Das Internet der Dinge – kurz IoT – die Fähigkeit Ihrer Kaffeemaschine, den Kafee direkt ins WLAN hochzuladen und die Fähigkeit des Kühlschranks, Nachschub herunterzuladen 😉 – steckt voller Sicherheitsgefahren, wie Bruce Schneier in seinem Blog verrät. In diesem Beitrag will ich zuerst die vertrackte Situation darstellen und anschließend den Herstellern von IoT-Geräten Gegenmaßnahmen vorschlagen, die das Internet der Dinge trotzdem sicher machen. Und zwar zu 100% – wenn gewünscht.
Feststellung 1: Vernetzung bringt mehr Nutzen als Gefahren
So gefährlich das IoT auch ist: Kraftwerk-Fernwartung spart den Monteuren im Havariefall mehrere Stunden an Zeit, die sie sonst benötigen würden, erst einmal zum Kraftwerk zu fahren. Oft stehen die Kraftwerke hunderte Kilometer von den Ingenieurs-Fachfirmen entfernt. Die Verluste durch Ausfall im Havariefall lassen sich also in die Millionen beziffern.
Auch sonst bringt das IoT vielerorts mehr Nutzen als Gefahren: Funktioniert das Gerät, wird es genutzt – funktioniert es nicht mehr (weil gehackt und als Zombie missbraucht) nutzt man es eben nicht mehr.
Feststellung 2: Sichere Systeme sind möglich, aber nicht immer sinnvoll
Im Gegensatz zur landläufigen Meinung ist es tatsächlich möglich, sichere Systeme zu kreieren. Mann muss dazu aber gut sein. Dieselbe Meinung vertritt auch Bruce Schneier, allerdings hat er eine sehr pessimistische Einstellung, ob die IoT-Hersteller tatsächlich Maßnahmen ergreifen werden. Oftmals ist es auch eine Frage des Preises, denn viele Kunden zahlen nichts für ihre Sicherheit.
Zudem ist die Sicherheit eines Systems überhaupt nicht auf den ersten Blick erkennbar. Nur eine tiefgreifende Analyse unter der Oberfläche, unter Nutzung des Quellcodes, oder mit speziellen Portscannern, offenbart die ungewollten Zugriffsmöglichkeiten.
Somit ist IT-Sicherheit eine wirtschaftliche Abwägung. Manchmal macht es Sinn, einfach unsichere Systeme anzuschaffen, weil der Preisunterschied zu einem sicheren System die potenziellen Schäden nicht aufwiegt. Einen ähnlichen Ansatz können Sie auch verfolgen, indem Sie eine Cyber-Versicherung abschließen. Mirko Bubig von Gewerbe-Profi hat dazu einen interessanten Artikel verfasst. Gemäß der 80-20-Regel, mit der Sie 80% der Sicherheit bereits mit 20% des Aufwandes erreichen, können Sie das Restrisiko von 20% (=80% des Aufwandes) einfach versichern lassen.
Feststellung 3: Das Reden über Sicherheit ist nicht immer erwünscht
Bruce Schneier bemängelt, dass aufgrund von amerikanischen Copyright-Gesetzen Sicherheitsforschern die Hände gebunden sind. Geräte dürfen nicht analysiert werden und solange die Guten die Geräte nicht hacken dürfen, werden es die Bösen eben tun.
Das ist ein wichtiger Punkt, denn Sicherheitsforschung ist eines der Säulen eines künftigen sicheren IoT. Deutsche Sicherheitsforscher haben da weitreichendere Befugnisse als ihre amerikanische Kollegen. Sicherheit im IoT wird sich genau dann durchsetzen, wenn die Sicherheitsforschung publik genug wird, um Hersteller entweder zu Sicherheits-Updates und Viren-Reinigungen zu bewegen oder diese so zu diskreditieren, dass ihre Produkte weggeworfen werden und bestenfalls ein Verkaufsverbot bekommen.
Nichtsdestotrotz schwebt ein deutscher Sicherheitsforscher immer in der Gefahr, anwaltlich zu kontraproduktiven Schweigegeboten abgemahnt zu werden. Auch das muss sich durch neue Gesetze ändern.
Erst mal grundlegend: Keine Systeme, die ohne Firewall nicht sicher wären
Firewalls haben im IoT keinen Platz mehr. Netze müssen erreichbar sein, das ist Grundlage für ihre Nutzbarkeit. Systeme, die nur aufgrund von Abschirmung sicher sind, sind nicht mehr zeitgemäß und auch nicht wirklich sicher. In den 2000er-Jahren gab es ein Betriebssystem namens „Windows 2000“, bei dem alle Dienste über Netzwerk komplett freigeschalten waren. Wir haben uns in der Schule immer einen Spaß daraus gemacht, den Lehrer-Rechner mitten im Unterricht herunterzufahren.
