Es ist nun 20 Jahre her, dass ich zum ersten Mal in eine Präsentation eine Folie aufnahm, die sich mit dem Versand von Spam über einen Kühlschrank befasste. Die meisten fanden das damals lächerlich. Im vergangenen Jahr wurde aber genau das Wirklichkeit. Kühlschränke sind inzwischen „smart “ und können viel mehr als nur kühlen. Beim Internet der Dinge (Englisch: Internet of Things, kurz: IoT) hat praktisch jeder Gegenstand eine IP-Adresse und kann so ziemlich mit allem und jedem kommunizieren. Die Vorteile und Möglichkeiten sind nahezu unbegrenzt. Aber verursachen diese technischen Weiterentwicklungen nicht auch ernste Probleme? Smart-TVs, Spielekonsolen, Tablets, Smartphones und Autos – sie alle können uns abhören. Die Kameras von Notebook, Smartphone oder Smart-TV können uns ohne unser Einverständnis filmen. Samsung ändert seine Nutzungsvereinbarungen, um den Verbraucher im Hinblick auf die Sprachsteuerung seines Smart-TVs zu beruhigen. BMW bringt ein Software-Update für das System ConnectedDrive auf dem Markt, um Hacker daran zu hindern, auf ganz einfache Weise die Wagentüren zu öffnen. Betroffen sind davon 2,2 Millionen Fahrzeuge. Dies sind die ersten Anzeichen dafür, dass man vielleicht zu schnell vorausgeprescht ist, ohne vorher gründlich über die möglichen Folgen nachzudenken. Untersuchungen, die 2013 vom US-amerikanischen Senator Edward Markey bei 20 Automobilherstellern angestoßen und von 16 beantwortet wurden, „zeigen deutlich, dass keine ausreichenden Sicherheitsvorkehrungen vorhanden sind, um Autofahrer vor Hackern zu schützen, welche die Kontrolle über das Fahrzeug übernehmen oder persönliche Informationen ausspähen wollen.“[1] Der inzwischen verstorbene Sicherheitsexperte Jack Barnaby wies bereits vor einigen Jahren nach, dass künstliche Herzklappen und Insulinpumpen nicht ausreichend gegen Hackerangriffe gesichert sind.
Ist das Internet der Dinge wirklich sicher?
Bevor wir diese Frage hinreichend beantworten können, dringen faszinierende neue Technologien Schritt für Schritt in unseren Alltag ein. Man denke nur an den Boom der Smartwatches. So eine Smartwatch kann den Moderator einer geschäftlichen Präsentation unnötigerweise per Vibrationsalarm aus dem Konzept bringen. Man kann aber noch viel mehr damit tun: E-Mails lesen, Kontaktadressen suchen, seinen Terminkalender anzeigen und bald auch seinen Kaffee bezahlen. Was jedoch noch wichtiger ist: Das Gadget zählt Ihre Schritte, misst Ihre Herzfrequenz und ermittelt sogar Ihren Schlafrhythmus. All diese Daten werden auf Server „in der Cloud“ weitergeleitet.
Die meisten intelligenten Geräte sammeln so auf die eine oder andere Weise sehr viele persönliche Informationen über den Benutzer. Wozu werden diese Daten genutzt? Das Risiko, dass diese Informationen über Ihre ganz persönliche Lebensweise dazu verwendet werden, Sie anschließend mit gezielter Werbung zu bombardieren, ist sehr groß. Schließlich hat manmit der Annahme der Nutzungsbedingungen, die wirklich niemand liest, in vielen Fällen ausdrücklich seine Einwilligung dazu erteilt. Genau hier liegen die Schnittstellen zu Big Data und deren korrekter Verarbeitung. Doch wie sieht es mit dem Schutz der Privatsphäre aus? Und wer garantiert, dass diese Informationen nicht an die Krankenversicherung weitergeleitet werden?
Eine weitere Sorge ist der Schutz der Daten: Sichere Passwörter werden im heutigen Internet der Dinge häufig überhaupt nicht vorausgesetzt. Kein einziges der Geräte, die ich selbst unter die Lupe genommen habe, bietet außerdem die Möglichkeit einer Zwei-Faktor-Authentifizierung, doch all diese Geräte lassen sich über das Internet fernsteuern oder lassen das Auslesen ihrer Daten über das Internet zu.
