Smart in puncto IT-Sicherheit nicht zu Ende gedacht!

bei

 / 29. September. 2017

In vielen Bereichen erhoffen sich Provider und Technologieanbieter neue, zukunftsträchtige Märkte und Geschäftsmodelle. Neue kontaktlose Bezahlsysteme sind auf dem Vormarsch, Banken wollen Transaktionen beschleunigen und auch in der Medizin hält die Vernetzung Einzug. Die rasant fortschreitende Digitalisierung hält in allen Lebensbereichen Einzug, dabei stehen Privatpersonen ebenso wie Unternehmen vor Herausforderungen und Veränderungen. Das Jahr 2017 wird auch für die Sicherheitsindustrie ohne Zweifel interessant werden, Schadprogramme wie Ransomware und Co. entwickeln sich weiter und werden „smart“. Bei der Sicherheit der Digitalisierung besteht jedoch häufig noch Nachholbedarf.

An neue Ideen und Potenzial für vernetzte Innovationen mangelt es nicht. Vieles, was früher in einem eigenen Rechenzentrum unterhalten werden musste, ist heute „as a Service“ verfügbar. Aus unternehmerischer Sicht ergibt das durchaus Sinn: man hat eine beliebig skalierbare und hochverfügbare Plattform, ohne diese selbst unterhalten zu müssen. Eine andere Meinung zu Cloudplattformen lautet „Es gibt keine Cloud, es gibt nur die Computer anderer Leute“. So bissig das Statement auch anmuten mag, so enthält es doch eine einfache Wahrheit: man vertraut einem Cloud-Anbieter seine Daten an, der diese dann auf seinen Rechnern speichert und verarbeitet. Das Vertrauen in den Anbieter spielt hierbei eine ebenso wichtige Rolle wie die Verfügbarkeit und Integrität des Dienstes. Auch an der digitalen Unterwelt geht der Trend zu „as a service“ nicht spurlos vorbei. Schon länger ist zum Beispiel „Ransomware as a Service“ eine Realität, der sich Sicherheitsforscher und von Ransomware betroffene gegenübersehen.

Auch abseits dieser Märkte tut sich viel. Zubehör, das die eigenen vier Wände „smart“ machen soll, wird immer beliebter. Der Markt reagiert natürlich auch hier und jeder Anbieter ist bestrebt, sich frühzeitig einen Anteil an diesem Markt zu sichern. Die „Nest“-Geräte von Google haben den deutschen Markt erreicht. Selbst der schwedische Möbelriese IKEA ist bei der Smarthome-Welle mit von der Partie und erweitert das Sortiment des Unternehmens um „smarte“ LED-Glühbirnen

Wo jedoch viel Licht ist, gibt es auch Schatten.

Dass Vernetzung gewinnbringend eingesetzt werden kann, steht außer Zweifel. Die Geschwindigkeit, mit der sich die Digitalisierung vollzieht, hat allerdings auch ihren Preis, der sich nur schwer in Euro und Cent bemessen lässt. In vielen Fällen bleibt gerade die Sicherheit auf der Strecke.
Dass dieser Aspekt jedoch weit mehr ist als ein Posten auf einer Rechnung, wird spätestens dann klar, wenn Sicherheit einmal versagt – entweder durch ihre vollkommene Abwesenheit als auch durch technische oder menschliche Versäumnisse.

Diese Versäumnisse wollen Kriminelle natürlich finanziell ausnutzen.  Das hat einen direkten Einfluss auf die Gefährdungslage. Wo sich durch Sicherheitsprobleme Geld verdienen lässt, dort wird man auch die finden, die davon profitieren möchten. Diese Akteure bedienen sich verschiedener Strategien, um an ihr Ziel zu gelangen. Dabei wird das gesamte Spektrum von Erpressung bis Diebstahl abgedeckt. Bankingtrojaner manipulieren Finanztransaktionen, Ransomware erpresst von ihren Opfern Geld gegen Daten und Spionagesoftware greift Daten ab, die wiederum zu Geld gemacht werden. Gelegenheiten, an Daten zu gelangen, gibt es zuhauf, nicht zuletzt dank steigender Zahlen an vernetzten Geräten und der zunehmenden Tendenz, Daten und Prozesse in die Cloud auszulagern. Die Daten, die mittlerweile in cloudbasierten Infrastrukturen verarbeitet und gespeichert werden, sind Milliarden wert, wenn nicht mehr. Daraus ergibt sich ein klarer Trend in Bezug auf zukünftige Bedrohungen: Sowohl Anbieter von Cloud-Dienstleistungen als auch IoT-Geräte werden verstärkt zum Ziel von Angreifern werden.

Die Geschichte wiederholt sich

Die Einführung neuer Technologien brachte schon immer einen gewissen Grad an „Gesetzlosigkeit“ mit sich, der gerade in den Anfangszeiten grassierte. An dieser Stelle werfen wir einen Blick zurück ins England des ausgehenden 19. Jahrhunderts. Elektrizität war gerade dabei, die Haushalte zu erobern. In England und Wales existierten bisweilen über 500 verschiedene Elektrizitätsanbieter sowie zahllose Hersteller, die ihre Lampen, Küchengeräte und andere mehr oder weniger sinnvolle Produkte an den Mann zu bringen suchten. Allerdings: Anders als heute gab es kein einheitliches Stromnetz, das überall und jederzeit 230 Volt bei 50 Hertz (bzw. 120 V bei 60 Hz) liefert. Jeder Anbieter lieferte eine andere Spannung. Das hatte direkt Auswirkungen darauf, welche Geräte welcher Hersteller man im Haus einsetzen konnte. Eine Lampe, die in London erworben wurde, konnte zum Beispiel nicht in Liverpool eingesetzt werden, da dort eine andere Spannung zum Einsatz kam. Teilweise gab es dieses Problem sogar zwischen einzelnen Stadtteilen. Erst in den Dreißigerjahren einigte man sich auf einen Standard, der die Spannung und Frequenz für alle verbindlich festlegte.

