IoT Security oder das Dilemma mit der unsichtbaren Gefahr

IoT Security geht jeden etwas an, der ein smartes Gerät verwendet. Und das sind freilich eine ganze Menge Menschen. Eine Prognose der Gartner Inc., die 2015 veröffentlicht wurde, gab zum Beispiel an, dass im Jahr 2020 rund 20,8 Milliarden Connected Devices im Einsatz sein werden. Und dem derzeitigen Trend nach zu urteilen, reicht die Vorhersage vielleicht nicht einmal aus.

Ein Kühlschrank, der uns Einkaufslisten aufs Smartphone schickt. Cool! Toaster, die uns wissen lassen, wie viele Kalorien wir zu uns nehmen. Nicht immer cool, aber immerhin irgendwie beeindruckend. Weniger beeindruckend dagegen: Während die globale Vernetzung es ermöglicht, dass Geräte über eine künstliche Intelligenz verfügen, die uns unterstützt, droht darüber hinaus eine unsichtbare Gefahr. Und zwar eine, vor der wir uns durchaus fürchten sollten. Denn: Wer vor nichts Angst hat, wird durch die Gefahr überrascht. Sagte schon Konfuzius.

IoT Security – Der wackelige Stand der Dinge

Internet of Things oder auch “Internet der Dinge” aka IoT: Das sind Connected Devices, die gigantische Datenmengen in ihrem virtuellen Gedächtnis speichern und uns damit im Alltag dienlich sind. Das ist schön, wie wir Besitzer von Smartphone, Alexa oder mitdenkenden Druckern wissen. Die Kehrseite sieht leider so aus, dass oft auch der Alltag der Verbrecher eine Erleichterung erfährt. Eben wegen dieser gigantischen Datenmengen, die je nach Sicherheitslage so offen liegen, als würden wir unsere Geldbörse auf eine Parkbank legen. Statt der Geldbörse werden hier eben die empfindlichen Daten gestohlen. Passwörter werden entwendet, Konten geleert. Oder die Rechenpower des Gerätes wird über sogenannte Botnetze für Attacken auf Webseiten Dritter genutzt.

Sogar die Auto-Industrie kommt auf eine ziemlich neue Art und Weise mit dem Thema IoT Security in Berührung. So ist es Experten bereits gelungen, sich in Fahrzeuge zu hacken. Nicht auszudenken, was alles passieren kann, wenn das übleren Gesellen als solchen, die lediglich auf die Gefahren aufmerksam machen wollen, gelingt. Autos können während der Fahrt ausgeschaltet werden – Gefahr für Leib und Leben droht. Wir brauchen daher ein verstärktes Augenmerk auf IoT-Security. Die technische Evolution schreitet rasend schnell voran. Was wir brauchen, um die rasante Fahrt unbeschadet zu überstehen, sind mehr Sicherheitsgurte und Airbags. Leider gibt es derzeit keinen rechten Konsens darüber, wie die IoT Security implementiert werden kann.

Es gibt zu wenig Bewusstsein für die Gefahren

Wo die Gefahr besonders teuer werden kann, ist im Bereich der Wirtschaft. Defizil, weil gerade hier auch niemand mehr auf IoT verzichten kann. Für viele Unternehmen bedeutet die Entwicklung schließlich eine große Erleichterung. Moderne IoT-Technik erleichtert Verarbeitungsprozesse. Mehr und mehr Unternehmen setzen daher auf das „Internet of Things“. Genau wie die Kriminellen, die sich bereits die Hände reiben. Das Überfallen von Geldtransportern war gestern.

Viele der heutigen eingebetteten Betriebssysteme weisen Sicherheitslücken auf. Und solange ein Gerät mit dem Netzwerk verbunden ist, kann dem Unternehmen oder eben auch der Privatperson dadurch Schaden zugefügt werden. Das Bundeskriminalamt äußerte sich besorgt darüber, dass es oft nur unzureichende Sicherheitsmechanismen gäbe. Vor allem aber herrsche noch zu wenig Bewusstsein für nötige Schutzmechanismen. Umfragen ergaben, dass die meisten Unternehmen versuchen, ihre verbundenen Devices mit herkömmlichen Mitteln abzusichern: So verlassen sich 72 Prozent auf rudimentäre Kontrollen und Netzwerk-Kennwörter. Genau das aber hat sich eben bisher als unzureichend erwiesen.

