Internet der Dinge
22.05.2014, 06:00 Uhr
Alles ist hackbar
Ob Joggingschuhe, Zahnbürsten oder ganze Industrieanlagen: Immer mehr Dinge werden mit dem Internet verbunden. Einmal mehr bleiben dabei Sicherheit und Datenschutz aussen vor.
Noch streiten sich die Marktforscher, wie viele «Dinge» in den nächsten Jahren tatsächlich ans Internet angeschlossen werden: Während Gartner von bis zu 26 Milliarden «Einheiten» spricht, die 2020 am «Internet der Dinge» hängen werden, rechnet Konkurrentin IDC mit 32 Milliarden Objekten. Eine Studie des Netzwerkspezialisten Cisco Systems kommt sogar auf 50 Milliarden Geräte. Das Potenzial ist sogar noch gewaltiger: IDC geht davon aus, dass knapp 200 Milliarden Objekte grundsätzlich mit dem Internet verbunden werden könnten. Zum Vergleich: Heute hängen «nur» 14 Milliarden am Netz. Wer auch immer recht behalten wird, sicher ist, dass eine Vielzahl von Geräten in naher Zukunft über eine IP-Adresse verfügen und diese grundsätzlich sowohl von deren rechtmässigen Besitzern als auch von Hackern kontaktiert werden könnte. Damit wären wir schon mitten im Schlamassel, den auch die Melde- und Analysestelle Informationssicherung des Bundes (Melani) in ihrem letzten Halbjahresbericht (II/2013) andeutet: «Auf jedes System, das legitimen Fernzugang erlaubt, kann grundsätzlich auch unberechtigt zugegriffen werden, sei dies direkt oder durch Infiltration eines zugangsberechtigten Geräts, denn es gilt nach wie vor: Alles, was über das Netz erreichbar ist, ist hackbar.»
Vielschichtige Gefahren
Die Sicherheitsprobleme des Internets der Dinge sind vielschichtig. Sie reichen vom Verlust der Privatsphäre bis zur Sabotage ganzer Industriezweige mit ungeahnten Auswirkungen auf Regionen und Nationen. Laut Peter Brandt, Senior Software Engineer bei der Zürcher Ergon Informatik und dort auf eingebettete und mobile Software-Lösungen spezialisiert, kommt die Gefahr aus zwei Richtungen. Zum einen ist eine «Kompromittierung der Systeme» möglich. Dieses Hijacking von Sensor- und Aktornetzwerken könne unter anderem zur Erpressung genutzt werden. Dabei gelte: «Je grösser das kompromittierte System, desto grösser der Hebel.» Nächste Seite: Denkbare Szenarien
Die zweite Gefahrenquelle ist Brandt zufolge die Verfälschung von Daten aus den Sensornetzen. «Wenn ganze Produktionsprozesse oder gegebenenfalls ganze Industriezweige auf Messdaten aus Sensornetzwerken beruhen, dann kann durch gezielte Veränderung dieser Daten ziemlich viel Chaos angerichtet werden», führt er aus. Candid Wüest, Senior Software Engineer im Security-Response-Team von Symantec, nennt dafür ein einprägsames Beispiel: «Ein per Bluetooth simulierter platter Reifen bei 120 Stundenkilometern auf der Autobahn kann ernste Folgen haben.» Auch psychologische Aspekte sind bei solchen Fehlinformationen zu berücksichtigen, wie Brandt anhand des Tsunami-Warnsystems im Pazifik erklärt. «Wird hier über gefälschte Sensordaten ein Tsunami angekündigt, dann kostet das erstens Millionen von Franken für allfällige Evakuationen, die potenziell mehrere Staaten betreffen können. Zweitens wird bei wiederholtem Fall das Vertrauen ins millionen-teure Projekt untergraben.» Selbst kleine und als Einzelereignis ungefährliche Manipulationen können in der Masse ungewohnt heftige Konsequenzen haben, wie Melani feststellt: Würden etwa viele Verbrauchergeräte koordiniert ein- oder ausgeschaltet, wäre dadurch die Stabilität des Stromnetzes gefährdet. «Wenn jede Strassenlaterne, jede Steckdose, jeder Brückenpfeiler, jedes Auto, jeder Wasserschieber sowie jede Turbine im Kraftwerk im Internet hängen, dann sind Angriffe auf die Infrastruktur eine grosse Gefahr», gibt Brandt zu bedenken. «Durch gezielte Angriffe auf die Infrastruktur wie etwa die Wasser-, Strom- und Gasversorgung könnte eine ganze Gesellschaft in die Knie gezwungen werden», sagt er. «Eine Kernschmelze in einem Atomkraftwerk per Cyberattacke, die gegebenenfalls nicht einmal nachvollzogen werden kann, wäre ein dramatisches Beispiel», so Brandt. Die Übergänge zum gefährlichsten Szenario, der Kriegsführung per Cyberangriff, sind also fliessend.
