„Die Büchse der Pandora ist geöffnet“

Claudia Eckert ist Leiterin des Fraunhofer AISEC in München und Professorin für IT-Sicherheit an der Technischen Universität München. com! professional befragte sie zu den Sicherheitsaspekten im Internet der Dinge.

com! professional: Es wird oft behauptet, dass sich die IoT-Technologie viel schneller entwickelt als die dafür notwendige Sicherheitstechnik. Stimmt das?

Claudia Eckert: Das kann man mit Sicherheit so sagen. Viele existierende Geräte werden zwar vernetzt, sie wurden aber mit Technologien entwickelt, die nicht für das Internet der Dinge bestimmt waren. Wenn diese über das Internet erreichbar sein sollen, kommen ganz andere Sicherheitsfragestellungen auf. Man ist damit in den Markt gegangen, ohne vorher an die Sicherheit gedacht zu haben, sondern nur an Features. Erst später fällt dann auf, welche Sicherheitsimplikationen damit verbunden sind. Nur ist die Büchse der Pandora schon geöffnet und jetzt muss man aufholen. Andererseits kann man, wo noch Entwicklungsarbeit geleistet wird, die Sicherheit von vornherein mit berücksichtigen.

com! professional: Einige spektakuläre Hacks in der letzten Zeit haben völlig neue Möglichkeiten gezeigt, Schaden anzurichten. Haben wir bisher einfach nur Glück gehabt, dass nichts Schlimmeres passiert ist?

Eckert: Manches von dem, was in letzter Zeit zu lesen war, sind reine Demo-Hacks, um die Problematik generell deutlich zu machen – und das ist gut so. Aber es gab auch wirkliche und teilweise ernste Sicherheitsfälle, bei denen tatsächlich Schaden entstanden ist, wenn auch nur im Ausland. Beispielsweise sind Steuerungen von Kraftwerken manipuliert worden oder auch Automatisierungsanlagen. Bei Produktionsanlagen kann das zu erheblichen Störungen führen.

com! professional: Wie hoch ist das Bewusstsein für das vor­handene Schadenspotenzial in der Industrie?

Eckert: Das Bewusstsein ist sehr unterschiedlich ausgeprägt. Die großen Hersteller leisten sich eigene Sicherheitsteams, sind gut informiert und arbeiten in den wichtigen Gremien mit. Die haben schon einen ganz guten Überblick über die Probleme und darüber, was Schäden kosten würden, insbesondere im Maschinen- und Anlagenbau. Es gibt aber auch viele kleine und mittelständische Unternehmen, die sich mit diesem Thema noch nicht auseinandergesetzt haben. Sie werden jetzt durch die Medienberichte wach, ihnen ist aber noch nicht so richtig klar, was das für ihre eigenen internen Pro­zesse oder für ihre Marktstellung bedeutet, weil ihre Produkte zuvor immer abgeschottet gearbeitet haben und sie etwaige Probleme immer im Griff hatten. Sie stehen jetzt vor der Aufgabe, diese Art von Risiken zu erfassen und ihr Sicherheitsmanagement auszubauen.

com! professional: Braucht man für den Autoverkehr und insbesondere für autonome Fahrzeuge ein eigenes Netz?

Eckert: Wir würden uns zwar sehr viele Pro­bleme vom Hals schaffen, wenn wir nicht alles über die vorhandenen Infrastrukturen ab­wickeln, aber aus meiner Sicht ist es bei solch Business-getriebenen Bereichen unrealistisch, von eigenen Netzen zu reden. Wir wissen inzwischen, wie schwierig und teuer es ist, ganz neue Netze aufzusetzen. Der Hype momentan ist, dass alles vernetzt werden muss. Das bitte ich doch mal wirklich zu hinterfragen. Natürlich bekommt man einen Mehrwert, wenn man Geräte und Komponenten miteinander vernetzt und neue Dienstleistungen darüber erbringt, aber an vielen Stellen muss man sich fragen, ob das wirklich so sein muss. Ich meine, es muss nicht alles in die Cloud. Vielmehr sollte man sich fragen, welche Assets man selbst kontrollieren muss, und die entsprechenden Infrastruk­turen aufbauen. Es läuft weniger darauf hinaus, neue Netze zu bauen, sondern die Komponenten im existierenden Netz anders zu konfigurieren, um die Kontrolle zu behalten.

com! professional: Ihr Institut arbeitet an vorderster Front in Sachen Security für IoT und Industrie 4.0. Was gehört zu den aufregendsten Bereichen Ihrer Forschung?

Eckert: Die erste Stufe ist, für bestehende Systeme eine Härtungsschale einzuführen ähnlich der, die wir mit dem Infineon-Chip realisiert haben. Die nächste wäre zu überlegen, wie man die Architektur von Grund auf so entwerfen kann, dass die Sicherheit Teil der Entwicklung bei SPS- oder Produktionsanlagen ist. Zusätzlich verfolgen wir völlig neue Ansätze, zum Beispiel beim Thema Objektidentität. Einer davon, der zwar nicht von uns stammt, aber wo wir uns stark engagieren, sind die sogenannten Physical Unclonable Functions. Das ist das Äquivalent zu biometrischen Merkmalen, wie wir sie von Menschen kennen, für physische Objekte. Daraus lassen sich digitale Fingerab­drücke ableiten.

Außerdem arbeiten wir an Lösungen für den Produktschutz und für den Schutz geistigen Eigentums. In den immer smarter werdenden Produkten steckt sehr viel Know-how. Aus der Software kann man nicht nur herauslesen, wie ein Produkt genutzt und gewartet wurde, sondern man kann häufig Rückschlüsse auf seine gesamte Entstehungsgeschichte ziehen.