"Wir sind in der Sturm-und-Drang-Phase des IoT"
Die Tagung der ISSS in Bern stand in diesem Jahr ganz im Zeichen des Internets der Dinge. Experten sprachen über die Gefahren und Chancen der neuen Technologien. Sicherheitsbedenken dominierten die Referate.
Am Mittwoch hat die Information Security Society Switzerland (ISSS – gesprochen "ei tripple s") ihre Berner Tagung im Hotel Bellevue Palace abgehalten. Bereits zum 18. Mal lud die Vereinigung dazu ein, sich über die Sicherheit in der ICT zu informieren und darüber zu diskutieren. In diesem Jahr stand die Veranstaltung unter dem Motto "Internet der Dinge (IoT): Chancen und Risiken". Als Referenten traten Vertreter aus der Wirtschaft, Wissenschaft und aus Schweizer Verbänden auf.
Im Grossen und Ganzen beurteilten die Referenten das Thema IoT skeptisch. Vor allem Sicherheitsbedenken wurden von fast allen Rednern geäussert. Die Keynote hielt Hannes Lubich, Professor für ICT Systeme und Service Management an der Fachhochschule Nordwestschweiz.
Der Schritt von der digitalen in die physische Welt
Lubich eröffnete sein Referat mit der Aufzählung von Chancen und Risiken des IoT. Dabei überwogen in seinen Ausführungen die Risiken. Als Grund dafür nannte er den Umstand, dass sich das IoT noch in einer frühen Phase befinde, die er als "Sturm-und-Drang-Phase" beschrieb. Im Bereich IoT tue sich momentan viel, meinte er. Immer neue Entwicklungen kommen auf den Markt und dies in bisher ungekannter Geschwindigkeit. Die Gesellschaft müsse sich in wenigen Jahren an technische Veränderungen gewöhnen, die sich zuvor über Jahrzehnte oder gar Generationen vollzogen. Dabei komme es zwangsläufig zu Problemen, die er vor allem im Bereich der Sicherheit ausmache.
Die grösste Gefahr verortet Lubich darin, dass das IoT gerade die Schwelle von der virtuellen zur physischen Welt überschreite. Ein Diebstahl von Daten oder Geld im Cyberspace habe zunächst keine direkten Auswirkungen auf die physische Welt gehabt. Dies werde sich aber nun ändern, wenn Autos selbst fahren, Kühlschränke die Einkäufe machen werden und Maschinen teilweise Entscheidungen über Leben und Tot fällen müssen. Im Moment seien wir an einem Scheidepunkt, sagte Lubich.
Verantwortlichkeiten noch ungeklärt
Es stelle sich die Frage, wer die Verantwortung für Entscheidungen von Maschinen übernehme. Wenn etwa der Kühlschrank aufgrund eines Algorithmus 1000 Liter Milch bestelle. "Ist es dann ein Fehler des Programmierers, des Besitzers, des Herstellers oder des Lieferanten?", fragte Lubich. Mit den Worten: "Ich bin nicht sicher, ob ich in 10 Jahren noch Besitzer oder Halter eines Kühlschranks bin", brachte er diese Entwicklung auf den Punkt. Eventuell sei es nötig, einen neuen Gerichtsstand zu schaffen, wie es mit der "juristischen Person" schon geschehen sei. Die Diskussionen stünden hier aber noch am Anfang.
Ein grosses Problem ist Lubich zufolge auch, dass nicht ersichtlich ist, welches Gerät mit welchen kommuniziert und welche Daten dabei ausgetauscht werden. Von aussen könne der Nutzer auch nicht erkennen, ob er einen IoT-Toaster oder einen analogen vor sich habe.
In Zukunft werde es aber immer schwieriger, sich dem IoT zu entziehen. Ein Moratorium sei aber auch keine Option, sagte Lubich weiter. Das IoT könne nicht aufgehalten werden. Vermutlich werde die Entwicklung so weitergehen wie bisher, nach dem Motto "bauen, dann schauen". Erst nachdem die Fehler aufgetreten seien, werde dann nach einer Lösung gesucht. Zumindest für die Sicherheitsleute sei das IoT eine Arbeitsplatzgarantie, schloss Lubich seine Ausführungen ab.
"Wer vertraut, ist verloren"
Nach dem Vortrag von Lubich legte der Hacker Volker Birk vom Chaos Computer Club Schweiz (CCC-CH) noch einmal nach. Der CCC-CH warne bereits seit vielen Jahren vor den Sicherheitsmängeln im Bereich IoT. Viele vernetzte Geräte seien leicht angreifbar. "Beim IoT machen wir die gleichen Fehler wie bereits bei der IT", brachte Birk es auf den Punkt. Die Sicherheit werde vernachlässigt. Erst wenn es zu spät sei, werde reagiert.
