Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 14. Dezember 2017

IT-Sicherheit

Gefahr der Knöpfe

Von Uwe Sievers | 12. Januar 2017 | Ausgabe 01

Mit zunehmender Zahl an Komponenten des Internet of Things (IoT) steigen die Sicherheitsrisiken. Gerade bei Kleinstapplikationen und Wearables sollte das zu denken geben.

22-A (2)
Foto: Foto [M]: Amazon/VDIn

Knopf fürs Klopapier: Ein Druck auf Dash und der Nachschub wird über Amazon geregelt. Nur die Datensicherheit bleibt auf der Strecke.

Kleine, niedliche Geräte erobern den Markt. Wearables werden am oder im Körper getragen und sollen Defizite ausgleichen oder zusätzliche Funktionen anbieten. Sie sind in Stoffe eingewebt, werden in Pflastern auf die Haut geklebt oder ins Ohr gesteckt. So auch der Verkaufsschlager „The Dash“ des jungen Start-ups Bragi mit Sitz in München. Die kabellosen Ohrstöpsel fungieren nicht nur als Kopfhörer, das Gerät stellt einen kleinen Computer dar: Der integrierte MP3-Player mit 4 GByte Speicher fasst rund 1000 Musikstücke. The Dash ist zudem Bluetooth-Headset, Smartphone-Fernbedienung und Fitness-Tracker. Die eingebauten 27 Sensoren messen die Schrittgeschwindigkeit, Laufstrecke, Körpertemperatur, Sauerstoffsättigung und Puls des Trägers über zwei im Ohrstecker integrierte Infrarot-LEDs. Gesteuert wird der kleine Knopf im Ohr von einer Smartphone-App. Nicht alles läuft rund bei dem smarten Gerät im Ohr, Anwender berichten beispielsweise über Verbindungsprobleme. Sicherheitsdefizite wurden bei The Dash bisher jedoch nicht bekannt.

Doch das Risiko steigt mit der Anzahl an Funktionen. Im Herbst hat eine gemeinsame Untersuchung mehrerer Datenschutzaufsichtsbehörden gezeigt, dass „teilweise gravierende technische Sicherheitsmängel bei Wearables bestehen“. Das stellte der ebenfalls Dash genannte smarten Knopf von Amazon unter Beweis. Mittels des kleinen IoT-Geräts können Bestellungen bei Amazon durch einen einfachen Knopfdruck ausgelöst werden. Das kann praktisch sein, wenn die Waschmaschine im Keller steht und man dort feststellt, dass das Waschmittel ausgegangen ist. Doch Verbraucherschützer und Sicherheitsexperten warnen: Das Gerät übertrage Nutzerdaten und die billige Elektronik könne kaum effizient geschützt werden. Updates sind z. B. nicht vorgesehen. Hacker haben die Knöpfe bereits zum Liebling für eigene Experimente erkoren.

Sensoren aus simplen Elektronikkomponenten ohne Update-Fähigkeit finden sich auch im Smart-Home-Bereich. Security-Spezialisten erwarten gerade dort neue Angriffsszenarien. Attacken auf Smartlocks, also fernsteuerbare Türschlösser, und auf smarte Beleuchtungen wie Philips Hue von Philips Lighting gab es bereits.

Zur Jahreswende widmete sich ein Vortrag beim Chaos-Computer-Club-Congress den Möglichkeiten, die Türsprechanlagen für Angreifer bieten. Deren Hersteller nutzen Mobilfunk, um auf kostenintensive Verkabelungen komplexer Systeme in Wohnanlagen oder auf Werksgeländen zu verzichten. Doch auch an der Sicherheit wurde gespart, im Resultat sollen dadurch unberechtigt Türen geöffnet, teure Sondertelefonnummern gewählt oder Gespräche abgehört werden können.

Schlecht gesicherte IoT-Geräte wurden massenhaft gehackt und bildeten das Mirai-Botnet, von dem aus die großen Distributed-Denial-of-Service-Attacken (DDoS) im Herbst erfolgten. Dabei hat sich gezeigt, dass selbst Netzgiganten in Bedrängnis geraten können. Ursache waren als harmlos eingestufte Geräte, denen die meisten Menschen wenig Beachtung schenken: DSL-Router, Videorekorder, Überwachungskameras.

Für Sicherheitsfachleute wie den Kryptoexperten Bruce Schneier ein Alarmsignal, wie er kürzlich in einer Anhörung vor dem US-Repräsentantenhaus sagte. Was ihm Sorge bereitet: Bisher seien die betroffenen Geräte hauptsächlich Konsumprodukte gewesen. Die ausgenutzten Schwachstellen, z. B. simple Default-Passwörter, fänden sich jedoch ebenso in IoT-Komponenten für die Industrie oder öffentliche Einrichtungen, mahnt er. Die vernetzten Geräte kämen immer stärker an sensiblen Stellen wie Krankenhäusern oder in der Verkehrssteuerung zum Einsatz. Hier sei mit katastrophalen Folgen von Sicherheitsdefiziten zu rechnen.

Darüber hinaus bilden IoT-Systeme auch die Grundlage von Industrie 4.0. Dort kommen massenhaft einfache smarte Sensoren zum Einsatz, oftmals mit zu wenig Speicherplatz und Rechenleistung für ausgeklügelte Verschlüsselungsalgorithmen und ohne jegliche Update-Möglichkeit. Angriffe könnten mit einem Schlag ganze Wirtschaftszweige lahmlegen.

Viele Betreiber wissen um das Gefahrenpotenzial. Etliche Wasserwerke halten deswegen neben digitalen Steuerungen häufig noch manuell zu betätigende Zahnradventile vor, wie ein IT-Verantwortlicher eines ostdeutschen Wasserwerks berichtet, der ebenso wenig genannt werden möchte wie der Wasserwerksbetreiber selbst.

Als Folge der jüngsten Attacken hat als erste politische Instanz im November das US-Heimatschutzministerium reagiert und „strategische Grundsätze für die Sicherung des Internet of Things“ veröffentlicht. Zukünftig sollen u. a Hersteller leichter verklagt werden können, wenn sie Sicherheitsrisiken nicht schon während der Entwicklung berücksichtigen. Diese als „Security by Design“ genannte Verfahrensweise wird künftig entscheidend sein. Auch das US-amerikanische National Institute of Standards and Technology, das Branchenstandards für neue Technologien definiert, hat deshalb Richtlinien für die Entwicklung besser abzusichernder vernetzter Systeme herausgegeben. In Deutschland sucht man nach vergleichbaren Vorstößen noch vergebens.

stellenangebote

mehr