Internet of Things: Cybersecurity oft fragwürdig
Es gibt eine große treibende Kraft, mit Hilfe derer alle möglichen physischen internetfähigen smarten Geräte zunehmend Teil unserer täglichen Routine werden. Viele sehnen sich nach einem angenehmeren, komfortableren Leben und so lässt es sich nicht vermeiden, dass sie unweigerlich auf den unaufhaltsamen Zug der IoT-Geräte aufspringen. Im Jahr 2020 erwartet die Mozilla Foundation eine Existenz von bis zu 30 Milliarden Internet-of-Things-Geräten, die alle online sein werden.
Bei den Internet of Things geht es nicht nur um persönliche Effizienz und Zeitvertreib, oder um smarte Uhren und Leuchtmittel. Viele Branchen werden im Sturm erobert, sei es in den Bereichen Hardware, Vernetzung, Cloud-Datenmanagement, Big Data oder Machine Learning. Darunter fallen vermehrt auch kritische Infrastrukturen. Es gibt eine Reihe von Investitionen in das Industrial Internet-of-Things, um die Effizienz von Infrastruktur, Energiemanagement, Gesundheitsversorgung, Versorgungsleistungen und anderen öffentlichen Dienstleistungen zu steigern.
Jedes mit dem Internet verbundene System oder Gerät, sei es überaus praktisch oder einfach banal, wirkt sich auf Sicherheit und Privatsphäre aus. Sicherheit und Datenschutz der IoT-Geräte sind allerdings für gewöhnlich nachrangige Aspekte. Das gilt insbesondere für die Ausgestaltung von verbraucherorientierten IoT-Geräten. Sicherheit und die Privatsphäre von oft kapazitätsbegrenzten IoT-Geräten scheinen durch Funktionalität, Internet-Konnektivität, geringen Stromverbrauch und nicht zuletzt durch marktorientierte Anreize ersetzt worden zu sein.
Das könnte genau dann ein geringeres Problem darstellen, wenn die Nützlichkeit der IoT-Geräte nicht auf der Bereitschaft beruht, jede Menge Daten preiszugeben - und mit den Herstellern und anderen Entitäten zu teilen. In vielen Fällen umfasst dieses Teilen sehr private Daten, die fast unsichtbar gesammelt und mit den Technologien geteilt werden. IoT-Geräte funktionieren nicht kompromisslos. Den anscheinend höheren Komfort bezahlen wir durch die Preisgabe von Informationen.
Unsere Liebe zu den Internet-verbundenen Geräten – oder unsere Abhängigkeit davon – beeinflusst unser Verhalten, Geräte und Daten besser zu sichern und zu schützen. Der Mangel an Sicherheitsvorkehrungen und der rapide Anstieg des Konnexes der Geräte, Dienste und Anwendungen untereinander vergrößert gleichzeitig die persönliche Angriffsfläche der User. Insgesamt ergibt sich daraus ein beachtliches Exponiertsein gegenüber Cyberkriminellen. In der Tat reicht schon wenig technische Erfahrung aus, um IoT-Geräte zu kompromittieren. Im Gemenge mit persönlichen Daten und Informationen, die über Sensoren erfasst werden, ergibt sich eine Sachlage, die Kopfschmerzen bereitet.
Sorgen ergeben sich auch wegen der Konvergenz der digitalen und der physischen Welt in Bezug auf IoT-Geräte. Abgesehen von einigen alltäglichen smarten harmloseren Geräten, wie intelligente Zahnbürsten, kann die Verwundbarkeit einiger IoT-Geräte schwerwiegende reale Konsequenzen nach sich ziehen. Insulinspender und Herzschrittmacher sind nur einige Internet-of-Things-fähige Geräte, an denen gezeigt wurde, dass in ihnen enthaltene Sicherheitslücken zum Tode führen können, wenn Hacker diese ausnutzen. Schlecht geschützte IoT-Geräte bieten Cyberkriminellen auch die Möglichkeit, Zugang zu anderen im Netzwerk befindlichen Geräten zu erhalten. Mit dem Netzwerk dadurch verbundenen Informationen können offengelegt werden.
