Ohne Frage, zumindest als Unbeteiligter konnte man über so manchen Angriff auf IoT-Geräte zumindest grinsen. Wenn sich die Wohnungsbeleuchtung selbstständig macht oder Angriffe auf Sex-Spielzeug dokumentiert werden, dann fällt es auch schwer, da ernst zu bleiben. Aber das alles ist Teil einer sehr ernsten Sache, schließlich sind diese ganzen Geräte immer stärker vernetzt.
IoT: auch Vibratoren lassen sich hacken (und steuern)
Viel zu oft liegt das Problem daran, dass sich manche Hersteller zu wenig Gedanken um das Thema Sicherheit machen. Es scheint oft das Bewusstsein dafür zu fehlen, dass zum Beispiel so eine IP-Kamera eben nicht nur Bilder macht, die geklaut werden können, sondern evtl. auch mit ganz neuer Software versehen werden kann und damit vielleicht Teil eines Botnetzes wird. Möglicherweise fehlt den Entwicklern dort die entsprechende Kreativität, um so weit zu denken oder aber es gibt einfach nicht genug Geld für die Entwicklung entsprechend sicherer Devices. Angesichts der Tatsache, dass Anwender sehr häufig vor allem auf den Preis schauen, wird bei einigen Herstellern die Abwägung „mehr Sicherheit vs. günstiger Preis“ offensichtlich in Richtung des günstigen Preises ausfallen.
Deutschland und EU
Es besteht aber tatsächlich Hoffnung, dass sich 2017 daran etwas ändert. Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im Oktober Hersteller zu mehr Sicherheitsmaßnahmen aufgerufen. Hintergrund war hier das IoT-Botnetz, welches wohl hinter einem Angriff auf den Dienstleister Dyn stand. Zu dieser Aufforderung gehört eine Liste mit simplen und klaren Anforderungen, die mindestens zu berücksichtigen seien:
- Voreingestellte Zugangsdaten und Passwörter für alle Zugriffsmöglichkeiten auf die Geräte, zum Beispiel via HTTP, TELNET oder SSH, müssen durch den Nutzer geändert werden können.
- Sind die voreingestellten Passwörter nicht für jedes Gerät individualisiert, so ist bei der Inbetriebnahme ein Passwortwechsel zu erzwingen.
- Nicht zwingend benötigte Dienste müssen durch den Benutzer deaktiviert werden können.
- Die eingehende und ausgehende Kommunikation des IoT-Geräts sollte nur mittels kryptografisch geschützter Protokolle wie TLS erfolgen.
- Ein IoT-Gerät sollte nicht automatisiert über Universal Plug and Play (UPnP) eine unsichere Konfiguration im Router herstellen, etwa Verbindungen zu unsicheren Diensten erlauben.
- Hersteller müssen regelmäßig, schnell und über einen hinreichenden Nutzungszeitraum hinweg Sicherheitsupdates für die Geräte zur Verfügung stellen. Die Übertragung und Installation sollte dabei mittels kryptografischer Verfahren geschützt werden.
- Die Firmware des IoT-Geräts ist hinreichend zu härten, um beispielsweise das unkontrollierte Nachladen von Inhalten aus dem Internet zu verhindern.
EU will für Sicherheit im IoT sorgen
Und auch auf EU-Ebene möchte man das Thema angehen. Hier hat Günther Oettinger im letzten Jahr, noch als Digitalkommissar ein „Gütesiegel“ ins Spiel gebracht, mit dem Geräte versehen werden könnten, die sich an bestimmte Sicherheitsstandards halten. Ob so ein Siegel wirklich etwas bringt, ist fraglich, schließlich wäre es eine freiwillige Angelegenheit. Immerhin gibt es mit dem CE-Kennzeichnung schon ein System für Mindeststandards, die eingehalten werden müssen. An dieser Stelle anzusetzen würde die Verbreitung solcher Standards zumindest bei Neugeräten deutlich beschleunigen – für bereits vorhandene und in Betrieb genommene Geräte würde sich aber in beiden Fällen nichts ändern.
USA
Man möchte meinen, dass es sich bei der BSI-Anforderungsliste wirklich um die Basics handelt, die jeder Hersteller berücksichtigen sollte – leider ist das aber eben oft nicht der Fall, wie das Beispiel D-Link zeigt. Mit schöner Regelmäßigkeit werden teils kritische Lücken in Produkten von D-Link gefunden, vom NAS über Kameras bis zu Routern. Und genau dieser Hersteller soll nun nach dem Willen der Federal Trade Commission (FTC) auch zum Beispiel dafür werden, dass es für einen Hersteller teuer werden kann, bei der Sicherheit zu sparen. In Nord-Kalifornien hat die FTC nun Klage gegen D-Link eingereicht. Darin wirft man dem Hersteller vor, die Privatsphäre und Sicherheit der Kunden zu gefährden, weil vernünftige Schritte zur Absicherung der Router und IP-Kameras unterlassen wurden. In der Pressemitteilung werden einige konkrete Beispiele aufgelistet, zum Beispiel fest im System vergebene Zugangsdaten (guest / guest) für Kameras, die Veröffentlichung eines privaten Schlüssels für die Signierung von D-Link-Software oder das unverschlüsselte Speichern von Zugangsdaten auf Mobilgeräten.
Das stünde im Widerspruch zu den Werbeversprechen von D-Link („Easy to secure“ und „Advanced network security“). Sollte die FTC mit der Klage erfolgreich sein, dann dürfte es anschließend teuer werden für D-Link, denn die FTC möchte nicht nur, dass D-Link dazu verpflichtet wird, die mögliche Verletzung der Privatsphäre und Sicherheit seiner Kunden abzustellen, sondern natürlich soll D-Link dafür auch die Kosten tragen.
Jetzt wird alles gut?
Zumindest für die Zukunft haben wir tatsächlich Anlass zur Hoffnung, dass sich im Bereich der IoT-Sicherheit etwas bewegt. Natürlich wissen wir alle, dass es niemals absolute Sicherheit geben wird, aber zumindest sollten Mindeststandards – ideal wären hier gesetzliche Mindeststandards – dafür sorgen, dass Angreifern hier in Zukunft nicht mehr durch Schlamperei der rote Teppich in unsere Smart Homes ausgerollt wird.