Manfred Kloiber: Vom Blick in die Zukunft zurück auf den harten Boden des Hier und Jetzt. Da holen uns nämlich Meldungen der vergangenen Woche zum Beispiel ein, die über massive, koordinierte Angriffe auf Webseiten berichten, die von Geräten des Internets der Dinge ausgegangen sein sollen. So wurde etwa das Blog des Washington-Post-Reporters Brian Krebs vom heftigsten Distributed Denial of Service Angriff getroffen, den es bisher gegeben überhaupt haben soll. So stark, dass dessen bisheriger Beschützer aufgeben musste. Jan, wie war ein solch massiver DDOS, wie man es verkürzt sagt, überhaupt möglich?
Jan Rähm: Also, nach aktuellem Erkenntnisstand hatten die Angreifer ein riesiges Botnetz aus gekaperten Kleingeräten zur Verfügung. Das sollen zum Beispiel schlecht gesicherte Webcams gewesen sein oder auch Internet-Router, wie sie bei uns zu Hause im Flur stehen. Die sind einzeln zwar nicht allzu leistungsfähig, das müssen sie aber auch gar nicht sein. Denn es ist die schiere Masse an Geräten, die Anfragen aussenden und die dann einen angegriffenen Server kapitulieren lassen.
Kloiber: Da werden sicherlich Leute schon kritisch nachfragen: Wird das Internet der Dinge jetzt zu einer unkalkulierbaren Gefahr?
Rähm: Also, wenn in Sachen IT-Sicherheit nicht umgedacht und nachgebessert wird, dann eventuell. Beispiel Routerhersteller: Einer ist berühmt berüchtigt, dass seine billigen und entsprechend oft verkauften Geräte massivste Sicherheitslücken haben. Ein IT-Forscher hat jetzt wieder einmal eins der Geräte sich genauer angeschaut und erneut viele gravierende Lücken gefunden. Und die sind so vielfältig und so schwerwiegend, dass er den Nutzern einfach nur empfiehlt, wenn sie ein solches Gerät haben, schmeißt es weg. Und da sind wir beim Grundproblem der Dinge, die heute schon am Netz sind. Viele davon sind in Sachen IT-Sicherheit ein Katastrophe. Andreas Grzemba von der TH Deggendorf forscht in diesem Sektor, er sagt:
"Die Hersteller haben das jetzt im Prinzip eigentlich nicht in ihrem Fokus gehabt. Die haben natürlich gesehen, wie bringe ich einfach mein Gerät ins Internet. Wie kann der User das einfach bedienen. Wie hat der User einen Mehrwert. Aber über Security hat kaum ein Hersteller nachgedacht."
"Schlecht und nicht gesicherten Geräte müssen aus dem Netz verschwinden"
Rähm: Ein Grund: Das Thema sei sehr komplex – einerseits. Andererseits fehle vielen Herstellern schlicht das Knowhow und oft auch das entsprechende Bewusstsein für IT-Sicherheit. Bei manchem fehle auch, so sagt Andreas Grzemba, einfach das Geld, entsprechende Entwickler zu beschäftigen beziehungsweise den Aspekt in der Entwicklung ausreichend abzudecken.
Kloiber: Nun werden ja mit dem Internet der Dinge, wie wir ja auch schon eingangs gehört haben, Milliarden von weiteren Geräten ins Netz kommen. Wie soll da ein annehmbares Level in Sachen IT-Sicherheit gewährleistet werden?
Rähm: Gute Frage! Zunächst müssten natürlich alle schlecht und nicht gesicherten Geräte aus dem Netz verschwinden, was allerdings eher illusorisch sein dürfte. Also muss die Entwicklung wenigstens dahin gehen, dass neue Geräte ganz anders konzipiert werden. Das Stichwort lautet: Security by Design. Doch dieser Ansatz, bei dem die IT-Sicherheit bereits zentraler Bestandteil der Produkt- und Software-Entwicklung ist, ist dummerweise sehr teuer. Andreas Grzemba rechnet damit, dass eine Art Zertifizierung für IT-Sicherheit kommen wird, zumindest für kritischere Anwendungsbereiche. Dabei ist aber das: Einmal zertifizierte Sicherheit hält auch nicht ewig an, denn Sicherheitslücken werden immer wieder gefunden. Andreas Grzemba:
"Ich denke, da wird auch die Entwicklung dahin gehen, dass die Safety-Zertifizierung verfällt, wenn die Lücken in der Software nicht geschlossen werden."
"Aktuell sind nur ganz bestimmte Vorfälle meldepflichtig"
Kloiber: Nun müssen diese Lücken ja erst einmal bekannt werden. Das tun sie ja meist nur in drei Fällen: Die Lücken wurden massiv ausgenutzt, ein Hacker veröffentlicht die Lücken oder der Hersteller selber gibt sie bekannt, nachdem sie geschlossen wurden. Das dauert ja oft sehr lange, bis überhaupt dann irgendetwas passiert. Was soll da die Zertifizierung helfen?
Rähm: Ja, das ist ja das Problem: Wer erfährt wann und wie von den Lücken? Also, nach dem IT-Sicherheitsgesetz sind es aktuell nur ganz bestimmte Vorfälle, die meldepflichtig sind. Vor allem erfolgte Angriffe auf kritische Infrastruktur. Sicherheitslücken, die kann ein Hersteller nach Gutdünken geheim halten oder nicht schließen, wenn er sie für ungefährlich hält. Dass das nicht unbedingt der richtige Ansatz ist, hat das Beispiel Stuxnet damals gezeigt. Da war ein Angriffspunkt unter anderem eine Lücke im Windows-Drucker-Spooler, die seit Jahren bekannt war und nicht geschlossen wurde, weil der Hersteller sie einfach als unkritisch angesehen hat - eine krasse Fehleinschätzung, wie die Vergangenheit dann gezeigt hat. Daher, eine Meldepflicht für Sicherheitslücken und ein Pflicht, diese schnellstmöglich zu schließen ist dringend notwendig, soll das Internet der Dinge nicht zu einer unkalkulierbaren Gefahr werden.
Kloiber: Jan Rähm über Sicherheit im Internet der Dinge.