![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Das Internet of Things wird zwar von den Marketing-Leuten als das Non-Plus-Ultra gepriesen. Aber mehr und mehr machen sich Sicherheitsbedenken breit und es gibt erste Forderungen, wie man Sicherheitsproblemen begegnen sollte.<\/p>\nDas Internet of Things wird zwar von den Marketing-Leuten als das Non-Plus-Ultra gepriesen. Aber mehr und mehr machen sich Sicherheitsbedenken breit und es gibt erste Forderungen, wie man Sicherheitsproblemen begegnen sollte.<\/p>\n
<\/p>\n
Wenn man die Marketing-Leute h\u00f6rt, ist Sicherheit bei IoT alles kein Problem, kann man in den Griff bekommen. Zahlreiche schlaue Artikel erz\u00e4hlen dem geneigten Leser, wie das gehen k\u00f6nnte. Die gelebte Praxis sieht anders aus \u2013 jede Hinterhof-Klitsche kommt mit IoT-Devices, die ins Internet eingebunden werden k\u00f6nnen. Oft mit total veralteter Firmware, ungesichert und mit Backdoors oder Standard-Zugangsdaten. Ein Eldorado f\u00fcr Hacker und Cyber-Kriminelle.<\/p>\n
Der DDoS-Angriff auf Krebs on Security (siehe Sicherheitsinformationen im September 2016) sowie weitere Sicherheitsvorf\u00e4lle bewirken momentan eine Diskussion, wie es sicherheitsm\u00e4\u00dfig mit dem Internet of Things (IoT) weiter gehen k\u00f6nnte. Im Artikel Quellcode f\u00fcr IoT-Botnet Mirai aufgetaucht hatte ich darauf hingewiesen, dass der Quellcode des IoT-Botnets, welches f\u00fcr den DDoS-Angriff auf Krebs on Security verwendet wurde, nun \u00f6ffentlich bekannt ist. Man kann daher absehen, dass es demn\u00e4chst eine Zunahme solcher Botnetze geben wird.<\/p>\n
Geht man die Meldungen der letzten Tage auf einschl\u00e4gigen Internetseiten durch, kristallisieren sich Forderungen an das Internet of Things heraus.<\/p>\n
Die im Golem-Artikel thematisierte L\u00f6sung ist bereits jetzt auf Basis bestehender Gesetze (IT-Sicherheitsgesetz von\u00a0 Juli 2015) m\u00f6glich. Provider m\u00fcssen Kunden, sofern technisch m\u00f6glich und zumutbar, auf von diesen ausgehende St\u00f6rungen der Internet-Infrastruktur hinweisen. Die Bundesnetzagentur fordert, dass man in manchen F\u00e4llen auch dazu \u00fcbergehen sollte, den Internetzugang betroffener Kunden selektiv zu sperren. Diese erhalten dann nur noch Zugang zu Seiten von Sicherheitsanbietern, um sich Antivirus-Software oder \u00e4hnliches herunterzuladen.<\/p>\n
Der Ansatz ist quasi bereits bei Anbietern von Mail-Servern gelebte Praxis. Wird ein Rechner zum Versand von Spam-Mails genutzt, informieren Provider und sperren ggf. den Mail-Versand.<\/p>\n
Die generelle Sperre des Internetzugangs ist aber, zumindest in meinen Augen, ein schwieriges Feld. Wie n\u00fctzt mir der Besuch einer Antivirus-Herstellerseite, wenn mein Router kompromittiert ist, ich aber dessen Herstellerseite zum Bezug eines Firmware-Updates nicht aufrufen kann. Dass die Internetanbieter entsprechende Filter pflegen, d\u00fcrfte wohl zumindest ein Mengenproblem werden. Man k\u00f6nnte nat\u00fcrlich die Seiten, die die Botnetze aufrufen, sperren. Aber auch das wird ein Mengenproblem werden.<\/p>\n
Trotzdem, die letztgenannte Forderung \u2013 das Sperren des Internetzugangs – sehe ich durchaus als hilfreich an, auch wenn es Probleme geben wird. Was ist in F\u00e4llen, wo es keine Firmware-Updates gibt= Dann bleibt die Freigabe bestimmter Webseiten von AV-Herstellern wirkungslos. Der Kunde kann h\u00f6chstens sein IoT-Ger\u00e4t au\u00dfer Betrieb nehmen. Da ist die logische Konsequenz, d\u00fcrfte aber viele Leute \u00fcberfordern.<\/p>\n
Das wird es dann lustig, wenn der K\u00fchlschrank mit Internetzugang pl\u00f6tzlich nichts mehr bestellt und der Besitzer elendiglich verhungert. Oder die Heizung bleibt aus, weil der Internetzugang des Controllers blockiert wurde und die Kontrolle per Smartphone nicht mehr geht. Leute stehen hilflos vor ihren H\u00e4usern und kommen nicht hinein, weil auch dort die Zugangsverifizierung per Internetdienst samt Zweifaktor-Authentifizierung wegen des geblockten Internetzugangs versagt. Die F\u00e4lle kann man beliebig weiter spinnen \u2013 wobei die Szenarien von mir nicht so ganz ernst gemeint sind. Aber das Ganze zeigt, wo wie hinsteuern. Sch\u00f6ne neue Welt, oder wie seht ihr das?<\/p>\n
Nachtrag:<\/strong> Es liegt was in der Luft. Stunden nach Ver\u00f6ffentlichung dieses Blog-Beitrags ging bei heise.de dieser Artikel <\/a>online. Die Cloud Security Alliance<\/a> (CSA) hat eine 75 Seiten umfassende\u00a0Richtlinie Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products<\/a> f\u00fcr die Entwicklung sicherer IoT-Ger\u00e4te ver\u00f6ffentlicht. Nachtrag 2: Und hier gibt es die Forderung nach einer Zulassung f\u00fcr IoT-Ger\u00e4te (wird sich imho aber nicht realisieren lassen).<\/p>\n