"Rein technische Gegenmassnahmen werden wohl nicht genügen"
Die Welt wird zunehmend vernetzter. Unser Zuhause auch. Stehen dem Hacker somit alle Türen im Smarthome offen? Lukas Benninger, Security-Spezialist bei Swisscom, liefert Antworten.
Immer mehr Geräte im Bereich IoT werden gehackt. Angefangen bei Kameras über den Fernseher bis hin zum Auto. Liegt die Hacking-Anfälligkeit in der Natur der Dinge, oder ist die Sicherheitstechnologie noch nicht so weit?
Lukas Benninger: Immer mehr Leute interessieren sich für die Sicherheit von Geräten, die Anschluss an das Internet haben. Vor 20 Jahren setzten sich nur Profis mit der Sicherheit auseinander, doch heutzutage stehen mehr Tools, aber auch weiterreichende Informationen allgemein zur Verfügung. Dies hat zur Folge, dass sich nun auch normale IT-Anwender intensiver mit der Sicherheit auseinandersetzen können. Die Entdeckung von Sicherheitslücken in einem bislang noch nicht untersuchten Technologiebereich ist zudem mit Ruhm verbunden, daher ist das Interesse daran so enorm. Es wären genügend Sicherheitstechnologien vorhanden, nur werden diese aus verschiedensten Gründen nicht implementiert. Gerade im Bereich IoT sind die Endgeräte mit geringer Rechenkapazität ausgestattet, was zu Problemen etwa mit rechenintensiven Operationen, wie der Verschlüsselung, führen kann.
Welche Hacking-Skandale erwarten Sie in der Zukunft? Welche Bereiche sind Ihrer Meinung nach für Angriffe prädestiniert?
Derzeit sind vor allem Bereiche betroffen, die jetzt bereits stark in das digitale Gesamtsystem integriert sind. Dies sind etwa der Mobilbereich oder die Automobilbranche. Durch die fortschreitende digitale Integration verschiedenster Bereiche des Alltags, wie smarte Kleidung oder smarte Heimgeräte, erweitern sich die möglichen Angriffsszenarien exponentiell. Die sich dadurch ergebenden Angriffsszenarien werden die jeweiligen Bereiche entsprechend ihrer digitalen Integration in das Gesamtsystem betreffen. Welche Bereiche besonders für Angriffe prädestiniert sind, hängt im Wesentlichen vom Ziel des Angreifers ab. Ein Dieb wird eher ein Home Automation System als eine digitalisierte Produktionsstrasse angreifen, die hingegen für Betriebsspionage ein lohnendes Ziel darstellen kann. Eine Zukunftsprognose diesbezüglich ist schwierig. Sicher sind stark vernetzte Bereiche am meisten betroffen, also alles, womit man grosse Skalierungseffekte erzeugen kann. Damit meine ich eine Technologie, die in vielen Objekten respektive Geräten verbaut wurde. Auch Bereiche mit grossem Impact, wie etwa kritische Infrastrukturen, werden sicherlich vermehrt betroffen sein.
Wie sollten die Gegenmassnahmen aussehen?
Vermutlich werden Gegenmassnahmen, die auf rein technische Lösungen fokussieren, nicht genügen. Es wäre sehr zu begrüssen, wenn eine Produkthaftung für Hardwarehersteller eingeführt würde, am besten mit gesetzlichen Regelungen. Doch dies weltweit durchzusetzen, ist vermutlich nicht sehr realistisch. Auf jeden Fall empfiehlt es sich, insbesondere für den Bereich kritische Infrastruktur gesetzliche Mindestanforderungen für die Sicherheit zu definieren. Dies müsste auf staatlicher Ebene passieren, sodass sich alle Parteien daran halten müssen. Empfehlenswert ist das Testen von Produkten mittels Sicherheitsüberprüfungen, wie es Swisscom bereits macht, sodass man sich nicht nur auf die Angaben des Herstellers verlassen muss. Die Schaffung von Standards in dem Bereich erachten wir als essenziell, genauso wie die Zusammenarbeit mit einem vertrauenswürdigen Partner für den Betrieb. Das Versorgen mit Updates sollte unbedingt von den Hardwareherstellern berücksichtigt werden, sodass bekannte Verwundbarkeiten schnell behoben werden können. Auch muss nachhaltig Bewusstsein für die Security-Thematik im Bereich IoT geschaffen werden.
Welche Schutzmöglichkeiten gibt es bereits und haben sich bei Ihnen bewährt?
Aufgrund des komplexen Themengebiets ist eine Pauschalaussage nicht sinnvoll. Im Allgemeinen gibt es grundlegende Schutzmöglichkeiten, die möglichst bei allen Systemen umgesetzt werden sollten. Darunter fallen etwa die Verwendung ausreichend sicherer Schlüssel wie Passwörter, regelmässige Systemupdates oder die Verwendung von dedizierten Sicherheitssystemen wie Antiviren-Scanner. Bei Swisscom hat sich die Härtung der Systeme nach einem Grundschutz bewährt. Darauf aufbauend sind systemspezifische Schutzmechanismen notwendig, um einen optimalen Schutz zu gewährleisten. Da die IoT-Entwicklung erst am Anfang steht, sind die Erfahrungen mit spezifischen Schutzmöglichkeiten noch gering. Ausserdem setzt das IoT technische Grenzen, welche die Auswahl von klassischen Schutzmöglichkeiten einschränken. Zu den Einschränkungen zählen etwa eine oft sehr begrenzte Rechenleistung und Energieversorgung sowie die meistens ungeklärte Situation von Systemupdates. Speziell mit dem IoT wird die Abstimmung der gesamten Sicherheitsmechanismen in einem Ökosystem immer wichtiger.
Wie gefährlich sind die Hacks im Smarthome wirklich? Sind sie nicht eher nur lästig?
Wir sehen durchaus eine potenzielle Gefährdung für die Zukunft. Derzeit beschränken sich Angriffe gegen Smarthomes etwa auf das Ein- und Ausschalten des Lichts, das Ausspähen via Kameras oder die Manipulation der Einstellungen von Heizungen. Doch in Zukunft wird immer mehr Funktionalität in die Smarthomes gepackt, damit steigt auch die Gefährdung. So kann etwa das Öffnen von Türen, Rollläden oder Garagen zu finanziellem Schaden führen, man denke an Einbrüche. Auch das Deaktivieren von Alarmen oder Manipulieren von Sensoren wie Brandmelder kann mitunter Schaden an Leib und Leben verursachen. Möglich sind auch Szenarien, wo eine Überlastung oder Blockierung der Smarthome-Steuerung unter Umständen dazu führen, dass der Bewohner sein Haus nicht mehr betreten kann.