Sicherheit ist die Achillesferse des IoT

Ende Oktober 2016 brachen im Internet der Dinge alle Dämme: Hacker kaperten schlecht abgesicherte Geräte wie Überwachungskameras, digitale Videorekorder oder private Router und bauten damit ein riesiges Bot-Netz auf. Mit der Kraft der vernetzten IoT-Geräte starteten sie eine massive Distributed-Denial-of-Service-Attacke (DDoS) auf bekannte US-Online-Dienste, um diese außer Gefecht zu setzen. Die Folge: Die Seiten und Services von Firmen wie Amazon, Paypal, Netflix, Spotify oder Twitter waren in Teilen der USA und Europas zeitweise nicht verfügbar.

„Wir haben es hier mit einer neuen Qualität von Angriffen zu tun. DDoS-Attacken stoßen durch die Bot-Netze auf Basis von kompromittierten IoT-Geräten in völlig neue Dimensionen vor. Da Cyberkriminelle das Potenzial dieser oft ungeschützten vernetzten Dinge erkannt haben, werden wir derartige Bot-Netz-Attacken künftig häufiger erleben“, erklärt Marc Fliehe, Bereichsleiter Sicherheit beim IT-Branchenverband Bitkom. „Die Anbieter von IoT-Lösungen müssen daher bereits bei der Entwicklung ihrer Anwendungen den Faktor Sicherheit stärker berücksichtigen.“

Den Herstellern ist bewusst, dass sich die Angriffsfläche für den unbefugten Zugriff auf die Daten der Produkte durch die fortschreitende Vernetzung erhöht hat. Das zeigt die Studie „Internet of Things in Deutschland 2016“ von IDC. Demnach erlebte jeder vierte Anbieter von vernetzten Geräten oder Services in den letzten zwölf Monaten einen Sicherheitsvorfall.

Auch die Unternehmen selbst befürchten bei ihren IoT-Initiativen potenzielle Angriffe. Der IDC-Studie zufolge sehen die befragten Firmen Datenschutz und Datensicherheit als größte Herausforderung oder Hürde bei IoT-Projekten, noch vor der Finanzierung. Auch deswegen sind IoT-Hersteller mehr denn je gefordert, sichere Produkte zu entwerfen. Doch die Realität sieht noch anders aus.

Gefährdet sind vor allem vernetzte Autos oder Industrieanlagen, die lange Produktlebenszyklen von fünf bis 20 Jahren aufweisen und entsprechend langfristig mit Software-Updates und Sicherheits-Patches versorgt werden müssen. Denn mit der zunehmenden Vernetzung von IT und Produktion im Internet der Dinge, Stichwort Industrie 4.0, wachsen auch die Herausforderungen in puncto Sicherheit. Berichte über Sabotage von Fahrassistenzsystemen oder Kraftwerken belegen die steigenden Gefahren. „Erschwerend kommt hinzu, dass Autos und bestehende Industriesysteme weder für eine Online-Verbindung konzipiert noch mit einem Fokus auf IT-Sicherheit entwickelt wurden“, gibt Marc Fliehe zu bedenken.

Besonders augenfällig sind die IoT-Gefahren auch beim Smart Home, dem Teil des Internets der Dinge für die Vernetzung und auch Steuerung verschiedenster Geräte im häuslichen Bereich: Es gibt unzählige Berichte über geknackte Steuereinheiten für Thermostate, Heizung und Licht, Alarmanlagen oder Rollläden. Einbrecher manipulieren den elek­tronischen Türöffner, schalten die Alarmanlage aus oder fahren die Jalousien herunter. Auch smarte TV-Geräte wurden bereits zum Spion umprogrammiert, der Gespräche im Wohnzimmer mithört und persönliche Daten nach außen gibt. Oder Webkameras und Router werden Teil von Bot-Netzen.

„Problematisch ist, dass sich all diese Geräte von außen über das Internet steuern lassen, aber oft nur durch einfache Default-Passwörter wie ‚1234‘ oder ‚0000‘ gesichert sind“, kritisiert Bitkom-Mann Marc Fliehe.

Er sieht jedoch auch die Hersteller in der Pflicht. Sie müssten transparent machen, welche Zugänge etwa für die Fernwartung existieren und wie diese abgesichert sind. „Zudem muss klar sein, wie oft und in welchem Abstand sie Software-Updates einspielen. Es muss eine Art digitales Mindesthaltbarkeitsdatum geben, bis zu dem ein Gerät mit Updates versorgt wird“, so Marc Fliehe.