Ist das Internet der Dinge wirklich sicher?
Bevor wir diese Frage hinreichend beantworten können, dringen faszinierende neue Technologien Schritt für Schritt in unseren Alltag ein. Man denke nur an den Boom der Smartwatches. So eine Smartwatch kann den Moderator einer geschäftlichen Präsentation unnötigerweise per Vibrationsalarm aus dem Konzept bringen. Man kann aber noch viel mehr damit tun: E-Mails lesen, Kontaktadressen suchen, seinen Terminkalender anzeigen und bald auch seinen Kaffee bezahlen. Was jedoch noch wichtiger ist: Das Gadget zählt Ihre Schritte, misst Ihre Herzfrequenz und ermittelt sogar Ihren Schlafrhythmus. All diese Daten werden auf Server „in der Cloud“ weitergeleitet.
Die meisten intelligenten Geräte sammeln so auf die eine oder andere Weise sehr viele persönliche Informationen über den Benutzer. Wozu werden diese Daten genutzt? Das Risiko, dass diese Informationen über Ihre ganz persönliche Lebensweise dazu verwendet werden, Sie anschließend mit gezielter Werbung zu bombardieren, ist sehr groß. Schließlich hat manmit der Annahme der Nutzungsbedingungen, die wirklich niemand liest, in vielen Fällen ausdrücklich seine Einwilligung dazu erteilt. Genau hier liegen die Schnittstellen zu Big Data und deren korrekter Verarbeitung. Doch wie sieht es mit dem Schutz der Privatsphäre aus? Und wer garantiert, dass diese Informationen nicht an die Krankenversicherung weitergeleitet werden?
Eine weitere Sorge ist der Schutz der Daten: Sichere Passwörter werden im heutigen Internet der Dinge häufig überhaupt nicht vorausgesetzt. Kein einziges der Geräte, die ich selbst unter die Lupe genommen habe, bietet außerdem die Möglichkeit einer Zwei-Faktor-Authentifizierung, doch all diese Geräte lassen sich über das Internet fernsteuern oder lassen das Auslesen ihrer Daten über das Internet zu.
Vielleicht darf man den Herstellern dieser Geräte nicht zu sehr verübeln, dass sie sich vor allem um die Funktionen und die Benutzerfreundlichkeit der Geräte kümmern und ein weniger ausgeprägtes Sicherheitsbewusstsein haben als ich. Doch inzwischen ist klar, dass sich diese Situation ändern muss.
Forscher deckten bereits erhebliche Probleme auf
Eine durchgeführte Untersuchung von HP[2] zeigte einige ernsthafte Sicherheitslücken bei vielen intelligenten Geräten. Weitere Tests zeigten klar, dass die Software-Update-Technologie bei einigen dieser Geräte große Mängel aufweist. Die Authentifizierung gegenüber dem Download-Server wurde als sehr schwach eingestuft und in einigen Fällen ist es offenbar sogar möglich, die Software auf dem Download-Server zu verändern.
Ein wahrer Traum für Cyber-Kriminelle, die beim Lesen dieses Berichts genau wissen, wie man Benutzer erpressen und ihnen damit drohen kann, mithilfe von Software ihr „Smarthome“ in Brand zu stecken, z. B. indem man die Solltemperatur der Energiesteuerung des intelligenten Hauses auf den Siedepunkt einstellt.
Offenbar ist es laut Untersuchungen auch einfach, mithilfe von Brute-Force-Angriffen in die Cloud-Schnittstellen der meisten Systeme einzudringen. So kann sich ein Krimineller als rechtmäßiger Benutzer ausgeben. Dies macht es sehr einfach zu überprüfen, ob Sie zu Hause sind oder nicht. Die Fernbedienung Ihrer Überwachungskamera erweist sich dann für den Eindringling als praktisches Extra.
Ein weiteres Problem ist die mangelhafte Verschlüsselung der Daten, die zwischen den intelligenten Geräten übertragen werden. Die Passwörter und die persönlichen Daten liegen für einen Hacker mit dem nötigen Know-how und den richtigen Tools quasi auf dem Präsentierteller. Damit wird klar, dass auch geschäftliche Informationen ganz einfach ausgespäht werden können: Es reicht schon aus, dass Sie auf Ihrer Smartwatch eine geschäftliche E-Mail lesen.
Das Rad der Sicherheit muss nicht neu erfunden werden
Ich empfehle den Herstellern intelligenter Geräte, eine engere Kooperation mit der Sicherheitsbranche einzugehen. Eine bessere Absicherung einiger der oben erwähnten Aspekte ist nicht allzu schwierig. Die Sicherheitsbranche verfügt bereits über Erfahrung in diesem Bereich: Das Rad muss also nicht neu erfunden werden. Auf der anderen Seite müssen auch die Verbraucher vorsichtiger sein und bedenken, dass der Kauf dieser Geräte möglicherweise Sicherheitsrisiken mit sich bringt. Eine grundlegende Voraussetzung für die sichere Nutzung dieser Anwendungen sind sichere Passwörter. Für Unternehmen wäre die Installation technischer Filtermaßnahmen zwischen IoT-Geräten und dem übrigen Netzwerk ein sinnvoller Schritt.
Glücklicherweise gibt es noch kein Standard-Betriebssystem für intelligente Geräte, was die Malware-Entwickler etwas ausbremst (denn für welches Betriebssystem sollten sie sich jeweils entscheiden?). Der Nachteil ist dabei jedoch, dass es für die meisten intelligenten Geräte noch keine Sicherheitssoftware gibt.
Das Internet der Dinge wird uns viel Gutes bringen, davon bin ich überzeugt. Ich kann nicht mehr ohne es leben, denn bereits jetzt bringt es uns viele Erleichterungen. Es müssen aber auf jeden Fall noch wichtige Schritte im Sicherheitsbereich unternommen werden, bevor ich den Einsatz intelligenter Geräte uneingeschränkt empfehlen kann.
