Mit dem Internet of Things hat der Markt eine Reihe von innovativen Features dazu gewonnen, die sich bei den meisten Menschen großer Begeisterung erfreuen. Doch wenn sich die Branche nicht ernsthaft Gedanken über das Thema Sicherheit macht, kann das fatale Folgen haben: Unser Sicherheitsexperte und CEO Ibrahim Kistak, der zurzeit an seiner Promotionsarbeit zum Thema „Sicherheitskonzepte im Web 4.0“ arbeitet, plädiert für einen ganzheitlichen Ansatz in Bezug auf moderne IT-Sicherheit. 

Gibt es eine Schattenseite des Internet of Things, wie zum Beispiel besondere  Sicherheitslücken?

Kistak: Ich beobachte zurzeit, wie die Fehler die bereits andere in der Vergangenheit gemacht haben, sich wiederholen. Dazu fällt mir zum Beispiel der Eklat um Microsoft aus dem Jahr 2001 ein: Die wurden damals fast komplett durch Malware zerstört. Dann hat Bill Gates die Trustworthy Computing Initiative ins Leben gerufen und zusammen mit Michael Howard einen ganz neuen Ansatz etabliert. „Sicherheit im Entwurf, Sicherheit als Standard , Sicherheit bei der Bereitstellung“. Nur so können letztendlich auch Sicherheitslücken proaktiv geschlossen werden, bevor es zu spät ist.

Gibt es strukturelle Schwächen im Internet of Things, die ignoriert werden?
Kistak
: Ja, das gleiche Problem gab es zu Anfang auch in der IT: In erster Linie kümmern sich die Hersteller um die Funktionalität und die Features von neuen Geräten. Und mittlerweile haben die meisten technischen Geräte eine Verbindung zu einer Cloud haben, auf der alle Daten gespeichert werden. Diese Daten werden dann im Backend gemanagt. Es handelt sich also um ein IoT-Gerät, auch wenn die Technik dahinter viel komplexer ist. Die Sicherheit im IoT muss aus einer ganz anderen, einer ganzheitlichen Perspektive angegangen werden. Um das Gerät sicher werden zu lassen, muss auch die Sicherheit des Backends getestet werden und  man muss überprüfen, ob neue IoT-Geräte im Netz zu erkennen sind.

Braucht man also Sicherheitsebenen im Backend und im Netz?
Kistak
: Ja, die meisten dieser Geräte sind für die Administratoren doch eine Black Box. Man weiß nicht, was für ein Protokoll benutzt wird, man sieht nur TCP-Pakete und kann überhaupt nicht einschätzen, was da überhaupt ins Internet geschickt wird.
Es handelt sich hierbei auch nicht um teure Technik, im Grunde kann sich jeder so etwas kaufen. Fast jeder läuft heutzutage mit einem Wearable, zum Beispiel in Form einer Uhr oder einem Fitness-Armband herum.  Hier kann man überhaupt nicht sagen, wo sie herkommen und welche Sicherheitsprotokolle sie im Betrieb nutzen. Meistens liegen die Geräte auch gar nicht im Verantwortungsbereich der IT-Manager, sondern in dem der Haustechnik. Die kümmern sich normalerweise um Dinge wie Aufzüge oder Fenster. In einer Demo haben wir einmal gezeigt, wie man über eine Klimaanlage in ein Gebäude eindringen kann. Die Klimaanlage war natürlich mit dem Internet vernetzt und mit einem Standardpasswort versehen.

Viele als kritisch anzusehende Infrastrukturen sind mit dem Internet verbunden, Aufzüge und Klimaanlagen sind ja nur der Anfang. Lässt sich damit viel Unheil anrichten?
Kistak:
Definitiv. Uns geht es ja vor allem darum, die Leute erst einmal für die Dimensionen die sowas annehmen kann zu sensibilisieren. IoT-Geräte sind einfach überall, auch da wo man es sich überhaupt nicht vorstellen kann. Teilweise sind es auch kuriose Dinge, so zum Beispiel auch größere Haushaltgeräte, die sich mit dem Google Account des Eigentümers vernetzen.

Dann wird es natürlich auch sehr persönlich. Wir haben zum Beispiel auch eine Zero-Day-Lücke in einer russischen Webcam aufgespürt. Die Aufnahmen von dieser bewegungssensiblen Überwachungskamera wurden auf einem Webserver gespeichert. Die einzige Absicherung war es, dass niemand die URL kannte. Das ist kaum zu fassen: Jeder der per Zufall auf diese URL stößt, wird quasi mit intimen Aufnahmen von privaten Menschen überhäuft, die sich Zuhause aufhalten.