Es gab anfangs keinerlei Regulierungsorgane und somit auch keine Vorgaben für die Hersteller elektrischer Geräte. Auch das Verkabeln innerhalb des Hauses war nicht reglementiert. Was heute in den Verantwortungsbereich eines Elektrikers fällt, wurde früher in der Regel in Eigenarbeit erledigt, was zahlreiche tödliche Unfälle und Brände zur Folge hatte.

Ähnliches sehen wir heute im Internet of Things: Es gibt unzählige Hersteller. Viele von ihnen setzen auf proprietäre Technologien und es gibt nur wenige Standards, die die Sicherheit für alle verbindlich regeln. Um die Bedienung so einfach wie möglich zu gestalten, nehmen viele Hersteller ihre Kunden so weit wie möglich an die Hand, indem die Produkte „out of the box“ funktionieren. Auspacken, einschalten – fertig, so lautet vielfach das Credo. Dies ist auch einer der Gründe dafür, dass noch immer tausende Smarthome-Systeme ans Internet angebunden sind, die entweder vollkommen ungesichert sind oder bei denen noch immer das Werks-Passwort vergeben ist. Traditionshersteller, die bisher wenig mit Vernetzung zu tun hatten, werden praktisch über Nacht zu IT-Anbietern. Als solche müssen diese sich mit allen Aspekten dieser Industrie beschäftigen, von der Planungs- und Entwicklungsphase bis hin zum After Sales Support. Nicht jedem Hersteller gelingt das jedoch ohne Weiteres. Einerseits fehlt an einigen Stellen sicher die entsprechende Expertise. Andererseits stehen die Hersteller unter einem hohen Kostendruck, der es ihnen schwermacht, Sicherheit im gebotenen Maße zu berücksichtigen. Der Ruf zahlreicher Sicherheitsexperten nach „Security by design“ wird indes zusehends lauter.

Daraus ergibt sich eine Mischung, die mittelfristig gesehen zu Schwierigkeiten führen wird. Schon jetzt ist der Markt für Smarthome-Zubehör und sonstige vernetzte Geräte so stark fragmentiert und schnelllebig, dass es beinahe unmöglich ist, bereits existierende Produkte in zukünftige Sicherheitskonzepte einzubinden. Dabei beschränkt sich das „Internet of Things“ längst nicht mehr nur auf smarte Thermostate oder Alarmanlagen. Medizinische Geräte erfahren ebenfalls eine zunehmende Vernetzung. Bei deren Entwicklung spielt IT-Sicherheit allerdings eine ebenso untergeordnete Rolle wie bis vor kurzem noch in der Automobilindustrie. Dort hat jedoch die Erkenntnis deutlich an Boden gewonnen, dass es unabdingbar ist, sich tiefgehender mit IT-Sicherheit auseinanderzusetzen und dafür Synergien zu nutzen. Der Markt verlangt nach ‚smarten‘ Fahrzeugen und neuen Technologien wie dem autonomen Fahren. Auch hier gibt es zahlreiche Herausforderungen, von der Absicherung der Fahrzeugsysteme gegenüber Manipulationen von außen bis hin zur Verhinderung bestimmter Angriffsszenarien. Hier gilt es einen besonderen Spagat zu meistern. Da die Fahrzeuge, die auf deutschen Straßen unterwegs sind, im Schnitt etwa acht Jahre alt sind, ist eine Nachrüstung vernetzter Technologien nicht ohne Weiteres möglich. Systeme, die für die fahrzeuginterne Elektronik zuständig sind – wie etwa der CAN-Bus – sind mittlerweile seit 30 Jahren praktisch unverändert im Einsatz. Diese war jedoch nie für einen vernetzten Einsatz gedacht. Hier findet gerade ein Umbruch statt, der allerdings noch mehrere Jahre andauern wird. Bereits jetzt verschwimmen die Grenzen zwischen mechanischen und elektronischen Systemen. Nach der Formel 1 sind nun auch in den ersten Serienfahrzeugen (wie dem Honda NSX) die Bremsen mechanisch bereits vollständig vom Bremspedal entkoppelt. Genau wie es in der Luftfahrtindustrie schon seit Jahren „fly by wire“ – Systeme gibt, geht hier der Trend zu „drive by wire“.

Insgesamt gibt es für die Sicherheitsindustrie noch eine Menge zu tun. Hersteller und Sicherheitsexperten müssen enger zusammenarbeiten – viele Erkenntnisse sind an dieser Stelle bereits vorhanden und bedürfen eigentlich nur noch einer sinnvollen Umsetzung. Insbesondere dort, wo Technologie nah am Menschen im Einsatz ist, besteht dringender Handlungsbedarf – sei es in den eigenen Räumlichkeiten, bei der Fahrzeugtechnik oder in der Medizin.

Tim Berghoff, der Autor des Artikels über IT-Sicherheit für Technologieanbieter.

Der Autor: Tim Berghoff ist Security Evangelist der G DATA Software AG. In seiner Position bei G DATA bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G DATA in der Sicherheits-Fachwelt, bei Presse, Händlern, Resellern und Endkunden und er spricht häufig auf nationalen und internationalen Veranstaltungen. Er arbeitet seit 2009 bei G DATA, erst im Support für Unternehmenskunden, später im Consulting für internationale B2B-Distributoren, Partner und Endkunden.

Vorheriger ArtikelEin Gadget gegen Stress
Nächster ArtikelEU-Datenschutz und IT-Dokumentation