Hackers Paradise – Sicherheit im Internet of Things

bei

Internet der Dinge (IoT)
 / 21. February. 2018

Im Zuge des digitalen Fortschritts stehen vor allem Chancen und praktische Features im Fokus. Was aber ist mit der Sicherheit? Wir vergessen gerne: Die bequemste Lösung ist nicht unbedingt auch die sicherste.

Dass die IT-Sicherheit im Kontext der Schlagworte Digitalisierung, Internet of Things (IoT) und Industrie 4.0 nicht immer den notwendigen Stellenwert genießt, ist nüchtern betrachtet kein neues Thema. Bereits 2010 zeigte sich, dass die Bedrohung mehr als nur theoretischer Natur ist: Die LNK-Lücke und der Stuxnet-Wurm legten Industrieanlagen in den USA, Südkorea, dem Iran und UK lahm. Einfallstor waren veraltete SCADA-Systeme (Computersysteme für das Steuern und Überwachen technischer Prozesse) bei denen versäumt wurde, entsprechende Sicherheitsmechanismen nachzurüsten. Ein düsteres, aber hochspannendes Bild eines solchen Angriffs zeichnete der Autor Marc Elsberg in seinem 2012 erschienenen Thriller „Blackout – Morgen ist es zu spät“: Ein Hackerangriff auf das Stromnetz schickt Europa zurück in die digitale Steinzeit. Waren Maschinensteuernetze in der Vergangenheit meist isoliert und nur durch menschliches Versagen oder Social Engineering zu knacken, sind wir im Zeitalter des IoT über Smart Homes (in)direkt mit diesen Infrastrukturen verbunden und die Anzahl der Angriffspunkte explodiert exponentiell. Und trotz allem waren in den letzten Jahren – scheinbar völlig befreit von derartigen Bedrohungsszenarien – unzählige Pilotprojekte im x-ten Sprint und es wurden fleißig Use Cases für das B2B- und B2C-Geschäft entwickelt, deren Früchte wir heute in unseren Smart Homes auskosten. Für den Laien war der Dschungel an Schlagworten bereits damals kaum durchschaubar und Aspekte der Sicherheit wurden somit weder hinterfragt noch von den Anbietern in den Fokus gerückt: Man musste ja erst einmal die Lösung an den Markt bringen – Hauptsache, man ist dabei.

Sicherheitslücken diskutiert und trotzdem ignoriert?

Gerade durch das Schaffen von schnellen, naheliegenden Lösungen wurden signifikante Sicherheitsprobleme ignoriert. Vielleicht hat der eine oder andere Besitzer eines modernen Autos schon einmal darüber nachgedacht, ob die Nutzung von Apps der Automobilhersteller zum „Remote-Car-Management“ wirklich sicher ist? Das Auto per App aufschließen: Eine tolle Sache, jedoch sollte man bedenken, dass der sogenannte CAN-Bus – die Daten-Aorta des Autos – aus den 80er-Jahren stammt und bei manchen Autos sogar über den Außenspiegel zugänglich ist. Fakt ist: Im schlimmsten Fall könnten über Schwachstellen im CAN-Bus komplette On-Board-Systeme deaktiviert werden. Dass es sich hierbei nicht um pure Theorie handelt, zeigen offizielle Warnungen des Industrial Control Systems Cyber Emergency Response Teams (ICS-CERT), das dem US-amerikanischen Department of Homeland Security untergeordnet ist.

2017 erreichte das Thema ein neues Level, als die US-amerikanische Lebens- und Arzneimittelbehörde FDA eine Sicherheitslücke in Herzschrittmachern identifizierte und tausende von Geräten aktualisiert werden mussten – alleine in Deutschland rund 13.000. Zwar war keine OP notwendig, aber ein persönliches Update beim Arzt. Man kann gespannt sein, was die nächste Stufe zu ambulanten Security Patches ist. Gut, wenn man als Arzt Informatik im Nebenfach studiert hat.

