Das Internet der Dinge und die Sicherheit der Infrastruktur

Der Begriff „Internet der Dinge“ wurde über die letzten Jahre zum Modewort. Er bezeichnet die aktuelle Ära, in der elektronische Geräte im Haus und im Auto mit dem Internet verbunden sind. Viele Firmen sehen hier neue Geschäftschancen. Gleichzeitig fragen sich – wie Sie sicher wissen – immer mehr Menschen, ob diese Geräte und Autos zuverlässig vor Online-Bedrohungen geschützt sind.

Eugene Kaspersky bezeichnete das Internet der Dinge in einem Interview mit USA Today als „Internet der Bedrohungen“. Das passt zu den Äußerungen der Vorsitzenden der amerikanischen Aufsichtsbehörde FCC bei der CES 2015 in Las Vegas. Und das Internet der Dinge kann sich nicht vor dem Sicherheitsaspekt verstecken, doch niemand hat bisher die beste Lösung für dieses GROSSE Sicherheitsproblem gefunden, genau wie bei den anderen Cyber-Bedrohungen, vor denen wir heute stehen.

Doch das Internet der Dinge und sein riesiges Potenzial wurden als „Neuer Markt“ erkannt. Laut einem Forbes-Artikel vom August 2015, schätzt zum Beispiel Cisco, dass der wirtschaftliche Wert des (wie Cisco es nennt) „Internet von allem“ bis 2020 auf 19 Billionen Dollar ansteigen wird. Gartner schätzt, dass die Hersteller von Produkten und Services für das Internet der Dinge bis 2002 einen Umsatz von 300 Milliarden Dollar erreichen werden. IDC sagt voraus, dass der Markt für Lösungen für das Internet der Dinge von 1,9 Billionen Dollar im Jahr 2013 auf 7,1 Billionen Dollar im Jahr 2020 ansteigen wird – 3,7 Mal höher.

Geräte, die persönliche biometrische Daten, Gesundheitsinformationen und Ortsdaten erfassen und speichern, etwa die überall in Mode kommenden Wearables, fallen ebenfalls in den Bereich des Internet der Dinge. Diese sind aber kein allzu großes Risiko.

Solche Geräte enthalten zwar persönliche Daten, allerdings keine Infrastrukturen für unser Leben und unsere Gesellschaft davon betroffen. Und Sie können das Risiko von Datenlecks ganz einfach minimieren, indem Sie beim Fitnesstraining keine Wearables tragen oder aufhören, Cloud-Dienste zu verwenden. Das müssen Sie selbst entscheiden.

Hacking car washes & fitness bands, the future of the Internet of Things? Good #security review from @kaspersky https://t.co/2sNeGw0gei #IoT

— Tom Gillis (@_TomGillis) March 6, 2015

Auf der anderen Seite besteht das echte Internet der Dinge aus Systemen und Diensten, die traditionell als „M2M“ (Machine to Machine) bezeichnet werden. Diese sind eng an Umwelt- und soziale Infrastrukturen gebunden, so dass die IT-Sicherheit hier enorm wichtig ist, da es sich um kritische Infrastrukturen handelt.

So haben Sie vielleicht schon von Smart Grids oder Microgrids gehört. Diese Systeme verwalten den regionalen Stromverbrauch, indem sie den Stromverbrauch zu Hause und die Stromerzeugung durch Wind- und Solaranlagen oder Gas-Zusatzsysteme ausbalancieren. Dabei werden so genannte Smart Meter in jedem Haushalt installiert, die das Ganze überwachen. Die Tokyo Electric Power Company hat zum Beispiel bereits Tausende solche Smart Meter installiert. Das ist der erste Schritt für die Einrichtung eines Smart Grid in der nahen Zukunft.

Aber wie können Cyberkriminelle das Ganze missbrauchen? Sie könnten Ihre Kosten durch das Übermitteln falscher Daten zum Stromverbrauch erhöhen. Es fällt nicht schwer, sich die Möglichkeiten von Angriffen auf kritische Infrastrukturen vorzustellen. Indem Ampelsysteme übernommen werden, kann der Verkehr gestört, ein Autounfall herbeigeführt oder der öffentliche Nahverkehr gestört werden. Solche Angriffe würden auch unser tägliches Leben und unsere Wirtschaft beeinträchtigen.

Bisher waren auf den Listen der Ursachen für Störungen nur Fehler/Funktionsstörungen in Software/Systemen oder Naturkatastrophen zu finden. Jetzt müssen auch Cyberangriffe auf diese Liste gesetzt werden.

Wie steht es um die #Sicherheit des #InternetderDinge und kritischer Infrastrukturen?

Tweet

Wir müssen von Sicherheitsvorfällen lernen und sicherere Mechanismen für alle Systeme im Internet der Dinge einführen, die Teil des täglichen Lebens und unserer Infrastrukturen sind. Genauer gesagt, müssen die Betreiber und Entwickler von Systemen für das Internet der Dinge sich folgende Fragen stellen:

1. Ist mir einfache Bedienung wichtiger als Sicherheit?

Es ist enorm wichtig, die Nutzbarkeit für Angreifer einzuschränken, um die Systemsicherheit zu verbessern. Und einfache Bedienung durch den Anwender bedeutet auch einfache Bedienung für Angreifer. Im vergangenen Jahr wurde berichtet, dass Webcams in ihren Grundeinstellungen für Angriffe auf die Privatsphäre genutzt wurden. Dieser Vorfall zeigt uns, dass die Hersteller immer auch an die Sicherheit denken müssen. Und auch die Verschlüsselung von Daten und Kommunikationen darf nicht vergessen werden.

2. Glaube ich, dass „Nur-Lese-Systeme“ sicher sind?

Nein, das sind sie nicht. Programme laufen sowieso im Speicher, so dass ein Angreifer immer Angriffsmöglichkeiten finden kann. Netzwerkgeräte werden meist mit Linux entwickelt und es ist bekannt, dass auch Linux viele ausnutzbare Sicherheitslücken enthält. Hat ein Angreifer einmal die Kontrolle über ein Gerät erlangt, kann er sich in das gesamte System des häuslichen Internet der Dinge einhacken.

3. Glaube ich, dass meine Geräte nie gekapert werden?

Jedes Gerät kann angegriffen und übernommen werden. Es ist also enorm wichtig, die Sicherheit des gesamten Systems zu überwachen, inklusive vernetzter Geräte. Zudem ist wichtig, dass es möglich ist, Anomalien bei jedem Gerät entdecken zu können. Denken Sie daran, wie Stuxnet in die iranischen Systeme eindringen konnte, die gut geschützt hätten sein sollen.

4. Habe ich Testkosten eingespart?

Penetrationstests sind äußerst wichtig. Die Tests sollten sorgfältig und gemäß den Sicherheitsanforderungen des Systems geplant und durchgeführt werden. Zu empfehlen ist, solche Tests in den normalen Entwicklungsprozess einzubinden.

5. Glaube ich, dass Sicherheit nicht so wichtig ist?

Sicherheit ist einer der wesentlichen Faktoren. Also sollte sie direkt beim Planungsbeginn eines Systems oder Dienstes, aber auch bei der Entwicklung mit einbezogen werden. Ohne ausreichende Sicherheitsmaßnahmen, kann das Internet der Dinge nicht zu einem sicheren Teil des Lebens und der Lebensinfrastrukturen werden.

Wenn nur eine dieser Fragen mit ja beantwortet wird, kann es später zu großen Problemen für den Entwickler, die Herstellerfirma, aber auch für viele andere Menschen kommen.