Vielleicht darf man den Herstellern dieser Geräte nicht zu sehr verübeln, dass sie sich vor allem um die Funktionen und die Benutzerfreundlichkeit der Geräte kümmern und ein weniger ausgeprägtes Sicherheitsbewusstsein haben als ich. Doch inzwischen ist klar, dass sich diese Situation ändern muss.
Forscher deckten bereits erhebliche Probleme auf
Eine durchgeführte Untersuchung von HP[2] zeigte einige ernsthafte Sicherheitslücken bei vielen intelligenten Geräten. Weitere Tests zeigten klar, dass die Software-Update-Technologie bei einigen dieser Geräte große Mängel aufweist. Die Authentifizierung gegenüber dem Download-Server wurde als sehr schwach eingestuft und in einigen Fällen ist es offenbar sogar möglich, die Software auf dem Download-Server zu verändern.
Ein wahrer Traum für Cyber-Kriminelle, die beim Lesen dieses Berichts genau wissen, wie man Benutzer erpressen und ihnen damit drohen kann, mithilfe von Software ihr „Smarthome“ in Brand zu stecken, z. B. indem man die Solltemperatur der Energiesteuerung des intelligenten Hauses auf den Siedepunkt einstellt.
Offenbar ist es laut Untersuchungen auch einfach, mithilfe von Brute-Force-Angriffen in die Cloud-Schnittstellen der meisten Systeme einzudringen. So kann sich ein Krimineller als rechtmäßiger Benutzer ausgeben. Dies macht es sehr einfach zu überprüfen, ob Sie zu Hause sind oder nicht. Die Fernbedienung Ihrer Überwachungskamera erweist sich dann für den Eindringling als praktisches Extra.
Ein weiteres Problem ist die mangelhafte Verschlüsselung der Daten, die zwischen den intelligenten Geräten übertragen werden. Die Passwörter und die persönlichen Daten liegen für einen Hacker mit dem nötigen Know-how und den richtigen Tools quasi auf dem Präsentierteller. Damit wird klar, dass auch geschäftliche Informationen ganz einfach ausgespäht werden können: Es reicht schon aus, dass Sie auf Ihrer Smartwatch eine geschäftliche E-Mail lesen.
Das Rad der Sicherheit muss nicht neu erfunden werden
Ich empfehle den Herstellern intelligenter Geräte, eine engere Kooperation mit der Sicherheitsbranche einzugehen. Eine bessere Absicherung einiger der oben erwähnten Aspekte ist nicht allzu schwierig. Die Sicherheitsbranche verfügt bereits über Erfahrung in diesem Bereich: Das Rad muss also nicht neu erfunden werden. Auf der anderen Seite müssen auch die Verbraucher vorsichtiger sein und bedenken, dass der Kauf dieser Geräte möglicherweise Sicherheitsrisiken mit sich bringt. Eine grundlegende Voraussetzung für die sichere Nutzung dieser Anwendungen sind sichere Passwörter. Für Unternehmen wäre die Installation technischer Filtermaßnahmen zwischen IoT-Geräten und dem übrigen Netzwerk ein sinnvoller Schritt.
Glücklicherweise gibt es noch kein Standard-Betriebssystem für intelligente Geräte, was die Malware-Entwickler etwas ausbremst (denn für welches Betriebssystem sollten sie sich jeweils entscheiden?). Der Nachteil ist dabei jedoch, dass es für die meisten intelligenten Geräte noch keine Sicherheitssoftware gibt.
Das Internet der Dinge wird uns viel Gutes bringen, davon bin ich überzeugt. Ich kann nicht mehr ohne es leben, denn bereits jetzt bringt es uns viele Erleichterungen. Es müssen aber auf jeden Fall noch wichtige Schritte im Sicherheitsbereich unternommen werden, bevor ich den Einsatz intelligenter Geräte uneingeschränkt empfehlen kann.