Aber die Idee des Internet of Things ist  es ja, es so offen wie möglich für so viele  Geräte wie  möglich zu halten. Bei Sicherheit geht es ja zwangsläufig auch immer um Beschränkungen. Wie lässt sich ein Gleichgewicht herstellen?
Kistak
: Manuell kann man das einfach nicht kontrollieren, das wäre unmöglich. Hier setzt aber auch unsere Idee an: Im Intranetz von großen Unternehmen wie  zum Beispiel der Telekom, werden jeden Tag neue Geräte hinzugefügt. Das sind zu einem Großteil Beamer, Kameras, Drucker, Klimaanlagen – also eine unvorstellbare Fülle an verschiedenen Geräten. Wenn man da Sicherheitsvorschriften für alle durchsetzen will, wird es unmöglich, flexibel und agil zu bleiben.

Zusätzlich ergibt sich auch noch das Problem, dass wenn man Mitarbeitern Sicherheitsmaßnahmen aufzwingen will, diese in der Zukunft höchstwahrscheinlich umgangen werden. Mitarbeiter in solchen Unternehmen wissen heutzutage ja selber eine Menge und haben natürlich auch ihr eigenes Netz Zuhause. Viele  Mitarbeiter nutzen einen Dropbox Account, eine Home Cloud und ein NAS oder ähnliches. Sowas kann man einfach nicht kontrollieren. Also versuchen wir, die Ebene der Hochsicherheit kleiner zu gestalten um diese so permanent beobachten zu können.
So lassen sich schwere Lücken und besonders schwache Glieder in der Kette leicht  finden. Das ist quasi die einzige erfolgsversprechende Methode, zumal wir auch bei keinem unserer Kunden die IT selbst managen. Wir versuchen so, die Entwicklungen zu beeinflussen, Probleme in den Griff zu bekommen und tun dafür alles was nötig ist. Auf keinen Fall kann man mit der Devise „Uns wird schon nichts passieren“ durchs Leben gehen.

Es bräuchte aber über die Branche hinaus einen Standard oder Konsens in Bezug auf Sicherheitsmaßnahmen. Kann man damit rechnen, dass es sowas auch für IoT geben wird?
Kistak
: Da bin ich mir nicht ganz sicher:  Ich habe schon oft mit Herstellern von technischen Geräten gesprochen. Da verhält es sich wie beim vielen Dingen: Jeder will ein Experte sein. Das ist ein Problem, denn so kann sich überhaupt nicht herauskristallisieren, wie so ein Sicherheitsstandard aussehen könnte.  Das ist das gleiche Prinzip wie beim WLAN: Das kam in die Unternehmen, alle fanden es großartig. Erst später wurde sich dann Gedanken über die Sicherheit gemacht, weil Probleme auftraten durch die man gemerkt hat, wie unsicher das eigene Netz wirklich ist. Solche Fehler dürfen jetzt auf keinen Fall wiederholt werden.

Was kann man jetzt schon tun um die Debatte um die Sicherheit im Web 4.0 mitanzuschieben?
Kistak:
Man kann gut beobachten, wie schnell das Internet 4.0  Formen annimmt und wie groß die Dimensionen sind und werden. Jetzt gilt es, sich um die Sicherheit zu kümmern, eine Sicherheitsstrategie in Unternehmen zu etablieren. Wenn man als private Person ein Gerät kauft, muss man auch selber über die Sicherheit nachdenken. Über Datenschutz und über mögliche Probleme, die das im Hinblick auf das Netzwerk bedeuten kann. Wenn man das nicht tut, werden sich unvorstellbare Probleme auftun.

Wer wird hier die ersten Schritte machen?
Kistak
: Manchmal kann es leider nicht jeder alleine für sich. Große Unternehmen und Netzbetreiber, wie zum Beispiel die Telekom, könnten den Anfang machen. Aber auch die können nur eine Facette des gesamten Prozesses sein, an dem alle Mitwirkenden beteiligt sein müssen.

Was wäre das schlimmste, was in Zukunft durch solche Sicherheitslücken passieren könnte?
Kistak
: Wenn sensible Infrastrukturen, die die Zivilbevölkerung versorgen, wie Strom- oder Wasserzulieferer  digital werden und online gehen, kann natürlich ein großer Schaden angerichtet werden. Erst kürzlich wurden wir von einem Krankenhaus beauftragt, einen Penetrationstest durchzuführen. Innerhalb kürzester Zeit ist es uns dann gelungen, in dass System einzudringen, wo wir Zugriff auf sensible Patientendaten hatten. Es wäre ein Kinderspiel gewesen, Blutproben oder andere Laborergebnisse zu vertauschen, was fatale Folgen für alle Beteiligten gehabt hätte.