von Annegret Handel-Kempf
Der Sicherheitsexperte hat Sorge, ob er mit einem „Ehe-Hygiene-Produkt“ in seinem Gepäck Probleme beim Einchecken am Flughafen bekommt. Schließlich soll man in Hamburg wie in München live erleben, wie es irgendwo im Raum rüttelt und stöhnt, am Ende der Imperial March aus dem Star-Wars-Soundtreck ertönt. Erfolgreich gehackte, unüberhörbare Vibratoren, die sich – auch für Fernbeziehungen – über Smartphone-Apps steuern lassen, demonstrieren die Bandbreite des Internets der Dinge, inklusive unerwünschten Eindringens und Erpressbarkeit, im CeBIT-IoT-Jahr 2016.
„Wenn wir über das Internet der Dinge sprechen, sprechen wir auch über die Sicherheitslücken zwischen den Geräten, über Backend-Möglichkeiten“, sagte Udo Schneider, Security Evangelist DACH beim japanischen IT-Sicherheitsanbieter Trend Micro, bei der Preview in München mit Blick auf das diesjährige Schwerpunktthema der CeBIT. Die Vernetzung von Produktionsanlagen, Smartwatches, Wearables wie Fitness-Armbändern, sowie vielen anderen Smart-Devices und intelligenten Maschinen, wird zusammengefasst unter dem Begriff „Internet der Dinge“. Dieses „IoT“ (Internet of Things) ist fühlbar als allgegenwärtige Verstrickung. Selbst beim Schwangerschaftstest mit Bluetooth-Anbindung – und bei Vibratoren mit eigener Smartphone-App. Die ungeschützte Angreifbarkeit der Privat-Geräte hat Folgen, die bis zu Durchgriffsmöglichkeiten in die Firmennetzwerke reichen.
„Beim „Pairing“, also dem Verkoppeln von zwei Bluetooth-Geräten, kann man sich mit Standard-Passwörtern einlinken“, dozierte Schneider bei einer Live-Demo vor Journalisten. „1, 2, 3, 4“ – schon war er bei der Vibrator-Hacking-Vorführung erfolgreich und hatte das Gerät, inklusive diverser Geräusch-Inszenierungen, unter Kontrolle.
Komplette Kontrolle, mit einfachsten Methoden. „Das kann man stellvertretend für eine ganze Klasse von Geräten nehmen“, gab der Sicherheits-Evangelist zu bedenken. Aber: „Daten sind intim“. Solange sie nicht durch Hacking unüberhörbar kompromittiert werden. - „Zeit für Panik?“ lautete Schneiders Anschlussfrage.
Nicht nur die privaten Smartphones und Tablets, mit denen auf Firmendaten, wie Emails, Kontakte, Kalender oder das Customer-Relationship-System zugegriffen wird, sind mittlerweile für Sicherheit und Kontrolle durch die Unternehmen problematisch. Auch smarte Endgeräte, wie Vibratoren, die möglicherweise mit in die Arbeit genommen werden, sorgen laut Trend Micro für eine „Kompromittierung der Geräte und Daten“ und letztlich zu einer „Kompromittierung des Backend“, also der Datenverarbeitung im Hintergrund.
Bei der Diskussion um die Sicherheit von Smart-Devices (generell elektronische Geräte, die kabellos, mobil, vernetzt und mit Sensoren ausgestattet sind, beispielsweise Tablets, Smartphones, Datenbrillen; Anm. d. Red.) dürfe man nicht vergessen, dass sich die meisten dieser Geräte keinesfalls im luftleeren Raum befinden. Vielmehr finde die eigentliche Verarbeitung meist in den „Backends“ statt, im klassischen Rechenzentrums-/Cloud-Umfeld also. Weil die Backends als „Anhängsel“ des Endgeräts wahrgenommen würden, seien solche Umgebungen oft weder unter Sicherheitsprinzipien entwickelt worden, noch würden sie regelmäßig geprüft.
Das Horrorszenario für die Firma, ausgehend vom Privatvergnügen: Im Erfolgsfall haben Cyberkriminelle den TM-Sicherheitsexperten zufolge das gesamte Backend, als Sammelsurium verschiedenster Technologien, unter Kontrolle, inklusive aller daran angeschlossener Geräte.