Momentan habe die Industrie die Sicherheit im IoT nicht einmal annähernd im Griff, sagte er weiter. Völlig ungeklärt seien auch Fragen zu Update-Prozessen und wie Patches eingespielt werden können. Viele Produkte wie etwa vernetzte Fernseher würden solche Features nicht einmal vorsehen und stünden für Angreifer weit offen. Wenn der CCC sich bei Herstellern nach dem Patch-Management erkundige, dann sei die Antwort zumeist nur ein ratloses "Häää?", führte Birk an.
"Wer vertraut, ist verloren", sagte Birk weiter. Zu denken geben sollte auch, dass viele Geräte nur mit Standardpasswörtern geschützt seien und diese leicht geknackt werden könnten. Als Antwort auf diese Bedrohungslage brachte Birk das Thema Open Source zur Sprache. Nur mit offenen Quellcodes könne ein hohes Mass an Sicherheit gewährleistet werden. Es brauche "freie Hard- und Software", sagte er weiter. Wobei er aber hier auch einen Appell an die Entwickler richtete, sich diese offenen Codes genau anzuschauen und nicht blind zu vertrauen. Denn offen an sich sei noch kein Allheilmittel.
Auch forderte Birk mehr dezentrale Netze, die von ihrer Idee her schon sicherer gegen Angriffe seien. Momentan sehe er aber die entgegengesetzte Entwicklung. Dennoch blickte Birk nicht nur pessimistisch in die Zukunft. Er äusserte auch die Hoffnung, dass es doch noch gut werden könne.
IoT bei kritischen Infrastrukturen
Trotz der eindringlichen Appelle hat Rolf Brunner, IT-Sicherheitsverantwortlicher ad interim beim Kernkraftwerk (KKW) Leibstadt, keine schlaflosen Nächte. In seiner Präsentation versuchte er Sicherheitsbedenken bei einer kritischen Infrastruktur wie einem KKW zu zerstreuen.
Seit dem Bau des KKW hätten auch IoT-Anwendungen bei Modernisierungen Einzug in den Betriebsalltag gehalten. Zahlreiche Sensoren und vernetzte Geräte seien im KKW vorzufinden. Dies sieht Brunner aber nicht als ein Sicherheitsproblem. Denn es gebe eine strikte Trennung zwischen den Sicherheitssystemen im KKW und den anderen Systemen. So sei die Reaktorsicherheit durch Anlagen gewährleistet, die "Cyber Free" seien.
Durch die Verwendung von IoT-Anwendungen habe das KKW seine Effizienz und Wirtschaftlichkeit deutlich steigern können. Sollten diese Systeme gehackt werden, bestehe aber keine Gefahr für den Reaktor, betonte Brunner. Die Auswirkungen würden sich auf finanzielle Schäden für die KKW-Betreiber beschränken.
Die Sicherheit der IoT-Systeme sei daher doch von grösster Bedeutung. Die Sicherheitsvorkehrungen seien aber sehr stark und Brunner liess in seinem Vortrag keine Zweifel, dass die Anlagen vor Angriffen sicher seien. Bei der Implementierung habe man zudem darauf geachtet, dass sich die Anwendungen nur auf das wirklich Nötige beschränken. Auf alle "Nice-to-haves" sei verzichtet worden, sagte er weiter. Zudem liefen alle Anlagen unter der Maxime "Fail-Safe", was auch durch die mehrfache Redundanz der Anlagen gewährleistet sei.
Aktualität der Bausteine vernachlässigt
Nabil Bousselham, Solution Architect bei Veracode, berichtete aus einer Studie seiner Firma zu sechs Smarthome-Geräten. Ein zentrales Ergebnis sei, dass diese noch zahlreiche Sicherheitslücken haben, die häufig auf grundlegenden Sicherheitsnachlässigkeiten beruhen. Dadurch könnten sensible Informationen relativ leicht ausgespäht werden. In diesem Bereich sei viel Open-Source-Software anzufinden. Da viele kleine Firmen einfach fertige Open-Source-Bausteine zusammenflicken. Das Problem dabei sei, dass die Firmen nicht auf die Aktualität der Versionen achten. Dies liege jedoch nicht an Open Source an sich, sondern am fehlerhaften Umgang mit dieser Technologie.
"Wenn Firmen IoT einsetzen wollen, dann lautet die Maxime: Testing, Testing und noch einmal Testing", sagte Bousselham weiter. Die Schwachstellen müssten gefunden werden. "Das IoT ist schnell vorangekommen und die Sicherheit ist dabei nicht richtig mitgekommen", betonte er. Seinen Ausführungen zufolge sei es nur eine Frage der Zeit, bis hier grosse Skandale zum Umdenken zwingen würden. Dann würde die Sicherheitsfrage breit diskutiert werden und es könnte einiges in Gang kommen, schloss er seinen Vortrag.
Die nächste ISSS-Tagung wird Anfang 2016 in St. Gallen stattfinden. Die nächste Veranstaltung in Bern wird voraussichtlich am Dienstag, dem 22. November 2016, abgehalten werden, kündigten die Veranstalter an.