Das Internet of Things wird zwar von den Marketing-Leuten als das Non-Plus-Ultra gepriesen. Aber mehr und mehr machen sich Sicherheitsbedenken breit und es gibt erste Forderungen, wie man Sicherheitsproblemen begegnen sollte.
Anzeige
Wenn man die Marketing-Leute hört, ist Sicherheit bei IoT alles kein Problem, kann man in den Griff bekommen. Zahlreiche schlaue Artikel erzählen dem geneigten Leser, wie das gehen könnte. Die gelebte Praxis sieht anders aus – jede Hinterhof-Klitsche kommt mit IoT-Devices, die ins Internet eingebunden werden können. Oft mit total veralteter Firmware, ungesichert und mit Backdoors oder Standard-Zugangsdaten. Ein Eldorado für Hacker und Cyber-Kriminelle.
IoT-Botnetze, die neue Gefahr
Der DDoS-Angriff auf Krebs on Security (siehe Sicherheitsinformationen im September 2016) sowie weitere Sicherheitsvorfälle bewirken momentan eine Diskussion, wie es sicherheitsmäßig mit dem Internet of Things (IoT) weiter gehen könnte. Im Artikel Quellcode für IoT-Botnet Mirai aufgetaucht hatte ich darauf hingewiesen, dass der Quellcode des IoT-Botnets, welches für den DDoS-Angriff auf Krebs on Security verwendet wurde, nun öffentlich bekannt ist. Man kann daher absehen, dass es demnächst eine Zunahme solcher Botnetze geben wird.
Die Forderungen für die Zukunft
Geht man die Meldungen der letzten Tage auf einschlägigen Internetseiten durch, kristallisieren sich Forderungen an das Internet of Things heraus.
- Die Site Motherboard adressiert im Artikel We Need to Save the Internet from the Internet of Things das Kernproblem und stellt auf den DDoS-Angriff auf Krebs on Security ab. Hersteller und Anwender kümmern sich einen feuchten Dreck um die Sicherheit von Routern, Kameras etc. Wenn es nicht gelingt, die IoT-Geräte sicherer zu machen, ist das Internet kaputt (kompromittiert). Den Schluss, den der Artikel zieht: Das wird mit der Sicherheit im IoT wird solange nichts, bis sich die Gesetzgebung des Themas annimmt und das Ganze regelt.
- Bei Golem thematisiert man im Artikel Provider sollen im Kampf gegen Botnetze helfen einen möglichen Ansatz. Der Artikel behandelt die Forderungen der Bundesnetzagentur (z.Z. nicht erreichbar, hier die Cache-Version). Diese schlägt eine andere Richtung ein. Wird ein IoT-Gerät Bestandteil eines Botnets, bekommt der Internet Provider dieses mit. Dieser soll den Kunden über das Problem informieren – und wenn dieser nicht reagiert, dessen Internetzugang selektiv zu unterbinden.
Die im Golem-Artikel thematisierte Lösung ist bereits jetzt auf Basis bestehender Gesetze (IT-Sicherheitsgesetz von Juli 2015) möglich. Provider müssen Kunden, sofern technisch möglich und zumutbar, auf von diesen ausgehende Störungen der Internet-Infrastruktur hinweisen. Die Bundesnetzagentur fordert, dass man in manchen Fällen auch dazu übergehen sollte, den Internetzugang betroffener Kunden selektiv zu sperren. Diese erhalten dann nur noch Zugang zu Seiten von Sicherheitsanbietern, um sich Antivirus-Software oder ähnliches herunterzuladen.
Anzeige
Der Ansatz ist quasi bereits bei Anbietern von Mail-Servern gelebte Praxis. Wird ein Rechner zum Versand von Spam-Mails genutzt, informieren Provider und sperren ggf. den Mail-Versand.
