Si­sy­phus-Auf­ga­be IoT-Si­cher­heit

Dem In­ter­net of Things ge­hört die Zu­kunft. Auf Se­cu­ri­ty-Spe­zia­lis­ten kom­men schlaf­lo­se Näch­te zu.

Computerwoche - - Vorderseite -

Das In­ter­net der Din­ge bie­tet di­ver­se Ein­falls­to­re für Ha­cker – vom End­ge­rät über die Kom­mu­ni­ka­ti­ons­ver­bin­dun­gen und den Da­ten­trans­fer bis hin zum Ba­ckend. Doch vie­le An­bie­ter von IoT-An­wen­dun­gen ver­nach­läs­si­gen be­reits in der De­sign­pha­se die Si­cher­heit und ma­chen sich we­nig Ge­dan­ken über ei­ne Up­date-Stra­te­gie. Auf genau die­se Punk­te kommt es aber bei der Ent­wick­lung von si­che­ren IoT-An­wen­dun­gen an.

Ei­ne Über­wa­chungs­ka­me­ra oder ein Ther­mo­stat ver­bin­det sich di­rekt mit dem zen­tra­len Rou­ter des Heim­netz­werks und wird mit ei­nem ein­fa­chen De­faul­tPass­wort wie 1234 oder 0000 frei­ge­schal­tet – ei­ne häu­fig zu be­ob­ach­ten­de Sorg­lo­sig­keit bei IoT-An­wen­dun­gen (In­ter­net of Things) und da­mit ein Kin­der­spiel für Ha­cker, sich in so ein Netz ein­zu­klin­ken: „Hin­ter­grund ist ei­ne falsch ver­stan­de­ne Be­nut­zer­freund­lich­keit“, er­klärt Ste­fan Stro­bel, ge­schäfts­füh­ren­der Ge­sell­schaf­ter und Grün­der des auf In­for­ma­ti­ons­si­cher­heit spe­zia­li­sier­ten Un­ter­neh­mens Ci­ro­sec. „Die An­bie­ter von IoT-Ge­rä­ten wol­len es dem An­wen­der so ein­fach wie mög­lich ma­chen, ver­nach­läs­si­gen da­bei aber das The­ma Si­cher­heit sträf­lich. Se­cu­ri­ty war in die­sen Fäl­len nicht Teil der De­sign­pha­se des Pro­dukts.“

Für Ha­cker sei­en selbst im Pro­gramm­code der Firm­ware ein­ge­bet­te­te Pass­wör­ter, die dem Her­stel­ler bei der War­tung hel­fen, ein­fach aus­zu­le­sen. „Ich nen­ne das Se­cu­ri­ty by Ob­scu­ri­ty: Der Ent­wick­ler glaubt fälsch­li­cher­wei­se, dass nie­mand das Pass­wort fin­det, weil es nir­gends do­ku­men­tiert ist. Das zeigt man­geln­des Si­cher­heits­be­wusst­sein und -wis­sen“, so Stro­bel wei­ter. Er rät den Her­stel­lern in die­sem Fall, Pass­wör­ter oder auch Kryp­to­gra­fie­schlüs­sel in spe­zi­el­len Trusted-Plat­form-Mo­du­le-(TPM-) oder Cryp­to-Chips ab­zu­le­gen, da­mit sie nicht aus­ge­le­sen wer­den kön­nen.

Kos­ten und Ti­me to Mar­ket ver­sus Si­cher­heit

Doch Hard­ware­chips und ein stär­ke­rer Fo­kus auf Si­cher­heit beim De­sign der An­wen­dung er­hö­hen die Kos­ten bei der Ent­wick­lung und ver­zö­gern die Markt­rei­fe des Pro­dukts. Ins­be­son­de­re Star­tups, die ih­re Lö­sun­gen schnell auf den Markt brin­gen wol­len oder müs­sen, ste­cken in die­sem Di­lem­ma. Oft bleibt da­bei die IT-Si­cher­heit auf der Stre­cke. „Vie­le IoT-An­bie­ter ha­ben we­nig Er­fah­rung mit Se­cu­ri­ty und un­ter­schät­zen die vie­len IT-Pro­ble­me, die sie sich mit IoT-Ge­rä­ten ins Haus ho­len“, warnt Dirk Koll­berg, Se­ni­or Se­cu­ri­ty Re­se­ar­cher bei Kas­per­s­ky. So feh­le bei­spiels­wei­se häu­fig ei­ne

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.