Automobilindustrie
Jedes gehackte Auto gelangte weltweit in die Schlagzeilen von Online-Portalen und großen Sendeanstalten. Nach einem erfolgreichen Cyberangriff musste beispielsweise das Unternehmen Fiat Chrysler 1,4 Millionen Fahrzeuge der Marke Jeep zurückrufen. Ebenso waren Kriminelle bei einer Corvette in der Lage, die Bremsen fernzusteuern. Diese Beispiele zeigen die Probleme, die die gesamte Automobilindustrie betreffen und die wir bereits in einem früheren Blog-Artikel beschrieben hatten, darunter die Probleme von BMW.
Fitness-Branche
Völlig anders geartet, doch genauso ein Teil des „Internets der Dinge“, sind die neuen und bei Anwendern beliebten Fitness-Armbänder, Schrittzähler und mobilen Sportgeräte sowie die Daten, die diese in der Cloud, auf dem Gerät selbst und auf Smartphones sammeln. Aufschlussreich war in diesem Zusammenhang der Test, der von der weltweit renommierten und unabhängigen Testorganisation für IT-Sicherheitslösungen AV-TEST durchgeführt wurde. Hier wurde geprüft, wie die persönlichen Fitness-Daten von den Geräten auf die Smartphones bzw. in die Cloud übertragen werden und wie sicher die Apps von Fitness-Trackern sind. Lesen Sie den Testbericht. AV-TEST fand heraus, dass die Ergebnisse aller Aktivitäten aufgezeichnet und in einer App auf dem Smartphone des Benutzers analysiert werden. Dadurch ist sofort sichtbar, wie die sportlichen Leistungen des Benutzers waren.
Eine Frage bleibt jedoch unbeantwortet: Werden die Daten vom Armband zum Smartphone des Anwenders sicher übertragen oder können etwa Unbefugte diese Informationen abfangen oder die Daten kopieren oder manipulieren? Kann möglicherweise sogar die App an sich manipuliert werden? Diesen Fragen gingen die Tester nach und haben dafür neun Fitness-Armbänder bzw. -Tracker zusammen mit den entsprechenden Android-Applikationen im laufenden Betrieb überwacht. Wie gut haben diese Tracker im Hinblick auf die Sicherheit abgeschnitten? Und wie steht es um die Möglichkeiten, die Datenübertragung abzufangen?
Das Unmögliche testen?
Fitness-Tracker werden zukünftig eine immer größere Rolle bei den Krankenkassen spielen. Daher ist es notwendig, dass die Anbieter derartiger Geräte und Anwendungen ihre Sicherheitsrichtlinien möglichst schnell verbessern, damit die Daten nicht missbraucht werden können. Was geschieht, wenn Menschen die Daten ihrer Nachbarn verwenden, die etwa gleichaltrig, aber deutlich sportlicher sind? Die Krankenversicherungsbeiträge in den USA und in einigen anderen Ländern dieser Welt sind hoch. Manipulierte Daten bieten hier ein großes kriminelles Potential, um die Versicherungskosten gering zu halten. Andererseits können Kriminelle gestohlene Fitnessdaten dazu verwenden, um die sportlichen Gewohnheiten der Anwender auszukundschaften und so beispielsweise herausfinden, wann die Sportler außer Haus sind. So können perfekte Zeitpunkte für Einbrüche geplant werden.
Dem Fitness-Tracker-Test folgte eine ganze Welle neuer Untersuchungen dieser Art. Doch es ist klar, dass diese Tests vor allem einer bestimmten Richtung folgen: Daten, Verschlüsselung und Authentifizierung. Verschlüsselung ist allerdings nur ein Aspekt von Sicherheit. Er betrifft nur die Datenintegrität und Vertraulichkeit der Daten. Sicherheit umfasst jedoch viele weitere Aspekte, die bei zukünftigen Kontrollen untersucht werden sollten. Wie wäre es mit der Entwicklung von Tests, um in Erfahrung zu bringen, ob bei der Elektronik in Autos die Sicherheit nicht vernachlässigt wurde?
Vor kurzem erfuhr ich, dass manche ethischen Hacker versuchen, Unternehmen aus der Automobilindustrie dahingehend zu unterstützen, und dass die Automobilindustrie Penetrationstester beauftragen will, um Schwachstellen aufzudecken. Dies wird jedoch nur einige Sicherheitsfragen lösen, die für das jeweilige Unternehmen gelten. Ich kann diese Methode wirklich nicht gutheißen, da das Internet der Dinge zu breitgefächert ist und da Produkte und Unternehmen bereits jetzt neue und nicht ausreichend abgesicherte Technologien einsetzen. Ein Lösungsansatz ist die Gründung einer Organisation oder Institution, welche die Leitlinien für die verschiedenen Bereiche der IoT-Branchen aufstellt, die Sicherheit überwacht und die in den Leitlinien definierten Sicherheitsaspekte prüft.
Online Trust Alliance
Eine dieser Initiativen, die einen solchen Lösungsansatz verfolgt, ist die Online Trust Alliance, welche einen Entwurf eines sogenannten „Internet of Trust Framework“ entwickelt hat. Ziel ist es, Herstellern und Entwicklern Leitlinien bereitzustellen, um mögliche Angriffsflächen und Schwachstellen zu reduzieren und die Umsetzung verantwortungsbewusster Datensicherheits- und Datenschutzmaßnahmen zu fördern. Die Initiative ist zudem bestrebt, die Umsetzung von Praxisbeispielen (Best Practices) in Bezug auf Datensicherheit, Datenschutz und Nachhaltigkeit zu fördern. Dabei sollen integrierte Datenschutz- und Sicherheitskonzepte („Privacy and Security by Design“) als Modell für die Entwicklung eines freiwilligen, aber dennoch durchsetzbaren Verhaltenskodex verankert werden.