Die generelle Sperre des Internetzugangs ist aber, zumindest in meinen Augen, ein schwieriges Feld. Wie nützt mir der Besuch einer Antivirus-Herstellerseite, wenn mein Router kompromittiert ist, ich aber dessen Herstellerseite zum Bezug eines Firmware-Updates nicht aufrufen kann. Dass die Internetanbieter entsprechende Filter pflegen, dürfte wohl zumindest ein Mengenproblem werden. Man könnte natürlich die Seiten, die die Botnetze aufrufen, sperren. Aber auch das wird ein Mengenproblem werden.
Trotzdem, die letztgenannte Forderung – das Sperren des Internetzugangs – sehe ich durchaus als hilfreich an, auch wenn es Probleme geben wird. Was ist in Fällen, wo es keine Firmware-Updates gibt= Dann bleibt die Freigabe bestimmter Webseiten von AV-Herstellern wirkungslos. Der Kunde kann höchstens sein IoT-Gerät außer Betrieb nehmen. Da ist die logische Konsequenz, dürfte aber viele Leute überfordern.
Schreckenszenarien für die Zukunft …
Das wird es dann lustig, wenn der Kühlschrank mit Internetzugang plötzlich nichts mehr bestellt und der Besitzer elendiglich verhungert. Oder die Heizung bleibt aus, weil der Internetzugang des Controllers blockiert wurde und die Kontrolle per Smartphone nicht mehr geht. Leute stehen hilflos vor ihren Häusern und kommen nicht hinein, weil auch dort die Zugangsverifizierung per Internetdienst samt Zweifaktor-Authentifizierung wegen des geblockten Internetzugangs versagt. Die Fälle kann man beliebig weiter spinnen – wobei die Szenarien von mir nicht so ganz ernst gemeint sind. Aber das Ganze zeigt, wo wie hinsteuern. Schöne neue Welt, oder wie seht ihr das?
Richtlinien zur Entwicklung sicherer IoT-Geräte
Nachtrag: Es liegt was in der Luft. Stunden nach Veröffentlichung dieses Blog-Beitrags ging bei heise.de dieser Artikel online. Die Cloud Security Alliance (CSA) hat eine 75 Seiten umfassende Richtlinie Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products für die Entwicklung sicherer IoT-Geräte veröffentlicht. Nachtrag 2: Und hier gibt es die Forderung nach einer Zulassung für IoT-Geräte (wird sich imho aber nicht realisieren lassen).
Ähnliche Artikel:
Israelischer vDOS DDoS-Dienst gehackt, Kundendaten online
Quellcode für IoT-Botnet Mirai aufgetaucht
Sicherheitsinformationen im September 2016
Anzeige
Womöglich richten die Gegenmaßnahmen mehr Schaden an als die Botnetze.
Letztere haben ein essentielles Interesse daran, dass die Geräte weiterhin funktionieren, so dass ihre Aktivitäten unbemerkt bleiben.
Es muss so sein, dass die IoT Geräte für die Zulassung Sicherheitsstandards einhalten und diese auch regelmäßig im Laufe der vorgesehenen Lebenszeit darauf geprüft werden. Werden die Prüfungen nicht bestanden, muss es Konsequenzen für die Hersteller/Betreiber geben, die von Vornherein bekannt sind, damit eine Abschreckung und Motivation vorhanden ist. Das wird natürlich etwas kosten, aber wenn die Maßnahmen bekannt sind, können sie in die Gerätepreise mit einkalkuliert werden. Der billige Jakob kann damit ausgeschlossen werden.
"…wobei die Szenarien von mir nicht so ganz ernst gemeint sind."
Na ja… irgendwie steckt der Ernst einer Frage aber trotzdem mit drin.
Es mag ersponnen sein, aber eben auch nicht mehr unmöglich…
Vor allem erschreckend das, schon angefangen bei der IP-Telefonie, in Zukunft wirklich alles über das Netz abgehandelt wird, das schon heute löchrig wie ein Schweizer Käse ist und das nie für diesen ganzen Quatsch ausgelegt war…
Wenns knallt, ist auch gleich alles tot und ich frage mich, ob das sperren des Internetzuganges überhaupt noch vertretbar ist, in einem zukünftigen IoT Netz.
