• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Honor Magic: Schönes Smartphone mit neuer Magic Li ...

von Carsten Drees

Next Story
CES 2017: Die Preisträger der Mobile Geeks Awards

von Bernd Rubel

2017 – Das Jahr der Internet of Things Security

Die Sicherheit des sogenannten „Internet of Things“ wird dieses Jahr wohl endlich ein großes Thema - Zeit wird es, schließlich wächst die Zahl der bekannt gewordenen Lücken und Hacks stetig und harmloser werden diese durch die zunehmende Verbreitung und Vernetzung der Geräte auch nicht.

von Carsten Dobschat am 9. Januar 2017
  • Email
  • @dobschat

Ohne Frage, zumindest als Unbeteiligter konnte man über so manchen Angriff auf IoT-Geräte zumindest grinsen. Wenn sich die Wohnungsbeleuchtung selbstständig macht oder Angriffe auf Sex-Spielzeug dokumentiert werden, dann fällt es auch schwer, da ernst zu bleiben. Aber das alles ist Teil einer sehr ernsten Sache, schließlich sind diese ganzen Geräte immer stärker vernetzt.

IoT: auch Vibratoren lassen sich hacken (und steuern)

Viel zu oft liegt das Problem daran, dass sich manche Hersteller zu wenig Gedanken um das Thema Sicherheit machen. Es scheint oft das Bewusstsein dafür zu fehlen, dass zum Beispiel so eine IP-Kamera eben nicht nur Bilder macht, die geklaut werden können, sondern evtl. auch mit ganz neuer Software versehen werden kann und damit vielleicht Teil eines Botnetzes wird. Möglicherweise fehlt den Entwicklern dort die entsprechende Kreativität, um so weit zu denken oder aber es gibt einfach nicht genug Geld für die Entwicklung entsprechend sicherer Devices. Angesichts der Tatsache, dass Anwender sehr häufig vor allem auf den Preis schauen, wird bei einigen Herstellern die Abwägung „mehr Sicherheit vs. günstiger Preis“ offensichtlich in Richtung des günstigen Preises ausfallen.

Deutschland und EU

Es besteht aber tatsächlich Hoffnung, dass sich 2017 daran etwas ändert. Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im Oktober Hersteller zu mehr Sicherheitsmaßnahmen aufgerufen. Hintergrund war hier das IoT-Botnetz, welches wohl hinter einem Angriff auf den Dienstleister Dyn stand. Zu dieser Aufforderung gehört eine Liste mit simplen und klaren Anforderungen, die mindestens zu berücksichtigen seien:

  • Voreingestellte Zugangsdaten und Passwörter für alle Zugriffsmöglichkeiten auf die Geräte, zum Beispiel via HTTP, TELNET oder SSH, müssen durch den Nutzer geändert werden können.
  • Sind die voreingestellten Passwörter nicht für jedes Gerät individualisiert, so ist bei der Inbetriebnahme ein Passwortwechsel zu erzwingen.
  • Nicht zwingend benötigte Dienste müssen durch den Benutzer deaktiviert werden können.
  • Die eingehende und ausgehende Kommunikation des IoT-Geräts sollte nur mittels kryptografisch geschützter Protokolle wie TLS erfolgen.
  • Ein IoT-Gerät sollte nicht automatisiert über Universal Plug and Play (UPnP) eine unsichere Konfiguration im Router herstellen, etwa Verbindungen zu unsicheren Diensten erlauben.
  • Hersteller müssen regelmäßig, schnell und über einen hinreichenden Nutzungszeitraum hinweg Sicherheitsupdates für die Geräte zur Verfügung stellen. Die Übertragung und Installation sollte dabei mittels kryptografischer Verfahren geschützt werden.
  • Die Firmware des IoT-Geräts ist hinreichend zu härten, um beispielsweise das unkontrollierte Nachladen von Inhalten aus dem Internet zu verhindern.

EU will für Sicherheit im IoT sorgen

Und auch auf EU-Ebene möchte man das Thema angehen. Hier hat  Günther Oettinger im letzten Jahr, noch als Digitalkommissar ein „Gütesiegel“ ins Spiel gebracht, mit dem Geräte versehen werden könnten, die sich an bestimmte Sicherheitsstandards halten. Ob so ein Siegel wirklich etwas bringt, ist fraglich, schließlich wäre es eine freiwillige Angelegenheit. Immerhin gibt es mit dem CE-Kennzeichnung schon ein System für Mindeststandards, die eingehalten werden müssen. An dieser Stelle anzusetzen würde die Verbreitung solcher Standards zumindest bei Neugeräten deutlich beschleunigen – für bereits vorhandene und in Betrieb genommene Geräte würde sich aber in beiden Fällen nichts ändern.

