyppönen, einer der führenden Experten für Cybersicherheit, warnt vor der Vernetzung „dummer“ Geräte – Ihrem Kühlschrank etwa oder auch dem Toaster. Dort stellt sich nämlich die Frage, ob diese überhaupt Updates beziehen. Die Gerätehersteller können diese oft nicht selbst liefern, andererseits sind auch Fälle von Updates mit Schad-Software durch No-Name Marken bekannt.
Nutzerdaten und die Gefahr des Datensammelns
Dass es entsprechende „dumme“, aber doch internetfähige Geräte schon gibt und in Zukunft noch viel häufiger geben wird, bezweifelt niemand. Die Hersteller haben ein Interesse daran, die entsprechenden Kundendaten zu sammeln – sie wollen schließlich ihre Produkte verbessern. Man könnte auch andere Motive unterstellen, aber als Begründung reicht dies allemal aus. Technisch umsetzbar ist dieses Feature schon lange auch entsprechende Geräte gibt es schon.
Problematisch ist auch, dass durch die Gerätekommunikation untereinander Geräte, denen Nutzer tendenziell eher vertrauen (wie Amazons Alexa z. B.) nun ebenfalls angreifbar sind und Daten anfordern. Dazu können auch Passwörter gehören – was die Geräte sonst nicht benötigen, aber durch das aufgebaute Vertrauen wahrscheinlicher zum Erfolg führt. Wie man Alexa und Google Home zum Phishing nutzen kann, wurde kürzlich schon demonstriert. Das Internet der Dinge bietet auch Cyber-Kriminellen vielfältige Möglichkeiten.
Die Methode, mit einer sauberen Basis-Software die typische Prüfung zu bestehen und durch Updates mit Schadsoftware die Nutzer dann zu bespitzeln, ist nicht neu. Auch Smartphone-Launcher und Apps setzen auf diese Methode. Der Schaden, der Nutzern durch im Hintergrund mithörende Apps oder beispielsweise eine mit Schadsoftware ausgestattete Tastatur- oder Notizblock-App entstehen kann, ist enorm.
Welche Geräte sind überhaupt internetfähig?
Meistens wissen die Nutzer nicht, dass bzw. welche Geräte sich mit dem Internet verbinden. Darüber hinaus ist es schwierig bis unmöglich, diese Verbindung zu blockieren. Während Sie am PC, Smartphone oder Laptop entsprechende Optionen haben und diese relativ einfach über ein Interface steuern können, gibt es bei diesen „dummen“ Geräten das dafür benötigte Interface einfach nicht.
Der günstige Kühlschrank, der internetfähig ist, ist plötzlich nicht mehr der naheliegende Kauf. Denn solange die Nutzer selbst nicht eine gewisse Sicherheit einfordern und zum Kaufkriterium machen, reicht es den produzierenden Unternehmen aus, relativ simple Hardware zu verkaufen, die internetfähig ist. Dass diese dann möglicherweise gehackt, für kriminelle Zwecke zweckentfremdet wird (z. B. Botnetze) oder auch einfach die Nutzerdaten gestohlen werden, wird beim Kauf oft nicht bedacht.
Aktuelles Beispiel: Mit Hilfe eines lokalen internetfähigen Aquariums konnten Cyberkriminelle erfolgreich ein sonst gut abgesichertes Casino hacken![1]
Mögliche Lösungen sind bekannt, aber noch nicht in Sicht
Einige Sicherheitsfachleute fordern eine staatliche Regulierung des Internet der Dinge und die Schaffung neuer Sicherheitsrichtlinien. Neben der großen Herausforderung, dies gesetzlich akkurat festzuhalten, steht danach aber die technische Herausforderung, das Recht anzuwenden.
Aus diesem Grund ist eine andere Lösung wahrscheinlicher: Die Veröffentlichung des Codes der IoT-Geräte. Damit ist es möglich, dass entsprechende Dienstleister technische Gegenmaßnahmen (Updates und Patches) entwickeln, um Ihre Geräte abzusichern. Dahinter steht auch der Gedanke, dass die Hersteller der Geräte selbst diesen Part nicht übernehmen, sondern auf Software spezialisierte Dienstleister. Für den Kunden bedeutet das natürlich zusätzliche Kosten – man erwartet, dass er gerne bereit ist, diese im Gegenzug für Sicherheit zu tragen.
Damit stellt sich nun eine andere Frage: Welche Geräte sind überhaupt mit diesen Möglichkeiten ausgestattet? Denn nicht jeder Kunde möchte ein internetfähiges Gerät kaufen, wenn er für dessen Absicherung extra zahlen muss und die sich dadurch ergebenden Möglichkeiten vielleicht gar nicht nutzt. Wenn Sie im Fachmarkt ein Gerät kaufen möchten, weist der Verkäufer in der Regel auf die Internetfähigkeit des Geräts hin. Ist dies nicht der Fall ist es sinnvoll, dies kurz selbst zu prüfen.
US-Sicherheitsexperte Bruce Schneier sagt es ganz deutlich: „“Die meiste Software wurde schlecht geschrieben und ist nicht sicher, weil niemand für Qualitätssoftware bezahlen möchte.“
Fazit
Internetfähige Allerweltsgeräte wie Kühlschränke, Aquarien, Toaster etc. bergen in Kombination mit schlecht geschriebener Software Gefahren für den Nutzer. Das betrifft aufgrund der Kommunikation der Geräte untereinander auch schnell eine große Menge oftmals sensibler Daten. Denn ist die Sicherheit erstmal ausgehebelt, stehen den digitalen Eindringlingen Tür und Tor offen. Mit Hilfe eines Passworts wird das nächste geknackt oder die dafür erforderlichen Dateien eingesehen und über kurz oder lang (meist aber sehr kurz) entsteht ein großes Problem. Daten werden online weiterverkauft oder Geräte verschlüsselt und „Lösegeldforderungen“ gestellt (z. B. Ransomware wie WannaCry[2]).
Dadurch, dass Endkunden meist keine tiefergehenden Kenntnisse bezüglich der Sicherheitsanforderungen haben und es noch keine etablierten Gesetze oder Regeln gibt, entsteht Handlungsspielraum für nachlässige Hersteller und findige Cyberkriminelle. Vor diesem Hintergrund ist es ratsam, sparsam mit der Nutzung von IoT-Geräten umzugehen und vor allem auch diese von sensiblen Daten abzutrennen.
[1] https://www.heise.de/newsticker/meldung/Wenn-das-Aquarium-das-Casino-hackt-Neue-Risiken-der-vernetzten-Welt-4546463.html
[2] https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/WeitereBotNetze/Wannacry.html