Ohne Internetanschluss gibts auch keine Stromrechnungen von "schlauen" Stromzählern?
Und dann kommen Anbieter mit verschleierten Preiserhöhungen daher, wie
https://www.teltarif.de/cablesurf-preiserhoehung-ohne-widerspruch/news/64343.html
und selbst wenn man drauf eingeht, gehts mit der Umstellung schief und man ist wochenlang ohne Netzzugang… und das darf in einem Netz mit IoT eben einfach nicht mehr passieren.
Na ja, bei der Umstellung zur IP Telefonie hätte man von "Großen" wie der Telekom ja auch erwartet, das es ohne lange Wartezeiten passiert…
"in Zukunft wirklich alles über das Netz abgehandelt wird, das schon heute löchrig wie ein Schweizer Käse ist und das nie für diesen ganzen Quatsch ausgelegt war…" Diese Aussage willst Du mir belegen, vor allem den letzten Teilsatz. Ob in einem "Netz mit IoT-Geräten" ein wochenlanger Ausfall passieren darf oder nicht, ist letztendlich Sache des Providers, mit dem Du ein Vertragsverhältnis hast. Nicht grundlos gehören ernstzunehmende Brandmelde- und Alarmanlagen sowie Notrufsysteme immer an einen redundanten Anschluss.
Tja, mag so sein.
Welcher Anbieter ist denn zu redundanten Anschlüssen gesetzlich Verpflichtet?
Als einziger ehemaliger Grundversorger fällt mir die Telekom, als Nachfolger der Post ein, aber die schalten wo es möglich ist ATM-DSLAMs nach und nach ab, lassen Kunden wechseln, oder kündigen manchmal sogar und setzen in Zukunft voll auf IP Telefonie…
Also entweder IP Telefonie, oder der redundante Anschluss wird bald so richtig teuer!
Mein Bestreben hinsichtlich des Verhältnisses zwischen mir und dem täglichen Umgang mit unserer modernen Gesellschaft, war immer geprägt von den zwei Säulen Autonomie und Autarkie. Natürlich lässt sich so etwas nicht vollständig umsetzen, denn das würden fast unbegrenzte finanzielle Mittel erfordern. Aber weniger Bequemlichkeit, weniger Abhängigkeit, aber dafür mehr Nachdenken und mehr unmittelbarer, zeitlicher Aufwand war und ist es mir Wert, gelebt zu werden.
Muss ich alles an andere abgeben, damit ich es bequemer habe, kann ich nicht auch Dinge selbst machen und mir das dafür nötige Know-How selber aneignen?
Um es einmal überspitzt auszudrücken, ich wische mir noch lieber selber den Allerwertesten ab, als andere dafür zu beauftragen, das für mich zu tun. Aus Abhängigkeiten kommt man manchmal nur sehr schwer wieder heraus.
Deshalb kaufe ich meine Dinge des täglichen und auch nicht-täglichen Bedarfs lieber selber ein, als dass ich mir einen Kühlschrank anschaffen würde, der das für mich tut. Das Gleiche gilt auch für andere Geräte dieser Kategorie.
Aus meiner Sicht gehören all diese IoT-Devices zu der Kategorie "unsichtbare Fesseln". Man gibt seine Autonomie weitestgehend auf und lässt sich im Prinzip von anderen verwalten. Aber anders als im Mutterleib sind dort nicht wohlmeinende Fürsorger, sondern Menschen, deren einziges Bestreben es ist, mit den gewonnen Daten Geld zu verdienen (siehe Smartmeter, die Stromzähler mit Internetanschluss, bei denen der Nutzen ganz klar auf der Seite der Versorger bzw. der Netzbetreiber liegt). Man lässt sich davon abhängig machen, man verlernt Know-How und letztendlich dient das nur der weiteren Verblödung unserer Gesellschaft.