Was tun, sprach Zeus

Was können wir tun, um uns vor den Angriffen von Hackern und Kriminellen mit entsprechendem Know-How zu schützen? Zunächst einmal sollte jeder Einzelne von uns das Thema IoT Security nicht abtun. Wie bei Krankheiten gilt oft das Motto: Wenn mir nichts wehtut, dann brauche ich nicht zu handeln. Vorsorge aber ist das A und O. Wenn der Schaden erst entstanden ist, ist es zu spät, sich mit dem Thema auseinanderzusetzen.

Als Endverbraucher sollte man sich daher unbedingt vor dem Kauf eines smarten Gerätes informieren. Man sollte sicherstellen, dass man Geräte mit integrierter Sicherheit kauft. Verschlüsselung ist dabei eine entscheidende Komponente für IoT Security. Die Daten müssen zwischen der Übertragung von einem Gerät auf ein anderes, in mobile Apps oder die Cloud verschlüsselt sein. Ebenso sollten Software-Updates für das Gerät verschlüsselt sein. Und man sollte sofort die Standard-Passwörter ändern und alle verfügbaren Sicherheitsfunktionen aktivieren. Daher sollten intelligente Geräte auch die Fähigkeit für ein starkes Passwort und Verschlüsselung enthalten.
Hat man eine starke Authentifizierung und sichere Web-Schnittstellen, heißt es updaten, updaten, updaten – und zwar ohne Aufschub. Auf diese Weise verhindert man zumindest, dass bekannte Sicherheitslücken noch von Hackern ausgenutzt werden, wenn die Hersteller sie mit den Updates bereits beseitigt haben.

Was Unternehmen sicher macht, ist etwa eine Lösung für automatische Erkennung und Klassifizierung, die weitere Sicherheitsprodukte aktivieren kann. Jeder Endpunkt muss sofort überprüft werden, sobald er sich im Netzwerk anzumelden versucht. So ist zum Beispiel der Einsatz eines adaptiven Sicherheitsmodells auch ein Aspekt. Hier werden Sicherheitsverletzungen jederzeit durch richtlinienbasierte, automatisierte Reaktionen erkannt und eingedämmt. Laufende Anwendungen auf Firmencomputern und Servern werden permanent überprüft.

 

Gesetze für mehr IoT Security?

Einige Experten fordern sogar, dass der Arm des Gesetzes sich stark macht. Mancherorts bereits mit Ergebnis. In den USA wird beispielsweise gerade ein Gesetz zu dem Thema auf den Weg gebracht. In dem Gesetz, in dem es um die Sicherheit von IoT-Geräten geht, werden deswegen strengere Richtlinien vereinbart. So sollen die Anbieter etwa sicherstellen, dass ihre Produkte keine einprogrammierten und nicht änderbaren Passwörter enthalten. Und natürlich sollen sie ferner auch frei von allen bekannten Sicherheitslücken und Schwachstellen ein. Diese Sicherheitsstandards, die nun also gemäß dem „Internet of Things Cybersecurity Act 2017“ umgesetzt werden müssen, sollen die Verbraucher schützen. Sicher ist dies kein schlechter Ansatz, da das Augenmerk dadurch in jedem Fall auf das Thema gelenkt wird. Überdies werden auch die Software-Entwickler auf diese Weise gezwungen, das Thema IoT-Sicherheit ernst zu nehmen.

Es bleibt abzuwarten, ob derartige Gesetze auch in anderen Ländern und insbesondere in Europa Einzug erhalten werden, um den IoT-Markt weltweit sicherer zu gestalten. Organisationen wie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) setzen sich jedenfalls auch für eine derartige Sicherheitskultur ein. Das Vertrauen der Verbraucher würde damit in jedem Fall gestärkt. Und genau das würde wohl auch Unternehmen, die mit IoT-Devices ihr Geld verdienen, zugutekommen.