"Die klassische Antivirensoftware hat im IoT ausgedient"
Die Welt wird zunehmend vernetzter. Stehen dem Hacker somit sämtliche Türen im Smarthome offen? Thomas Uhlemann, Security Specialist bei Eset Deutschland, liefert Antworten.
Stimmt es, dass immer mehr Geräte im Bereich IoT gehackt werden, angefangen bei Kameras über den Fernseher bis hin zum Auto?
Thomas Uhlemann: Das stimmt. Glücklicherweise handelt es sich dabei in den meisten Fällen um experimentelle Angriffe von Experten mit lauteren Absichten. Aber die Vergangenheit zeigt, dass die dunkle Seite der Hackerszene nicht untätig ist und in absehbarer Zeit mit praxistauglichen Methoden aufwarten wird.
Liegt diese Hacking-Anfälligkeit in der Natur des IoT, oder ist die Sicherheitstechnologie noch nicht so weit?
Neue Smart-Geräte sind klar vertriebsgetrieben. Die Hersteller möchten möglichst schnell einen neuen Markt erschliessen und erobern. Deswegen legen sie Wert auf Funktionalitäten und schickes Design – damit kann die Marketing- und Werbemaschinerie schnell und effektiv anlaufen. Die Sicherheit zählt leider nicht oder nur rudimentär zum Design-Prozess der neuen Geräte. Sie kostet erst einmal Geld und bringt verkaufstechnisch wenig Mehrwert. Die verwendeten Protokolle für Hard- und Software-Schnittstellen sind hingegen nicht neu: Es existieren genug Möglichkeiten, diese zu sichern. Es muss aber wie immer erst etwas passieren, damit die Hersteller nach Markteinführung in puncto Security nachbessern. Dieses Spiel kennen wir alle bereits von PCs und Smartphones.
Welche Hacking-Skandale erwarten Sie in der Zukunft? Welche Bereiche sind Ihrer Meinung nach für Angriffe prädestiniert?
Angreifer interessieren sich vor allem für alles, was mit „Smart“ anfängt: Smarthome, Smart-TV, Smartphone, Smartcar und so weiter. Hier sehen wir ja schon die Anfänge. Das private Einsatzfeld von vernetzten Dingen besitzt eine magische Anziehungskraft für Kriminelle. Hier dürfen sie noch mit wenig Gegenwehr rechnen und schnelle Profite erwirtschaften. Kaum ein Anwender kennt die Sicherheitslücken und noch seltener die wenigen Schutzmassnahmen. Im gewerblichen Bereich sieht es anders aus. Bis auf Firmen, die auf Automatisierungstechnik setzen, trauen Unternehmen dem IoT noch nicht über den Weg und investieren vergleichsweise wenig.
Wie sollten die Gegenmassnahmen aussehen?
Zuerst einmal sind die IoT-Hersteller gefordert, bereits bei der Produktentwicklung die Frage der Sicherheit zufriedenstellend zu lösen. Hier darf nicht nur eindimensional die Kostenseite betrachtet werden: IT-Sicherheit entpuppt sich immer mehr als ein wichtiges Verkaufsargument, wenn nicht sogar zum USP! Die Anbieter von Sicherheitslösungen tun gut daran, neue Schutztechnologien zu entwickeln. Die klassische Antivirensoftware, wie sie bei PCs und jetzt auch bei Smartphones Pflicht sein sollte, hat im IoT ausgedient. Gekapselte Hard- und Software, die Grösse des Geräts und der begrenzte Speicher machen es den Entwicklern sicher schwer. Aber wer hier die richtige Idee hat, wird nicht nur seinen Ruf als Experten stärken, sondern auch finanziell davon profitieren. Letztlich gilt wie immer: Aufklärung schützt vor Schaden. Hier müssen alle an einem Strang ziehen und die Anwender besser, pfiffiger und interessenbezogener informieren. Dazu zählt auch der Staat, der vor allem in Schulen viel mehr tun muss. Mit der Verabschiedung eines IT-Sicherheitsgesetzes ist ein erster, kleiner Schritt getan. Viel sollte man hier allerdings nicht erwarten.
Welche Schutzmöglichkeiten gibt es bereits oder haben sich bewährt?
Tatsächlich ist gesunder Menschenverstand und das Sich-Vertraut-Machen mit den neuen Technologien und Gerätschaften schon einmal ein wichtiger Grundpfeiler. Nicht alles, was möglich ist, muss auch unbedingt eingesetzt werden. Gerade beim Smarthome gehört das individuelle Anpassen der Einstellungen zur Anwenderpflicht. Nichts ist schlimmer als das Verwenden von Standardeinstellungen – auch und vor allem beim Internetrouter, der als Informationsknotenpunkt noch wichtiger werden wird.
Wie gefährlich sind die Hacks im Smarthome wirklich? Sind sie nicht eher nur lästig?
Die Bewohner auszuspionieren ist ein erster Ansatz. Einbrecher wüssten gerne genauer, ob und wann jemand zuhause ist. So lassen sich Beutezüge gefahrlos durchführen. Idealerweise erhalten sie auch unautorisierten (Internet-)Zugriff auf die Schliessanlage und die Videoüberwachung. So kommen sie noch schneller und vor allem unerkannt ins Haus. Sie sind also mindestens genauso "lästig" wie die klassischen Einbrecher. Unter Umständen hinterlassen sie jedoch weniger Sach- und Personenschaden.