Noch wenig reale Probleme
Die beschriebenen Szenarien sind zwar alle denkbar. Derzeit wirklich virulent sind sie aber nicht. Dies hat vor allem damit zu tun, dass das Internet der Dinge noch nicht die Dimensionen angenommen hat, wie sie die Auguren eingangs ausgemalt haben. Einige Angriffsszenarien, zum Beispiel der Bericht über einen Spam verschickenden Kühlschrank, haben sich sogar als nicht korrekt erwiesen. In letzterem Fall hat Symantec herausgefunden, dass es sich ganz klassisch um einen Massenmails verschickenden Windows-PC handelte, der sich lediglich im gleichen Netz befand wie der intelligente Kühlschrank. Laut Candid Wüest untersucht Symantec zwar bereits konkrete Angriffe, Resultate habe man aber noch keine veröffentlicht. «Die gefundenen Schwachstellen stellen mehrheitlich Privacy-Probleme dar», berichtet der Virenjäger. So habe man etwa Fitnessapplikationen gefunden, die Passwörter im Klartext in die Cloud senden. Nächste Seite: Vom Heim- ins Firmennetz
Vom Heim- ins Firmennetz
Nach der Einschätzung von Wüest dürfte das Internet der Dinge zuerst im Heimnetzwerk Einzug halten, vom schlauen Fernseher und Kühlschrank über die vernetzte und fernsteuerbare Haustechnik (Heizung, Beleuchtung und Fenster) bis hin zu Smart-Metern. Vor allem die hier zum Einsatz kommenden tragbaren Geräte, könnten aber auch die Sicherheit der Unternehmensinformatik gefährden. Denn: «Ein zu Hause infiziertes intelligentes Armband oder eine vergleichbare Brille könnten im Business-WLAN Daten mitlesen und stehlen», warnt Wüest. Auch Ergons Peter Brandt warnt vor einer Art «Sprungbrett»-Funktion der Internet-der-Dinge-Geräte, die für weitere Angriffe auf «lohnendere» Ziele innerhalb des gleichen Netzes missbraucht werden könnten. «Das ist deswegen besonders kritisch, weil der bösartige Zugriff dann von innen kommt und daher oft eher als trusted angesehen wird», führt er aus. Trotzdem sieht Brandt das Heimnetz derzeit mehr gefährdet: «Im privaten Bereich besteht sicher grösseres Angriffspotenzial, weil dort die Komponenten in der Regel einfach sorglos ins hauseigene Wi-Fi eingehängt und wie ein beliebiges anderes trusted device behandelt werden.» Es gibt aber noch einen anderen Grund für das hohe Gefahrenpotenzial durch das Internet der Dinge. Als aktuelles Beispiel nennt Peter Brandt den Heartbleed-Bug, der die SSL-Verschlüsselung ausgehebelt hat. Zwar existierten in der Kryptografie nach aktuellem Kenntnisstand sichere Verfahren, aber bei der Anwendung dieser Verfahren gebe es Probleme, konkret in der Umsetzung durch Software sowie in menschlicher und organisatorischer Hinsicht. Ein weiterer Gefahrenfaktor ist laut Brandt der Reifegrad der Software: «So wäre ein über das Internet ausnutzbarer Bug im Linux-Kernel heute etwas Besonderes. Dagegen hat eine Fernseher-Firmware, die Daten aus dem Internet nutzt, nicht den gleichen Reifeprozess durchlaufen.» Um daran grundsätzlich etwas zu ändern, wäre ein kompletter Neuanfang wünschenswert, wobei die Security als eine wesentliche Priorität gesehen werden muss. Nächste Seite: Nichts gelernt
Nichts gelernt
Was die Sicherheitsexperten in Bezug auf das Internet der Dinge auf die Palme treibt, ist die Tatsache, dass man aus vergangenen Fehlern wieder einmal nichts gelernt hat. Die Industrie hätte die einmalige Chance, sich dieses neue Gebiet von Anfang an mit der Sicherheitsproblematik im Hinterkopf zu erschliessen. Aber das Gegenteil scheint der Fall zu sein. In einem kürzlich erschienen Artikel für das US-Magazin «Wired» bringt IT-Security-Guru Bruce Schneier schwere Sicherheitsbedenken gegen sogenannte Embedded Systems – die Bausteine des Internets der Dinge – aufs Tapet. Diese Systeme «sind mit Schwachstellen nur so übersät», meint er. Und das Schlimmste: «Es gibt keinen guten Weg, diese Sicherheitslöcher zu stopfen.»