Der Europäischen Monat für Cybersicherheit (ECSM) ist gerade vorbei. Wir möchten noch einmal einige Schlüsselaspekte aufgreifen und resümieren, was IoT-Sicherheit so kompliziert macht.
Besorgniserregende Sicherheitslücken
Viele Internet-of-Things sind mit Sicherheitslücken gespickt – und das schon ab Werk. Deren Firmware, als beispielsweise im Chip integrierte Software, kann schon vor Markteinführung alte und bekannte Sicherheitslücken enthalten. Allerdings ist selbst die ausführlichste Code Review nicht im Stande, immer alle Security Bugs aufzuspüren.
Zudem ist das Ausrollen von Sicherheitsupdates over-the-air leider keine Selbstverständlichkeit und zu oft entstehen dadurch im Laufe der Zeit Sicherheits-Schlupflöcher. Selbst wenn Hersteller Updates zur Verfügung stellen, kann sich das Aufspielen auf die IoT-Geräte als große Herausforderung für normale User entpuppen. Manche wissen auch gar nicht, dass die Hersteller Sicherheitspatches für die Geräte veröffentlichen.
Einige IoT-Geräte verfügen von vorneherein überhaupt nicht über die Möglichkeit, Updates aufzuspielen. Auch in diesen Fällen gibt es User, die sich nicht über aktuelle Sicherheitslücken auf dem Laufenden halten oder andere Wege suchen, einer Cyber-Bedrohung auszuweichen. Das ist insgesamt das schlechteste Szenario.
Herein – Tür und Tor stehen offen!
Unzureichende oder nicht vorhandene Authentifizierung schützt die durch IoT-Systeme bereitgestellten User-Daten nicht. Zu häufig sind die IoT-Gadgets schon von Werk ab unsicher und verwenden öffentlich zugängliche (Google-Suche), leicht zu erratende oder sogar fest codierte Anmeldeinformationen. Nicht selten behalten die IoT-User die Standardeinstellungen in den Geräten bei und verändern Benutzernamen und Passwort nicht.
Der Brute-Force-Angriff aus dem Mirai Botnet auf zehntausende IoT-Geräte im Jahr 2016 ist ein Paradebeispiel für die Gefahr, die von werksseitigen Standard-Anmeldeinformationen ausgeht. Mit Hilfe der gekaperten IoT-Bots wurden eine Reihe von DDoS-Angriffen auf viele US-Amerikanische Webseiten durchgeführt. Von den daraus resultierenden Ausfällen waren damals vor allem Internet-User der Ostküste betroffen.
Private Informationen können allerdings auch aus der unverschlüsselten Verbindung zwischen IoT-Gerät und Kommunikationshub oder Cloud des Herstellers gekapert werden. Leider verfügen die meisten IoT-Gadgets gar nicht über genug Rechenleistung, um starke Verschlüsselungsprotokolle zu unterstützen.
Privacy Paradox
Ein Team der Oxford University verblüffte neulich mit ihrem Whitepaper: ‚“Privacy is the Boring Bit”: User Perceptions and Behaviour in the Internet-of-Things‘. Die Wissenschaftler fanden heraus, dass obwohl viele Menschen die IoT-Geräte weniger vertrauenserweckend halten – auch hinsichtlich der Privatsphäre – als die vergleichsweise weniger revolutionären Geräte wie Laptop und Smartphone, die Gadgets nach wie vor kaufen. Dieses Privacy Paradox legt die Diskrepanz zwischen Meinung und Haltung dar, welche vermutlich auf ein geringes Cyber-Sicherheitsbewusstsein zurückzuführen ist.
Tatsächlich wissen Verbraucher manchmal nicht, dass ein Gerät mit dem Internet verbunden ist und welche Daten übertragen werden. IoT-Geräte tragen auf diese Weise zu einem fundamentalen Shift zwischen den Benutzern und ihrer Privatsphäre bei. Dieser Zustand führt zu beispiellosen Datenschutzproblemen, die sich von den bereits vorherrschenden maßgeblich unterscheiden.
Das Potential der IoT-Geräte ist nicht erschöpft, solange die Datenschutzoptionen der User nicht angemessen berücksichtigt werden. Wir können uns jedoch nur dann schützen, wenn wir uns der Geräte innewohnenden Risiken bewusst sind.