Das Internet der Dinge wird unser Leben von Grund auf verändern. Schon jetzt zeigt sich aber, welche Risiken die schöne neue Welt birgt. Noch hätte die Industrie Zeit, aus der Fehlergeschichte der IT-Sicherheit zu lernen.
Im Jahr 2020 wird es rund 212 Mrd. IoT-Geräte geben, darunter 30 Mrd. automatisch angebundene Maschinen bzw. Geräte. Ihre Software wird bis zu 30 Mio. Petabyte Daten sammeln; das umfasst sowohl Consumer- als auch industriell eingesetzte Applikationen. Im Zusammenhang mit diesen beeindruckenden IDC-Zahlen weist der belgische Sicherheitsexperte Eddy Willems vom Antivirus-Hersteller G DATA auf die Sicherheitsprobleme hin, die sich aus der massenhaften Verbreitung von vernetzten „Dingen“ ergeben. In einem neu erschienenen Artikel geht er dabei vor allem auf die immer beliebteren Fitness-Tracker ein.
Gesundheitsdaten für Betrüger und Erpresser
Das Vireninstitut AV-TEST hatte die Datenübertragung der Tracker zu den Smartphones und von dort in die Cloud untersucht und sich im Großen und Ganzen zufrieden gezeigt. Allerdings weisen die Tester darauf hin, dass keines der untersuchten Produkte die höchste Sicherheitsstufe erreichte. Es bestehe die Gefahr, dass Hacker die Daten bei der Übermittlung abfangen.
Daraus ergeben sich für Willems einige beunruhigende Szenarien. Da etwa die Krankenkassen offensichtlich gewillt sind, den Trägern von Fitness-Trackern spezielle, oft günstigere Tarife anzubieten, nimmt auch die Versuchung zu, die Daten von Nachbarn, Kollegen oder sogar gänzlich fremden Personen zu verwenden, um die eigenen Beiträge zu senken. Damit das nicht auffällt, müsste der ausgespähte Versicherte lediglich in etwa gleich alt sein wie der Angreifer. In anderen, noch drastischeren Szenarien verschaffen sich Hacker Zugriff auf die Software von Insulinpumpen oder Herzschrittmachern und versuchen auf diese Weise, von den Patienten Geld zu erpressen.
Immer neue Sicherheitslücken bei Connected Cars
Bereits seit Längerem sind die neuen, vernetzten Automobile in den Blickpunkt der Sicherheitsexperten gerückt, die „rollenden Smartphones“, wie die ehemalige deutsche Justizministerin Sabine Leutheusser-Schnarrenberger sie nennt. 2015 kam eine Reihe von beunruhigenden Nachrichten über Sicherheitslücken an die Öffentlichkeit: Die Firma Fiat Chrysler musste nach einem erfolgreichen Cyberangriff 1,4 Mio. Jeep-Modelle zurück in die Werkstätten rufen, bei einer Corvette gelang es den Hackern, die Bremsen fernzusteuern. Und BMW musste Anfang des Jahres 2,2 Mio. Wagen mit einem Software-Update für seine ConnectedDrive-Technologie versehen, da es ansonsten einfach per Smartphone möglich gewesen wäre, die Türen zu öffnen.
Solche Updates dürften bei den Autos der Zukunft häufiger erforderlich sein. Es stellt sich die Frage, auf welchem Weg sie vorgenommen werden sollten. Der Rückruf in die Werkstatt ist zwar sicher, aber auch teuer und ärgerlich für den Fahrzeugbesitzer. Eine automatische Softwareverteilung etwa per Mobilfunknetz wäre zwar erheblich günstiger, birgt aber wiederum das Risiko, dass Kriminelle die Update-Mechanismen manipulieren.
Kunden erwarten überprüfbare Security-Leitlinien
Eddy Willems zieht aus diesen Beispielen den Schluss, dass es hoch an der Zeit ist, für die IoT-Branche Leitlinien zu entwickeln, anhand derer die Sicherheit der vernetzten Produkte kontrolliert werden kann. Dazu schlägt er die Gründung einer unabhängigen Organisation oder Institution vor. Bereits heute existiert die Online Trust Alliance, die mit ihrem IoT Trust Framework Herstellern und Entwicklern entsprechende Leitlinien zur Verbesserung der Sicherheit ihrer Produkte zur Verfügung stellen will. Zudem fördert die Initiative auch die Entwicklung von Best Practices in den Bereichen Datensicherheit, Datenschutz und Nachhaltigkeit.
Notwendig sind beispielsweise Sicherheitskonzepte nach dem Muster von Security by Design. Das heißt: Bereits bei der Entwicklung eines Produkts und vor allem seiner Software ist auf ein möglichst hohes Sicherheitslevel zu achten. Die IT-Geschichte zeigt, dass überall dort, wo dies nicht geschehen ist, die Mängel kaum mehr in den Griff zu bekommen sind. Es darf nicht noch einmal vorkommen, dass, wie in der Vergangenheit geschehen, Unternehmen Produkte auf den Markt bringen, ohne vorher Überlegungen zur Sicherheit angestellt zu haben – um dann im Nachhinein mit einer endlosen Serie von Security-Updates zu versuchen, die eine neue Lücke nach der anderen zu schließen. (Quelle: G DATA/rf)