Die Lehre daraus: Jeder Zugang zum Gerät muss authentifiziert sein. Das heißt in anderen Worten: Nutzernamen und Passwörter. Es gibt auch alternative Authentifizierungsmerkmale, allerdings sollte man in jedem Fall genau prüfen, wie und auf welche Weise diese angreifbar sind.
Auch Updates der Hersteller sind oft unsicher, da sie über keine Authentifizierung verfügen. Angreifer können die Update-Funktion von unsicheren Geräten nutzen, um ihre Schadsoftware aufzuspielen. Auch hier hat man letzendlich nicht alle Ruder in der Hand und muss wieder auf Restrisiko spielen.
Systeme, die nur aufgrund ihrer Abschottung sicher sind, sind nicht sicher.
Maßnahme 1: Werks-Passwörter absichern
Um den Nutzer-Komfort der IoT-Geräte zu erhöhen, werden meist Standard-Passwörter gesetzt. Das bietet aber ein nicht kalkulierbares Sicherheitsrisiko, denn kaum ein Nutzer ändert die Passwörter wie verlangt.
Wichtigste Maßnahme der Hersteller sollte also sein: jedes Gerät bekommt ein eigenes Passwort, das in der Anleitung oder auf dem Gerät abgedruckt sein muss. Das Passwort muss mathematisch unabhängig von der Gerätenummer sein. Letzte Anforderung ist insbesondere wichtig, da sonst das Passwort ebenfalls nichts wert ist. Vodafone hat sich diese Schwäche geleistet – anschließend konnte in jedes WLAN einfach per APP eingebrochen werden.
Maßnahme 2: Updates kryptografisch signieren
Updates für IoT-Geräte können von geschickten Angreifern gefälscht werden und sind somit ein Einfallstor für Schadsoftware. Andererseits benötigen IoT-Geräte Updates, um Sicherheitslücken zu stopfen.
Updates können gerne per HTTP-Protokoll geholt werden. Allerdings muss anschließend die Integrität des geladenen Update-Archives geprüft werden. Das geschieht nach aktuellem Stand der Technik mittels kryptografischer Signaturen. Bashbundle, ein OpenSource-Projekt unserer Firma, erlaubt genau das: Ein paar Dateien, sowie ein Shell-Script werden in ein Archiv gepackt und signiert. Auf dem Ziel-Gerät hinterlegt man einige öffentliche Schlüssel von vertrauenswürdigen Update-Anbietern. Ein eingesteckter USB-Stick oder ein HTTP-Download liefern ein Paket, das anschließend geprüft wird und nach Freigabe entpackt und ausgeführt wird.
Maßnahme 3: Jeden Input validieren
Eine weit subtilere Gefahr geht von den Sicherheitslücken aus, die im Code der Geräte selbst schlummern. Pufferüberläufe sind ein ansehnliches Beispiel, wie aus unachtsamer Programmierung Angreifer plötzlich die Möglichkeit haben, durch einen Absturz des Programms die Kontrolle über den Computer zu übernehmen.
Wir selbst haben schon tausende Zeilen Fremd-Code gegen Schwachpunkte wie SQL Injections und Remote-Code-Exploits abgesichert. Grund für das Vorhandensein der Sicherheitslücken war meist die Ahnungslosigkeit oder Faulheit des Programmierers, um jede Nutzereingabe eine obligatorische Sanitierung bzw. Prüfung zu programmieren.
Programmier-Werkzeuge wie zum Beispiel unser OpenSource-Tool JSON Validator JSONType erleichtern es Programmierern ungemein, den Code zum Validieren der Nutzereingabe automatisch zu generieren.
Das war’s schon
Setzt man die oben genannten Dinge um, gibt es keinen Weg mehr, wie Kriminelle unrechtmäßig in die IoT-Geräte einbrechen können. Was Bruce Schneier hier so hochkocht ist die Unfähigkeit und der Unwillen der Hersteller, diese paar Punkte korrekt und fehlerfrei umzusetzen. Daran können wir im Hinblick auf China nicht viel ändern. Doch vielleicht gibt es einige deutsche Hersteller, die diesen Beitrag lesen und die Marke „Made in Germany“ nach den Siemens-Skandalen auch im IoT-Bereich wieder stärken wollen.
Comments are closed