Zum Punkt "Sicherheit" kann man nur sagen, dass kein einziger kommerzieller Anbieter von Hardware oder Software wirklich ein Sicherheitskonzept vom Anbeginn der Produktentwicklung an bis zum Ende favorisiert. Wenn überhaupt, wird Sicherheit nur aufgepropft, d. h. ein Bestandteil soll sich um mehr Sicherheit kümmern, aber da der Rest ja per se unsicher designt wurde, kann dieser Bestandteil nur versagen.
"Man gibt seine Autonomie weitestgehend auf und lässt sich im Prinzip von anderen verwalten."
Das schlimme ist, wenn es wirklich mal wieder zu schlimmere Zeiten kommen sollten, sind all die Grundversorgungsgeschichten verloren.
Selbst im Rettungsfunk verzichtet man auf alte Techniken und in den heutigen Ziergärten darf man meist auch nix mehr groß für den Eigenbedarf anbauen…
Es hofft ja wirklich keiner, aber wehe wehe und das unsere gutversorgten Schönwetter Politiker anders denken, als viele andere Menschen, sollten die eigentlich langsam selber bemerken. International, wie auch im eigenen Land.
Ein jeder ist seines eigenen Glückes Schmied. Wer sich von seinem Mobilfunkprovider ein IoT-Paket aufschwatzen lässt, mit dem er einzelne Heizkörper von seinem Handy aus steuern kann (sei es, weil er zu faul ist, um aufzustehen, sei es, weil er den Komfort haben will, bei früherem Feierabend die Bude dennoch schon warm haben oder bei späterem Feierabend kein Geld verheizen zu wollen), ohne sich auch nur einen Gedanken darum zu machen, wie es denn wohl mit der Sicherheit der ganz sicher durch das Internet aufgebauten Verbindung zu diesen Geräten aussieht, der hat per se verloren. Der ganz klare Hinweis "Sie steuern Ihr Gerät zu Hause über das Internet, und eventuell können das Andere auch" wird nämlich zu keiner Zeit gegeben. Würde ja auch die Verkaufszahlen schmälern.
In so fern stimme ich der Aussage zu, dass hier der Gesetzgeber den Herstellern ganz klare Vorgaben muss. Und die Einbindung der Zugangsprovider findet ja eh schon statt, wenn ich mir die Schreiben an meine Kunden anschaue, die aufgrund von Virenschleudern mal eben von Port 25 abgeklemmt wurden, um so die Flut von Mails zu unterbinden, die von diesen Maschinen ausgehen. Das ist übrigens auch der einzig richtige Ansatz, die Zugangsprovider hier in die Störerhaftung zu nehmen, denn der Endkunde und Nutzer ist in weit mehr als 80% der Fälle wenigstens lernresistent, wenn nicht sogar merkbefreit. Ich könnte Bücher mit den "Argumenten" meiner Kunden füllen, warum sie auf das Schreiben ihres Zugangsproviders nicht reagiert haben und nun eine – vielleicht glücklicherweise nur teilweise – Sperrung ihres Zugangs in die große weite Welt zu verantworten haben.
Ein weiterer Punkt ist die immer mehr ausufernde Geiz-ist-geil-Mentalität beim Verbraucher. Ein Gerät soll alles können, darf aber nichts kosten. Will der Hersteller nicht bei jedem Gerät draufzahlen und gegen Mitbewerber im Kampf um den Umsatz gewinnen, werden Funktionstest und Sicherheitstests auf ein Minimum abgesenkt, denn dort lässt sich eine Menge an Kosten einsparen.
Was dann zu meinem ersten Satz führt und das Ganze redundant macht.
HEISE:
"Z-Wave ist für eine Abhör-Attacke anfällig… Z-Wave kommt bei der Heimautomation zum Einsatz… Z-Wave zufolge gibt es mittlerweile 100 Millionen Geräte, die auf den Standard setzen. Gefährlich könnte ein Angriff vor allem bei smarten Alarmanlagen oder Türschlössern werden."
https://www.heise.de/security/meldung/Z-Shave-Angreifer-koennten-Funkstandard-Z-Wave-ausspionieren-4059612.html