Ähnliches habe man in den 1990er-Jahren in der PC-Industrie beobachten können. Bei den eingebetteten Systemen sei die Situation aber schlimmer, weil es noch schwieriger sei, allfällige Schwachstellen zu flicken. Das hat laut Schneier systemimmanente Gründe. Denn diese eingebetteten Systeme bestehen aus Komponenten, die kaum eine Gewinnmarge abwerfen und in die folglich sehr wenig Engineering fliesst. «Das Problem ist, dass keiner der Beteiligten einen Anreiz, die Expertise oder die Möglichkeit hat, die Software in den Komponenten zu patchen, wenn sie einmal ausgeliefert ist», kritisiert Schneier. Zudem sei die Software meist veraltet, selbst wenn das Gerät frisch aus dem Laden kommt. Eine Untersuchung gängiger Heim-Router hat laut Schneier ergeben, dass dort bis zu sechs Jahre alte Software laufe. Ob diese Oldies jeweils alle Security-Patches erhalten haben, sei zumindest zweifelhaft, mutmasst Schneier. Laut dem Security-Guru ist es teilweise gar nicht möglich, Patches auszuliefern, weil die ursprünglichen Open-Source-Software-Komponenten oft durch binäre Blobs (geschlossene Zusätze) ergänzt wurden. «Selbst wenn ein Patch möglich ist, wird er selten ausgeliefert und eingespielt», bekrittelt Schneier. «Das Resultat: Hunderte Millionen Geräte bevölkern das Internet – ungepatcht, unsicher und zwar schon seit zehn Jahren», resümiert er. Das Internet der Dinge wird diese Situation noch verschlimmern, ist Schneier überzeugt. Ist also «Security by Design» bei der Erschliessung des brandneuen Internets der Dinge mit all seinen eingebetteten Systemen ein Fremdwort? Die von Computerworld befragte helvetische Expertenrunde stimmt dieser These zu. «Im Moment ist das so», erklärt Peter Brandt. «Die Anzahl der Features und Time-to-Market zählen mehr als Security – im Consumer-Bereich ist dies besonders ausgeprägt.» So werde kaum jemand einen «smarten» Fernseher kaufen, der weniger kann als das Konkurrenzmodell vom Vorjahr, aber wegen zusätzlich eingebauter Sicherheitsmechanismen um die Hälfte mehr kostet. Nächste Seite: Kein Anreiz für Security
Kein Anreiz für Security
Hinzu kommt die Bequemlichkeit vieler Endanwender. Es ist oft schwieriger, ein Gerät zu installieren, das auf Sicherheit setzt. So kann die Konfiguration von Heimnetz und Firewall schon mal aufwendiger sein als beim Konkurrenzprodukt, das zwar problemlos in Betrieb genommen werden kann, aber vielleicht eher angreifbar ist. Hier bestimmt also durchaus auch die Nachfrage das Angebot. «Solange die Anwender nicht bereit sind, für mehr Sicherheit und weniger Features mehr Geld zu bezahlen, wird sich kaum etwas ändern», ist Brandt überzeugt.