Die Liste an Sicherheitslücken ließe sich noch beliebig weiterführen. Hand aufs Herz: Sind sie sich dieser Punkte bewusst – als Fahrer eines modernen Autos, im Smart Home oder einfach nur als Fahrgast in einem durch IoT und künstliche Intelligenz überwachten Aufzug? Da erscheint es schon fast harmlos, wenn Amazons Alexa ohne Aufforderung Musik abspielt. Dumm nur, wenn das in der Nacht passiert, sie alleine Zuhause ist und die Polizei wegen Ruhestörung ausrückt. Besagter Fall ging Ende 2017 durch die Presse. Log-Analysen lassen vermuten, dass Alexa durch eine Spotify-Playlist ausgelöst wurde. Am Ende übernahm Amazon kulanterweise die Kosten für den Polizeieinsatz und ein neues Türschloss – das Szenario an sich sollte aber zum Nachdenken anregen.

Quo vadis Security?

Spricht man mit Anbietern von IoT-Plattformen sowie mit deren Leuchtturmkunden, hört man – wie nicht anders zu erwarten – ausnahmslos das Plädoyer: „Sicherheit steht an erster Stelle“. Das bestätigt auch die aktuelle IDG-Studie „Internet of Things 2018“. Hier werden Security und Datensicherheit als die größten Herausforderungen benannt. Dem gegenüber steht, gerade am B2C-Markt, ein zunehmender Preisdruck, der eine günstige Fertigung in verschiedensten Teilen der Welt erfordert. Dazu kommt, dass in der Studie zwar mehr als 50 Prozent Security-Technologien für unverzichtbar halten, sie jedoch nur rund 30 Prozent einsetzen. Der perfekte Nährboden für kuriose, bedenkliche oder auch gefährliche Sicherheitslücken.

Nur langsam wächst das Sicherheitsbewusstsein der Consumer und es wird ein verhaltener Ruf nach mehr Sicherheit laut. Zwar fangen Hersteller nach und nach an, ihre Cloud-Kommunikation zu verschlüsseln – aber wie können so viele Schlüssel sinnvoll gemanagt werden, wenn Geräte herstellerübergreifend miteinander reden sollen? Stichwort exponentielles Wachstum. Und bei unsicheren Schlüsseln kann man auch gleich ganz auf Verschlüsselung verzichten.

Auch die Vielzahl an möglichen Protokollen macht es nicht einfacher, einheitliche und somit potenziell sichere Standards zu schaffen. Zu groß ist die Zahl an IoT-Plattformen bzw. derjenigen, welche sich als solche vermarkten. Natürlich wollen alle an dem gigantischen IoT-Markt mitverdienen. Wobei in den nächsten fünf Jahren durchaus eine erhebliche Konsolidierung bzw. Fokussierung zu erwarten ist.

Gibt es eine Lösung?

Persönlich hoffe ich auf die große Revolution des Internet of Things durch die Blockchain. Die Chancen sind hier sehr groß – solange das Konzept Blockchain sicher ist. Allerdings bedeutet dies einen deutlichen Wandel der IoT-Welt: Die Cloud muss dezentral werden, die Logik muss in die Geräte wandern, zentrale Steuersoftware verschwinden. Erst dann kommen wir tatsächlich zu einem Internet, in dem die Dinge miteinander reden und Akteure in Echtzeit Entscheidungen treffen und umsetzen.

Doch macht ein solcher Ansatz die IoT-Welt wirklich sicherer? Bezogen auf den technischen Aspekt vielleicht, aber wie gut können wir die Kommunikation der Dinge dann noch steuern und überwachen: Gerade, wenn neue Dimensionen wie künstliche Intelligenz mitmischen. Möchte man wirklich, dass die Waage mit dem Auto aushandelt, ob man heute besser zur Arbeit laufen sollte? Die Entwicklung bleibt spannend.

Der Autor: Jan Junker verantwortet bei PASS die Business Unit Industries. In der IT seit 2001 bewegt er sich seit 2008 in dieser Branche. Als Strategieberater, Enterprise Architect und Projektmanager blickt er auf eine Vielzahl an nationalen und internationalen Projekten bei Unternehmen und Konzernen aus der Fertigungs-, Luft- und Raumfahrt- sowie der Logistikbranche zurück. Er beschäftigt sich intensiv mit dem Thema Industrie 4.0, der damit einhergehenden Geschäftsprozesstransformation und -optimierung sowie den Aspekten Big Data und Business Analytics.