IoT & Smart-Devices im Heimnetz – „Adé Security!“ oder lösbare Herausforderung?

bei

 / 10. Oktober. 2017

Heimnetz vs. Firmennetzwerk

Heutige Heimnetzwerke sind alles andere als „klein“: Häufig findet man ein buntes Sammelsurium an verschiedenen PCs, Druckern, NAS-Systemen, Tablets und Smartphones. Flankiert werden diese offensichtlichen Geräte oftmals noch durch zahlreiche Smart Devices: Darunter Fernseher, TV-Sticks, Radio- und Streaming-Geräte, Überwachungskameras, Wetterstationen, Heizungssteuerungen oder was sonst noch an internetfähigen Geräten angeboten wird. Willkommen in der wunderbaren Welt des IoT – oder in diesem Kontext besser des IoE – des Internet of Everything!

Diese Komplexität war man bis vor einigen Jahren nur aus dem professionellen Firmenumfeld gewohnt. Doch dort wuchs diese Komplexität der Infrastruktur nicht über Nacht und im Gegensatz zu Heimnetzwerken war und ist das Thema „Security“ dabei immer im Fokus.

Sicherheit im Heimnetzwerk?

Wenn also moderne Heimnetzwerke in ihrer Komplexität früheren Firmennetzwerken in nichts nachstehen – woher kommen dann die massiven Diskrepanzen beim Thema Security?

Auf der einen Seite steht sicherlich die Kritikalität der bereitgestellten Dienste und Daten. Im geschäftlichen Umfeld gefährdet der Ausfall von Servern (beispielsweise E-Mail oder Datenbank) oder der Verlust von Daten nicht selten das Fortbestehen der Unternehmung. Im privaten Umfeld hingegen sind viele Daten, so wichtig sie für den Nutzer im Moment auch sein mögen, entweder wiederbeschaffbar oder ohnehin nur vorübergehend von Bedeutung.

Auf der anderen Seite ist aber auch die Art der Internetnutzung zu betrachten. Nicht umsonst spricht man häufig vom „Internet-Zugang“. Damit einher geht auch die Vorstellung, dass der eigene Router den Zugang zum großen Netz bereitstellt. Als Einbahnstraße vom heimischen Netz ins Internet – die Gegenrichtung bleibt vermeintlich verschlossen. Frei nach Aschenputtel: „Die Guten im Heimnetz, die Bösen im Internet“ – Zumindest glauben das die meisten.

Home-IoT-Geräte untergraben (traditionelle) Heimnetzsicherheit

Spätestens mit dem Aufkommen von „Home-IoT“-Geräten ist diese Einbahnstraße jedoch endgültig durchbrochen. Das smarte Gerät zuhause macht nämlich nur halb so viel Spaß, wenn man es ausschließlich aus dem heimischen Netz mit der schicken App fernsteuern kann. Daher erwarten die meisten Kunden nahezu selbstverständlich den Zugriff aus dem Internet. Ob die Kommunikation über manuell bzw. via UPnP (Universal Plug and Play) geöffnete Ports oder „über Bande“, also einen Server im Internet, stattfindet, ist dabei egal. Der Effekt ist stets der Gleiche: Ein Gerät im heimischen Netz ist von außen steuerbar.

Hinzu kommen oft noch Lücken im Gerät selbst oder im damit verbundenen Cloud-Dienst. In beiden Fällen ist der User auf den guten Willen des Herstellers angewiesen – sei es für Firmware-Updates oder die Pflege der Cloud-Dienste.

Aus dem Firmen-Umfeld lernen

Kombiniert bedeutet dies, dass wir uns geistig vom Konzept der Einbahnstraße lösen müssen – „Kommst du ins Internet, kommt das Internet auch zu dir“. Das heißt aber auch, dass man bekannte Sicherheitsprinzipien im Heimnetz unbedingt auf den Prüfstand stellen muss. Die simple Annahme, dass keiner reinkommt, ist schlicht nicht mehr haltbar. Das Risikoprofil für das normale Heimnetz ist damit aus Security-Sicht gar nicht mehr so weit von einem normalen Firmennetz entfernt. Das muss aber nicht unbedingt negativ sein, bedeutet es doch auch, dass man Security-Lektionen aus dem Firmenumfeld jetzt auch auf den Heimanwender übertragen kann und dieser sie nicht erst schmerzhaft selbst lernen muss.

Dies heißt jedoch nicht, dass ein Heimanwender jetzt die gleichen Security Lösungen wie ein DAX-30-Unternehmen betreiben muss. Aber es bestehen durchaus Ähnlichkeiten: Lösungen wie Firewalls, Reputationsdienste, Intrusion Detection/Prevention, Content Security oder auch Breach Detection assoziiert man ad hoc zunächst mit großen Unternehmen. Funktional haben diese im modernen Heimnetz aber ebenso ihre Berechtigung:

  • Eine Firewall reglementiert den ein- und ausgehenden Netzwerkverkehr am Router. Und vielleicht noch wichtiger – sie führt auch Protokoll über angenommene oder abgewiesene Verbindungen. Die bisher übliche Vorgehensweise „alles darf raus und nichts darf rein“ ist einfach nicht mehr zeitgemäß.
  • Reputationsdienste verhindern den Zugriff auf gefährliche Inhalte (z.B. Exploit Kits). Sie schließen damit ein Haupteinfallstor für Schadsoftware jeder Art. Auch versuchte oder erfolgreiche Kommunikation mit Command- und Control-Servern wird darüber erkannt und verhindert. Funktionell sind diese Dienste häufig in Kombination mit Kinderschutz-Filtern zu finden.
  • Intrusion-Detection- und Intrusion-Prevention-Systeme bieten in Zusammenarbeit mit Firewalls oft deutlich bessere Informationen über die tatsächlich erfolgten Angriffe und benutzten Werkzeuge bzw. Lücken. Sieht man beispielsweise hunderte von Angriffen auf Lücken in Windows XP, so sollte man sich vielleicht doch überlegen, das Schätzchen mit den alten Spielen entsprechend zu schützen…
  • Content Security wiederum betrachtet nicht nur die Verbindungen selbst, sondern auch deren Inhalte. Typische Beispiele hierfür sind Spam- und Phishing-Mails aber auch Schadsoftware oder andere schädliche Inhalte.
  • Breach Detection erkennt, vereinfacht gesprochen, kompromittierte Geräte. Dies kann der heimische PC sein, der doch irgendwie befallen wurde. Genauso kann es sich dabei aber auch um den Heizungsthermostat handeln, der sich komisch verhält oder das Babyfon mit Kamera im Kinderzimmer, dessen gehackte Firmware den Livestream auf diversen Seiten im Internet bereitstellt.

Firmen-Security-Lösungen im Heimnetz?

All das bedeutet nicht, dass jeder Heimnutzer das Wissen und die Erfahrung eines dedizierten IT-Sicherheitsadministrators aufbauen muss. Viele dieser Funktionen werden heute bereits von am PC installierbaren Sicherheitslösungen abgedeckt.

Aber in Zeiten von Handy, Tablet und anderen smarten Devices muss man sich zwangsläufig auch die Frage der Sicherung dieser Geräte stellen. Wer schon einmal versucht hat, auf einer WLAN-Kamera eine Firewall oder einen Virenscanner zu installieren, kennt das Problem.

Daher sind hier primär die Hersteller von Heimroutern aufgefordert, die bereitgestellten Sicherheitsfunktionen den aktuellen Anforderungen anzupassen. Die Router stellen den zentralen Übergabepunkt zum Internet dar und sind darüber hinaus als Ethernet-Switch bzw. WLAN Access Point die sprichwörtliche Spinne im (Heim-)Netz, die in der Lage ist, jeglichen internen und externen Verkehr zu sehen, zu untersuchen und bei Bedarf auch zu unterbinden. Sie sind somit eine optimale Plattform, um diese Sicherheitsfunktionen bereitzustellen.

Stand der Technik sind solche Lösungen im Firmenumfeld seit Langem. Was im Heimumfeld oft fehlt, ist eine adäquate Umsetzung dieser Anforderungen mit einer für den Heimbenutzer verständlichen Verwaltung. Trend Micro arbeitet deshalb mit verschiedenen Router-Herstellern zusammen, um den Nutzern genau diese einfach zu verwaltende Sicherheit im Heimnetzwerk zu ermöglichen.

Die bisher weit verbreitete Strategie „viel Geschwindigkeit, viele Ports, viele Antennen und ein bisschen Sicherheit, Modell Einbahnstraße“ ist einfach nicht mehr zeitgemäß.

Zusammenfassung

Wir müssen uns darüber klarwerden, dass spätestens mit dem massiven Aufkommen von Home-IoT-Geräten die klaren Grenzen zwischen „drinnen“ und „draußen“, „gut“ und „böse“ auch bei normalen Heimnetzwerken gesprengt sind.

Dies ist zunächst neutral zu betrachten: „Einfache“ Sicherheitsmaßnahmen sind zwar nicht mehr ausreichend effizient, auf der anderen Seite ist der Funktionalitäts- und Komfortgewinn durch solche Geräte natürlich enorm. Ähnlich wie schon im Firmenumfeld handelt es sich dabei um ein lösbares Problem – nur erfordert dies auch entsprechend angepasste Funktionalitäten. Das simple Einbahnstraßenmodell reicht hier nicht mehr aus.

Optimalerweise werden solche Funktionen zentral auf der Schalzentrale im Heimnetz, dem Router, bereitgestellt. Damit profitieren auch Geräte, auf denen keine Sicherheitssoftware installiert werden kann, automatisch von diesen Sicherheitsfunktionen. Dies bedeutet letztendlich natürlich auch, dass die Router-Hersteller hier in der Pflicht stehen, entsprechende Funktionen anzubieten und mit einer für „Otto-Normal-User“ verständlichen Verwaltung auszustatten.

Einige Hersteller haben diesen Trend bereits erkannt und ihre Produkte mit einem deutlichen Mehr an Sicherheit ausgestattet. Interessanterweise haben sich zuerst die Gamer auf diese Router gestürzt, versprechen sie doch eine Verlagerung der Sicherheitsfunktionen, weg vom PC auf den Router, und damit mehr freie Ressourcen für Spiele. Dies ist aber auch eine Chance, Unterscheidungsmerkmale jenseits von „mehr & billiger“ zu schaffen – eine Entwicklung, die letztendlich uns allen zugutekommt.

 

Der Autor: Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er bei Trend Micro seine jetzige Position als Security Evangelist antrat, beschäftigte er sich unter anderem als Solution Architect (EMEA) viele Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren.

Vorheriger ArtikelEU-Datenschutz und IT-Dokumentation
Nächster ArtikelTrügerische Sicherheit: Datenverlust trotz RAID