Schlimmer noch: Smart-Devices dienten als potentielle „Brückenköpfe“ ins Firmennetzwerk – deren Kompromittierung gar nicht der eigentliche Zweck sei. Auch das Backend sei eher „Beifang“: Der Fokus liege auf den Unternehmensnetzwerken. Eine große Rolle spiele hierbei das Ausnutzen von Sicherheitslücken, speziell solchen, für die es noch kein „Gegenmittel“ gibt („Zero-Day-Exploits“).
„IoT – da kommt auf uns ein deutlich größeres Datenschutz-Problem zu, als mit allen bisherigen Technologien. Ein smartes Endgerät wird nicht mehr als gefährdetes Gerät wahrgenommen“, beschrieb Schneider bei der Vorführung im CeBIT-Vorfeld die aktuelle Lage.
Um smarte Endgeräte im Besonderen und die Komponenten des „Internets der Dinge“ im Allgemeinen absichern zu können, bedarf es laut Eva Chen, der CEO Trend Micros (und von V3 Magazin als eine der zehn ambitioniertesten Frauen im Technologiebereich ausgezeichnet), einer mehrstufigen Herangehensweise. Neben der Sicherheits-Programmierschnittstelle (API), sei ein „Intrusion-Prevention-System der nächsten Generation“ nötig. Das heißt, IT-Verantwortliche benötigten einen Überblick darüber, wie viele IoT-Geräte sie haben. Dann könnten sie Sicherheitslücken auf diesen neuen Geräten blockieren und eine Signatur dafür erstellen, bevor Angriffe von außen das Innere erreichen.
Das Patchen bzw. Schließen von Sicherheitslücken im Internet der Dinge sei problematischer als bei IT-Systemen. Denn smarte Endgeräte aus dem Internet der Dinge (auch die professionell und bewusst eingesetzten, nicht die zufällig in die Firma gebrachten wie Vibratoren) würden in sensiblen Branchen zum Zug kommen: In den Finanz-, Gesundheits- und Fertigungsbranchen. Diese „neuen“ Netzwerke sollten von den Unternehmensnetzwerken getrennt sein, beide sollten nicht miteinander verbunden sein und über separate Schutzvorrichtungen verfügen.
Unternehmen müssten die Hersteller ihrer eingesetzten Geräte zertifizieren und die von den Geräten gesammelten Informationen sichern können. Unternehmen benötigten einen angemessenen Schutz und müssten sicherstellen, dass die Cloud für das „Internet der Dinge“ immer verfügbar sei. Nur so könne das Internet der Dinge erfolgreich sein. Zwar sei das Risiko für Privatanwender höher – sie seien einfacher zu hacken. Der durch einen Angriff hervorgerufene Schaden sei aber auf Unternehmensseite viel höher.
Was ist jetzt aber mit den gehackten Vibratoren, die gehackt privat und professionell zugleich riskant sind? „Trend Micro wird nicht anfangen, Ehe-Hygiene-Geräte zu schützen“, so Schneider. „Den Schutz der Infrastruktur, Cloud, Rechenzentren, Backend machen wir seit Jahrzehnten.“ TM kümmere sich um API Security, Network Security und Cloud Security – um klassisches TM Security Geschäft.
Dass die Sicherheit bei Smart-Devices zu kurz kommt, liege oft an Komfortaspekten oder dem Versuch, die Produkteinführungszeit („time-to-market“) kurz zu halten.
Besonders riskant ist die Verführung zum Herstellungskosten-Sparen beim Internet der Dinge: Mit Bluetooth-Enablern, die weniger als 50 Cent kosten, plus WLAN, mit Zusatzkosten von einem Dollar 50 Cent, würden bestehende Geräte ganz einfach erweitert, um über die Smartphone-/Internet-Anbindung einen Mehrwert zu erreichen. Hinzu kommt eine Smartphone-App, laut Schneider: „schnell zusammengeklöppelt, Sicherheit kommt erst ganz, ganz am Ende“.
Nach der Kompromittierung aller Geräte und Daten? Nach der Kompromittierung des Backend? Nachdem kleine, private Netzwerkgeräte zum Eintrittstor ins Firmennetz geworden sind? Schneider: „Bei einer Smartwatch, die im Firmennetz hängt, habe ich eh verloren.“
Wie kann aber ein Hacker einen Vibrator benutzen, um in die Firma hineineinzukommen? „Wenn ich über Bluetooth etc. merke, ein Mitarbeiter hat einen mit, kann dieses Wissen zu klassischer Erpressung genutzt werden, um indirekt in die Firma zu kommen“, erläutert der Evangelist. Und empört sich darüber hinaus: „Beim Schutz der Geräte und der Geräteschnittstellen wird gegen Windmühlen geredet. Security? Weg damit, sagen die Hersteller. Sie wollen möglichst schnell in den Markt“.