Hinzu kommt, dass die Hersteller oft keinen Anreiz haben, Updates zur Verfügung zu stellen. «Bei Smartphones wird das sehr deutlich: Je länger ein Hersteller seine alten Geräte mit Security- und Feature-Updates versorgt, desto weniger haben die Kunden den Wunsch, ein neues Gerät zu kaufen. Der Hersteller investiert also Geld für die Updates, macht aber deswegen in der Folge weniger Umsatz», so Brandt. Auch Symantecs Candid Wüest bedauert, dass «beim Internet der Dinge die Sicherheit oft nicht von Anfang an Teil der Entwicklung ist und somit vernachlässigt wird». In einigen Fällen werde zudem aus kostentechnischen Gründen darauf verzichtet, so der Symantec-Virenjäger. «Eine starke Verschlüsselung benötigt mehr CPU und Batterie – und das kostet natürlich auch mehr», erklärt er. Zudem würden viele Hersteller die möglichen Angriffsszenarien verharmlosen: «Eine Lampe von aussen durch eine Replay-Attacke 100 Mal pro Sekunde ein- und auszuschalten, wird höchstens die Lampe zerstören, aber keine Menschen verletzen», verdeutlicht Wüest diese etwas eigenartige Denkweise. Nächste Seite: Man bemüht sich um Verbesserung
Initiativen zur Verbesserung
Trotzdem besteht kein Grund, völlig schwarzzusehen. Die Industrie nehme die Problematik zunehmend ernster, meint Peter Brandt. Die Vordenker des Internets der Dinge hätten realisiert, dass die neue Technologie nur dann einen Durchbruch auf dem Markt erreichen kann, wenn die Industrie den Produkten vertraut. «Vertraut werden kann aber nur, wenn End-to-End-Security besteht. Aus diesem Grund sorgen die Microcontroller-Hersteller inzwischen dafür, dass auch kleinste (Wi-Fi-)Controller in der Lage sind, sichere Datenverbindungen und eine Public-Key-Infrastruktur zu unterstützen», so Brandt. Ohne diese Voraussetzung werde voraussichtlich niemand im industriellen Stil viel Geld in diese Techniken investieren, folgert er. «Nun liegt es natürlich noch an den Software- und Device-Herstellern, diese Fähigkeiten zu nutzen und ihre Produkte entsprechend zu programmieren und zu entwickeln», so Brandt weiter. Dass die Industrie in Sachen Internet der Dinge doch nicht alles schleifen lässt, beweisen einige Initiativen, die zur Verbesserung der Security-Situation beitragen sollen. Dazu gehört unter anderen die Bewegung «I Am The Cavalry», die vom Security-Spezialisten Josh Corman an der letztjährigen Hacker-Konferenz Defcon aus der Taufe gehoben wurde. Sie soll einerseits als Drehscheibe für die Erforschung von Angriffspotenzialen dienen, vor allem in den Bereichen medizinische Geräte, Autos, Haushaltsgeräte und öffentliche Infrastruktur. Andererseits soll die Initiative einen Kulturwandel herbeiführen, um Sicherheit in den gesamten Herstellungsprozess zu bringen. Auch die Hersteller selbst machen sich Gedanken. So hat Cisco Systems für Lösungsansätze, die mit dem Internet verbundene Heimgeräte, Fahrzeuge und Sensoren absichern, ein Preisgeld von 300000 US-Dollar ausgeschrieben. Eine Teilnahme am Cisco-Wettbeweb «Internet of Things Grand Security Challenge» ist noch bis zum 17. Juni 2014 möglich, die Gewinner werden dann im Herbst prämiert. Schliesslich ist auch das Melani in Sachen Sicherheit im Internet der Dinge aktiv. Die Meldestelle des Bundes hat im Oktober 2013 eine Checkliste und eine Anleitung veröffentlicht, in der «Massnahmen zum Schutz von Industriellen Kontrollsystemen (ICS)» beschrieben werden. Nächste Seite: So schützt man sich
Vorsichtsmassnahmen
Und wie können sich die Unternehmen schon heute vor einigen der schlimmsten Auswüchse des Internet der Dinge schützen? Als ersten Schritt empfiehlt Sicherheitsexperte Wüest, zunächst eine Inventur vorzunehmen. «Nur wenn man weiss, dass die Geräte existieren, kann man eine Risikoanalyse machen und Schutzmassnahmen treffen», sagt er. Je nachdem sollte man diese Geräte dann abschotten, etwa durch Firewalls, IPS (Intrusion Prevention Systems), Proxies oder ACL (Access Control Lists), und die Zugriffsberechtigungen minimieren, empfiehlt er. Weitere Security-Massnahmen wie die Verwendung von Nicht-Standard-Passwörtern gelten natürlich auch für das Internet der Dinge. Peter Brandt schlägt in diesem Zusammenhang vor, dass die Geräte des Internets der Dinge «grundsätzlich in getrennten Netzwerken laufen, damit der Zugriff auf andere, wertvollere Systeme nicht möglich ist». Die Daten könnten dann etwa erst in der Cloud zusammengefügt werden, falls verschiedene Sensornetzwerke oder Device-Klassen zusammenarbeiten sollen. Diese Strategie sei sogar bei der Einrichtung zu Hause möglich, meint Brandt. Allerdings sei dafür ein gewisses technisches Know-how des Endanwenders nötig – aber leider selten vorhanden. «De facto ist es aber so, dass viele Consumer schon froh sind, wenn sie das neue Gadget überhaupt so zum Laufen bekommen, wie es beworben wurde. Je mehr Hürden der Hersteller einbaut, die der Sicherheit dienen, desto schwerer nutzbar wird das Gerät für die meisten Endanwender», erläutert Brandt. Ein Dilemma, aus dem die Industrie schnellstens einen Ausweg anbieten sollte.