USA

Man möchte meinen, dass es sich bei der BSI-Anforderungsliste wirklich um die Basics handelt, die jeder Hersteller berücksichtigen sollte – leider ist das aber eben oft nicht der Fall, wie das Beispiel D-Link zeigt. Mit schöner Regelmäßigkeit werden teils kritische Lücken in Produkten von D-Link gefunden, vom NAS über Kameras bis zu Routern. Und genau dieser Hersteller soll nun nach dem Willen der Federal Trade Commission (FTC) auch zum Beispiel dafür werden, dass es für einen Hersteller teuer werden kann, bei der Sicherheit zu sparen. In Nord-Kalifornien hat die FTC nun Klage gegen D-Link eingereicht. Darin wirft man dem Hersteller vor, die Privatsphäre und Sicherheit der Kunden zu gefährden, weil vernünftige Schritte zur Absicherung der Router und IP-Kameras unterlassen wurden. In der Pressemitteilung werden einige konkrete Beispiele aufgelistet, zum Beispiel fest im System vergebene Zugangsdaten (guest / guest) für Kameras, die Veröffentlichung eines privaten Schlüssels für die Signierung von D-Link-Software oder das unverschlüsselte Speichern von Zugangsdaten auf Mobilgeräten.

Das stünde im Widerspruch zu den Werbeversprechen von D-Link („Easy to secure“ und „Advanced network security“). Sollte die FTC mit der Klage erfolgreich sein, dann dürfte es anschließend teuer werden für D-Link, denn die FTC möchte nicht nur, dass D-Link dazu verpflichtet wird, die mögliche Verletzung der Privatsphäre und Sicherheit seiner Kunden abzustellen, sondern natürlich soll D-Link dafür auch die Kosten tragen.

Jetzt wird alles gut?

Zumindest für die Zukunft haben wir tatsächlich Anlass zur Hoffnung, dass sich im Bereich der IoT-Sicherheit etwas bewegt. Natürlich wissen wir alle, dass es niemals absolute Sicherheit geben wird, aber zumindest sollten Mindeststandards – ideal wären hier gesetzliche Mindeststandards – dafür sorgen, dass Angreifern hier in Zukunft nicht mehr durch Schlamperei der rote Teppich in unsere Smart Homes ausgerollt wird.

 

Heiss diskutiert
2021 mit guten Datenschutz-Vorsätzen beginnen
von Michael Sprick
2021 mit guten Datenschutz-Vorsätzen beginnen
Die besten Apps für euer iPhone und iPad (Januar 2021)
von Felix Baumann
Die besten Apps für euer iPhone und iPad (Januar 2021)
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
von Michael Sprick
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
von Michael Sprick
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Autonomes Fahren: Bosch alarmiert in Zukunft Fahrzeuge bei schlechten Wetterverhältnissen
Internet of Things Security
Ähnliche Artikel
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
18. Dezember 2020
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
Oral B IO Series 9: Ein Blick hinter die Kulissen
18. November 2020
Oral B IO Series 9: Ein Blick hinter die Kulissen
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
16. November 2020
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
21. September 2020
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
Neueste Tests
8.5
Der Xiaomi Flower Care eignet sich perfekt für Zimmerpflanzen, aber selbst im Garten stellt der Sens ...
Xiaomi Flower Care Smart Sensor im Test: Grüner Daumen dank Technik
26. Juni 2019
Xiaomi Flower Care Smart Sensor im Test: Grüner Daumen dank Technik
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
7.4
Ihr wundert euch vielleicht, aber obwohl ich so viele Probleme damit hatte, die Tado nach meinen Wün ...
Tado Smart AC Test: So wird eure alte Klimaanlage smart
28. September 2017
Tado Smart AC Test: So wird eure alte Klimaanlage smart
8.3
Die Oclean One ist eine äußerst stylische Zahnbürste, deren Aussehen nur von der raffinierten, aber ...
Oclean One Test: Zahnbürste 2.0 mit smarter App & 60 Tagen Akkulaufzeit
13. September 2017
Oclean One Test: Zahnbürste 2.0 mit smarter App & 60 Tagen Akkulaufzeit

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
2021 mit guten Datenschutz-Vorsätzen beginnen
von Michael Sprick
2021 mit guten Datenschutz-Vorsätzen beginnen
Die besten Apps für euer iPhone und iPad (Januar 2021)
von Felix Baumann
Die besten Apps für euer iPhone und iPad (Januar 2021)
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
von Michael Sprick
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
von Michael Sprick
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten