Wie gefährlich kann das Internet of Things schon sein?

Laufend wird auf das sogenannte Internet of Things eingeschlagen. Es seien weitere unnötig ans Internet angekoppelte Systeme, mit völlig vom Sinn befreiten Anwendungsmöglichkeiten. Es erscheint in erster Linie durchaus unnötig zu wissen, was mein Thermostat an der Heizung für Werte abließt. “So lange ich nicht da bin, interessiert mich das ja auch nicht”. In diese Richtung bewegt sich momentan die herrschende Meinung. Ich sehe das differenzierter.

Internet of Things – Nur eine Iteration?

Ich habe das starke Gefühl, dass die Hersteller hinter den IoT Geräten sich damit am Markt ausprobieren wollen. Ganz nach dem Motto: “Wir schauen mal was geht, was angenommen wird und wohin uns die Reise führt.” Das kann ich zum Teil nachvollziehen, denn Fortschritt ist nie ein Prozess, der aus dem Nichts ein vollständig funktionierendes Etwas erschafft. Jedes durch Menschenhand erschaffene Produkt benötigte viele Iterationsschritte, bis es einen Reifezustand erreicht hat, den wir als angemessen erachten. So schimpften Menschen schon lange vor meiner Geburt über:

  • Handys (braucht keiner, hässlich, grob, nervig, sollen die Leute zu Hause telefonieren)
  • Autos (braucht keiner, stinken, Pferdekutschen sind doch auch gut? Und man muss nicht unnötig an der Apotheke tanken)
  • WLAN (Kabel ist mir lieber, da habe ich die Kontrolle. Alles unsicher mit der Verschlüsselung)

Letzteres habe ich selbst häufig erlebt, als WLAN gerade am Kommen war. Heute höre ich ähnliches über Smartphones. Bei meinen Kunden vernehme ich hin und wieder Aussagen von Menschen, die zwischen 50 und 60 Jahre alt sind, dass Smartphones und Tablets niemand brauchen würde. Alles zu kompliziert. Meine Großeltern, beide über 80, lieben ihr Tablet. Schauen sich Bilder ihrer Enkel an, empfangen internationales Fernsehen über Streaming-Apps und rufen gelegentlich über den Facebook Messenger an (ja, richtig gelesen!).

Sehen wir IoT Geräte nicht gleich als Teufelszeug. Es ist der erste Schritt in diese Entwicklungsrichtung. Niemand wird gezwungen Glühbirnen zu kaufen, die per App ihre Farbe ändern. Aber eine Sache bleibt und die ist unentschuldbar, die vernachlässigte IT Sicherheit.

Wie gefährlich sind Internet of Things Geräte?

Bei allen Kinderkrankheiten, die neue Technologie mitbringt sind IoT Geräte der IT Sicherheitshorror. Rob Graham (@ErrataBob), IT Sicherheitsforscher, hat hierzu einen Selbstversuch gestartet und eine IP Kamera gekauft, die mit eigener WLAN Verbindung an das Internet angeschlossen werden kann. 98 Sekunden hat er wohl gezählt, bis sich die Mirai Malware installiert hat und die Kamera damit zu dem Botnetz hinzugefügt hat, welches auch für die Angriffe auf die Webseite von Brian Krebs verantwortlich ist.

Was versäumen die IoT Hersteller? Standards der IT Sicherheit werden ganz einfach nicht eingehalten. Besagte IP Kamera hat einen Telnet Port offen und den Dienst aktiv. Sie kann über das Standardkennwort übernommen werden. Ein Passwortwechsel war nicht möglich. Stattdessen versuchte die Malware über Telnet weitere Opfer im Netzwerk zu finden.

Stell dir jetzt vor du hast nicht nur eine IP Kamera, sondern noch einige Dashbuttons von Amazon, diverse Thermostate an den Heizungen, smarte Glühbirnen und dein Staubsauger ist auch online, dann werden das irgendwann ziemlich viele Geräte, die nicht alle so verwundbar wie diese Kamera sein müssen, aber trotzdem eine Gefahr für dein Netzwerk darstellen. Denn jedes Gerät ist anders. Manche erlauben vielleicht das Verändern von Standardkennwörtern. Andere nutzen veraltete Kernel, die bestimmte Exploits zulassen. Es kann unschön werden.

Internet of Things – aber sicher!

“Arbeit, Arbeit”, um eine Spielfigur eines älteren Echtzeitstrategie Epos zu zitieren. Da das Feld des IoT noch sehr unreif ist, musst du Arbeit in dein Netzwerk stecken und Arbeit in die Erkundung der Geräte. Folgende Punkte sollten in jedem Fall gegeben sein, bevor ein IoT Gerät ins Haus kommt:

  • Interne Firewall einsetzen, um das IoT Netzwerk komplett getrennt zu halten!
  • Gerätespezifikationen genau prüfen, um eigene Härtung durchzuführen.
  • Alle Standardkennwörter verändern
  • Alle bereitgestellten Dienste eines IoT Gerätes erfassen und gezielt die nicht benötigten abschalten

Fazit

IoT kann mit großer Wahrscheinlichkeit in einigen Jahren sehr viel mehr leisten, vor allem sehr viel mehr sinnvolles. Momentan kommen aber auf Benutzer etliche Probleme zu. Datenschutz und IT Sicherheit leiden fürchterlich unter der Vernachlässigung und dem Produktionsdruck, damit “irgendetwas” möglichst schnell mit Internetverbindung auf den Markt geworfen wird. Ausgereifte Produkte sehen anders aus. Probiert es am besten selbst aus. Trefft alle Sicherheitsvorkehrungen für das Gerät und schaut euch mal an, was genau macht. Vielleicht findet ihr ähnliche Fälle, wie Rob mit seiner IP Kamera. Berichtet mir oder kontaktiert mich, wenn ihr dazu einen Gastbeitrag über euer Gerät einstellen wollt.

Bücher zu diesem Thema

Beitragsbild Droplets von Susanne Nilsson (verändert) Creative Commons CC-BY SA 2.0

Artikel teilen:

Kommentar verfassen