Gastkommentar Mikko Hyppönen Die neue Unsicherheit der smarten Dinge
Das smarte Zuhause lockt mit Bequemlichkeit und tollen neuen Funktionen. Die digitale Sicherheit bleibt dabei auf der Strecke – und das, obwohl viele dieser Geräte Zugriff auf intimste Informationen haben. Ein Gastkommentar von Mikko Hyppönen, Sicherheitschef von F-Secure.
Mikko Hyppönen ist "Chief Research Officer" des finnischen Sicherheitsanbieters F-Secure und ein weltweit anerkannter Experte für IT-Sicherheit. Er hat Hintergrundberichte und Forschungsergebnisse in der New York Times, Wired und Scientific American veröffentlicht. Er lehrt an Universitäten Oxford, Stanford und Cambridge. Hyppönen wurde vom Magazin "Foreign Policy" in die Liste der Top 100 Global Thinker aufgenommen. Dies ist sein erster Gastkommentar für t-online.de.
Wenn wir vom Internet der Dinge reden, geht es um zwei Bereiche: Vernetzte Industriesysteme, etwa in der Produktion, und „smarte“ Produkte für private Endkunden. Gerade Letztere erleben einen Boom. Ob wir wollen oder nicht, die Revolution der smarten Dinge ist längst in vollem Gange. Experten der Analysefirma Gartner sieht bis Ende 2017 weltweit 5,2 Milliarden vernetzte Produkte bei Privatanwendern, bis 2020 soll diese Zahl sogar auf 12,8 Milliarden steigen.
Daten sind das neue Öl
Der Grund dafür ist einfach: Es wird immer billiger, Produkte mit einer Internetverbindung und Chips auszustatten. Viele Produkte gehen nicht online, um dem Kunden neue Funktionen zu bieten. Die Vorteile dienen eher dem Hersteller. Haushaltsgeräte können beispielsweise Daten darüber versenden, wie, wann oder wo sie genutzt werden. Solche Informationen sind für Hersteller enorm wertvoll, selbst wenn sie „nur“ an Daten-Sammel-Unternehmen verkauft werden. Langfristig bedeutet dies, dass selbst profane Geräte wie Toaster online gehen könnten – einfach nur um Informationen zu liefern. Denn diese Daten sind das neue Öl. Genauso wie uns Öl Reichtum und Probleme brachte, werden uns auch Daten Reichtum und Probleme bringen.
Das bedeute nicht, dass Endkunden nicht auch profitieren. Stellen Sie sich vor, wie bequem es ist, die Kaffeemaschine vom Bett aus zu starten oder die Waschmaschine vom Büro aus anzuschalten. Smarte Häuser sorgen für eine bessere Sicherheit – etwa, indem Sicherheitssysteme verdächtige Vorkommnisse direkt melden. Ein anderer Bereich betrifft das Energie sparen und damit konkrete Kostenersparnisse. Denken Sie etwa an ein Thermostat, das die Temperatur automatisch herunterregelt, wenn niemand im Haus ist. Oder eine Waschmaschine, die dann startet, wenn Strom gerade besonders günstig ist. Es gibt eine ganze Reihe von Internet-der-Dinge-Produkten, die ein einfacheres Leben versprechen.
Design vor Sicherheit
Suchen Sie bei der Google Bildersuche nach „Smart Home“ und Sie werden mit zahlreichen durchgestylten, hippen Wohnräumen in ultra-modernem Weiß bombardiert. So schön diese Bilder anzusehen sind, das Thema digitale Sicherheit wird im Design gerne unterschlagen.
Denn Cybersicherheit ist kein Argument um eine Waschmaschine zu verkaufen. Kunden möchten die Farbe kennen, den Preis, die Kapazität oder die verfügbaren Programme. Und weil digitale Sicherheit kein Verkaufsargument ist, investieren Hersteller von Haushaltsgeräten nur vergleichsweise geringe Summen in die Entwicklung. Das führt zu unsicheren Geräten, die ersten Attacken erleben wir bereits.
Der Angriff der Haushaltsgeräte
Im Oktober 2016 sahen wir die bislang größte Attacke auf die Internetinfrastruktur. Dieser Angriff legte international große Bereiche des Internets lahm. Der Angriff ging von einem Netzwerk gehackter Geräte aus, basierend auf dem sogenannten "Mirai Botnet". Mehr als 10.000 Geräte waren an den Attacken beteiligt, kein einziges davon war ein klassischer Computer. Stattdessen handelte es sich um infizierte Internet-der-Dinge-Geräte wie Kameras oder vernetzte Videorekorder. In anderen Worten: die Angriffe kamen von unseren Haushaltsgeräten.
Mirai existiert, weil auf den infizierten Geräten Standardpasswörter genutzt wurden. Die Hacker schrieben ein Programm, das nach erreichbaren Geräten im Internet suchte und anschließend die bekannten Nutzernamen und Passwörter der Hersteller durchprobierte. Wie wir jetzt wissen, war diese Methode ungemein erfolgreich. Und die Konsequenzen sind weitreichend.
Jedes Unternehmen ist ein Software-Unternehmen
Die breite Verfügbarkeit von Internet-der-Dinge-Funktionen führt dazu, dass sich klassische Unternehmen wandeln. Software und Computer steuern Autos, Produktionsstraßen, Kraftwerke. Das bedeutet, dass ein Auto-Hersteller ein Software-Anbieter wird, ein Betrieb, der Nahrung verarbeitet, ein Kraftwerksbetreiber.
Parallel dazu fehlt es aber an Fachkräften, die in den jeweiligen Bereichen für Sicherheit sorgen können. Aktuell ist es so, dass die Felder in der IT-Sicherheit so speziell sind, dass nicht einmal Universitäten die Expertise haben um alle Nischen abzudecken. Selbst wenn ein Unternehmen also in Sicherheit investieren will, es fehlt an Experten und Spezialisten.
Die meisten smarten Produkte bieten keine einzelne, klaffende Sicherheitslücke. Vielmehr ist es eine Kombination verschiedener Schwachstellen, durch die die Geräte verwundbar werden. Es gibt zwei Arten von Risiken: Viele zentrale Steuerungsfunktionen smarter Produkte sind über das Internet erreichbar. Das liegt meist daran, dass die Geräte fehlerhaft konfiguriert sind oder weil eine sichre Konfiguration zu kompliziert ist. Zweitens sind Internet-der-Dinge-Geräte oft das schwächste Glied in der Kette. Selbst wenn das Netzwerk aus Tablets oder Computern gesichert ist, ein einzelner „smarter“ Kaffeekocher kann eine Lücke in den Schutz reißen, die Hacker und Malware nutzen können.
Das Internet der Dinge verdient Sicherheit
Sicherheit spielte bei der Entwicklung des Internets keine Rolle. Wir bauten es zuerst, stellten dann fest, dass wir Sicherheit brauchen und laufen seitdem hinterher. Wir arbeiten die ganze Zeit an einer besseren Lösung. Leider spielte Sicherheit auch beim Internet der Dinge keine Rolle. Aber es ist noch nicht zu spät.
Das Problem wird sich nicht von selbst lösen, alleine gehen die Hersteller diese Themen nicht an. Wahrscheinlich braucht es rechtliche Vorgaben oder Zertifizierungen, aber diese beiden Lösungen brauchen Zeit. Ein Ansatz wäre es, die Hersteller für die Probleme, die sie verursachen, verantwortlich zu machen. Das würde sie zu einem deutlich höheren Investment in digitale Sicherheit zwingen. Wir müssen Sicherheit beim Internet der Dinge ernst nehmen. Und handeln, bevor die Probleme zu groß werden um sie in den Griff zu bekommen.
Schutz für alle mit dem Netz verbundenen Produkte
Die Herausforderung liegt aber auch beim Nutzer und bei Anbietern von Sicherheitslösungen. F-Secure setzt große Hoffnungen auf F-Secure Sense. Dabei handelt es sich um einen WLAN-Router, der mit speziellen Sicherheits- und Schutzfunktionen ausgerüstet ist. Dieser sorgt für die Sicherheit der verbundenen Geräte, vom Laptop über den Fernseher bis zum Babyphone. Damit liegt es in der Hand der Anwender, ihre smarten Geräte vor Attacken zu schützen. Denn die Revolution des Internets der Dinge wird kommen, ob wir es wollen oder nicht.