Ausblick
Die hier erwähnte Initiative ist definitiv ein guter Weg in die Zukunft, aber wir sind noch nicht am Ziel. Ich bin davon überzeugt, dass das „Internet der Dinge“ ein sehr großer Bereich ist, in dem es schwierig sein wird, ein ausgewogenes Verhältnis von Sicherheit, geeignetem Datenschutz und der korrekten Umsetzung in jedem Produkt des „IoT“ zu finden.
Zweifelhaft ist, wie Sicherheitsexperten die Fülle der IoT-Unternehmen unterstützen können, da dieser Markt exponentiell wächst. Schon heute haben IT-Security-Fachleute alle Hände voll zu tun: Sie arbeiten kontinuierlich daran, das Internet sowie die Betriebssysteme und Geräte, die wir als Anwender nutzen, sicherer zu machen. Die beste Methode, mit diesen Gefahren des Internets der Dinge umzugehen, ist folglich ein ganzheitliches und systemisches Konzept.
Die wirkliche Gefahr und einige Lösungen: nicht wieder die gleichen Fehler machen wie früher!
Die Prognosen für das „Internet der Dinge“ sind eindrucksvoll: Bis zum Jahr 2020 prognostiziert IDC 212 Milliarden IoT-Geräte mit mehr als 30 Milliarden automatisch angebundenen Maschinen und mehr als drei Millionen Petabyte an Daten geben. Das bedeutet, das Risiko des Missbrauchs von solchen Geräten ist um ein Vielfaches höher als die Gefahren im Zusammenhang mit Computern – das ist die wirkliche Bedrohung Was geschieht, wenn Ihr Auto während der Fahrt gehackt wird oder was passiert, wenn Ihre Insulinpumpe von Cyberkriminellen ferngesteuert wird? Die Gefahr von schweren Verletzungen ist plötzlich viel näher im Lebensalltag der Menschen.
Ein großer Teil der sicherheitsrelevanten Probleme bei IoT-Geräten kann durch integrierte Sicherheitskonzepte - „Security by Design“ gelöst werden. Solche Ansätze sind heutzutage durchaus bereits im Einsatz. Dies ist besonders bei der Firmware sehr wichtig. Die Möglichkeit, diese auf sehr einfache Weise aktualisieren zu können, kann ein Vorteil sein. Sie könnte aber auch zu einem Alptraum werden, wenn es Cyberkriminelle gelingt, diesen Prozess zu manipulieren. Daher muss die wichtigste Botschaft lauten: Geräte müssen von Grund auf sicher entwickelt werden, bevor man sich mit anderen Optionen befasst.
Da Cyberkriminelle sich immer auf die einfachsten Ziele stürzen, liegt eine große Gefahr jedoch in den Bedrohungen, die von den Anwendungen des „Internets der Dinge“ ausgehen. IoT-Anwendungen finden sich in unterschiedlichsten Bereichen, z. B. bei mobilen- oder Desktop-Applikationen, die Geräte, Firmware und Apps auf Plattformen steuern, z. B. Software für Tizen Smartwatches. All diese Anwendungen müssen geschützt werden, da sie mit Devices kommunizieren und Unbefugten Zugriff auf vertrauliche Daten oder auf Zahlungsmechanismen ermöglichen können. Die Sicherheitsvorkehrungen der Apps auf diesen Geräten müssen verbessert werden.
Natürlich haben wir bereits Angriffe und Malware, z. B. Vicepass Trojan, gesehen, die versuchen, Passwörter im gesamten Netzwerk aller angebundenen Geräte zu erspähen. Doch das kann meines Erachtens noch nicht als echter Versuch gewertet werden. G DATA wird in diesem sich ständig verändernden Umfeld auf jeden Fall neue Lösungen vorstellen. Wir kümmern uns darum bereits bei unseren aktuellen Sicherheitslösungen für Android, Windows, Linux und Mac OS-Systeme - auch was künftige Schadanwendungen betrifft, die IoT-Geräte mithilfe dieser Betriebssysteme missbrauchen könnten. Android könnte eine der ersten Plattformen sein, die dazu verwendet wird, Geräte im Internet der Dinge anzugreifen, da dieses System bei Geräteherstellern und Cyberkriminellen bereits sehr beliebt ist.
Alle mit dem „Internet der Dinge“ befassten Branchen und Industriezweige wie etwa Smart Home, Smart City sowie Smart Car, Industrieautomatisierung -auch unter der Bezeichnung Industrie 4.0 bekannt - sowie Smart Health sollten nicht den Fehler machen, der vor vielen Jahren begangen wurde, als niemand IT-Sicherheit als großes Problem einstufte. Wir benötigen sichere Implementierungen und hohe Sicherheitsstandards. „Security by Design“ ist dabei entscheidend. Vergessen Sie das nicht! Wir können Sicherheitslücken zwar immer schließen, aber idealerweise sollten diese Lücken von vornherein so klein sein, als dass sie nicht ausgebeutet oder missbraucht werden können.