Ernüchternd: „Die Geräte kann man kaum noch sichern.“ Und: „Die Wahlmöglichkeit, Internet der Dinge nicht zu machen, haben wir nicht“, so Schneider. Der Rattenschwanz hinter IoT-Geräten seien Smartphone-Apps, Backend-Probleme, Datenschutzprobleme…
Internet der Dinge von einer ganz neuen Seite. Persönliche Daten werden ausgelesen und manipuliert. Beobachtet wurden bereits Hacker-Attacken auf individualisierte Internet-Toiletten mit Rundum-Comfort, die besonders in Japan beliebt sind, sich aber auch in Europa ausbreiten. „Zu heiß geföhnt“ wurden die Nutzer, erzählte Schneider von weiteren launig klingenden Tücken des Internets der Dinge, die hinten nach für größeres Unbehagen sorgen können.
„Der ganze Zoo an Problemen, den wir seit Jahren kennen. Der Nachgang von IoT bei Geräten, bei denen wir gar nicht damit rechnen würden“, bilanzierte Schneider. „Was passiert, wenn wir es schaffen, das Backend zu hacken? Wir kommen auf die Geräte und auf die Rechner.“
Bislang wenig beachtet würde der Unterschied zwischen Smartphones, die von IT-Experten stammen, oder einfachen Konsumer-Geräten wie Kühlschränken, auf die einfachste Firmware und Backends „draufgesetzt und zusammengestöppelt“ werden. Schneider empört: „So etwas könnte kein Student als Hausarbeit abgeben! Security und vernünftige Entwicklung: Vergessen Sie es!“
Vom Starwars-Marsch-Vibrator bis zum potenziell durchdrehenden Kühlschrank: Im Internet der Dinge zeigt sich der plakativen Demo zufolge ein ganz klassischer Konflikt, den Schneider so zusammenfasst: „Komfort gegen Security – Komfort gewinnt“.
Immerhin: Eine neue Technologie der Firma Backes SRT, einer Ausgründung von Informatikern der Universität des Saarlandes, kann zur Trennung von dienstlich und privat genutzt werden. Etwa um die Informationstechnik in Autos und Industrieanlagen sicherer zu gestalten. So lässt sich damit etwa im Fahrzeug der Bremsassistent von der Unterhaltungselektronik abschotten, um Hackerangriffe über das mobile Netz auszuschließen.
„Unsere Technologie kann man sich vorstellen wie einzelne Schließfächer in einem Banktresor. Wir packen alle Anwendungen, die man zum Beispiel für dienstliche Telefonate und Mails benötigt, in einen Safe und setzen diesen völlig isoliert in eine Smartphone-Umgebung“, erläutert Michael Backes, Professor für IT-Sicherheit der Universität des Saarlandes und Gründer der Firma Backes SRT. Beispielsweise habe nur der Arbeitgeber den Schlüssel zum Safe und könne von außen Updates aufspielen, Zugriffsrechte vergeben oder gestohlene Handys wieder aufspüren. „Das für diese Nutzung benötigte Programm lässt sich auf allen Android-Smartphones ganz einfach über eine App installieren. Private und dienstliche Programme und darüber gespeicherte Daten werden völlig voneinander getrennt“, erläutert Backes.
Die komplexe Technologie, die wie Tresore mit stählernen Wänden funktioniert, umfasst etwa eine halbe Million Codezeilen. Auf der CeBIT wird sie in Halle 6, Stand D28, vorgestellt. Apps sollen sich damit nicht mehr gegenseitig beeinflussen oder gar ausspionieren können. „Niemand kann Schadsoftware auf das Smartphone einschleusen“, erklärt Backes. Es bestehe also keine Gefahr mehr, wenn der Mitarbeiter auf dem Diensthandy die sozialen Netzwerke privat nutze oder auch mal ein Computerspiel dazwischen schiebe.
2016-03-09, Annegret Handel-Kempf, Wirtschaftswetter
Text: ©Annegret Handel-Kempf
Foto + Foto-Banner: ©aph
Infos zu Datenschutz + Cookies
zurück zu: Themen
zurück zu: Startseite
wirtschaftswetter.de
© 2003-2021 Wirtschaftswetter® Online-Zeitschrift