Also
was habe ich dieses Jahr von der IPEXPO mitgenommen?
Erstens:
, dass Excel meilenweit von Paddington entfernt ist. So weit, dass ich
versucht habe, das Schlafwagenabteil in der Jubilee-Linie zu finden! Aber ganz im Ernst: Die für mich interessantesten
Inhalte der Show bezogen sich auf das Thema Sicherheit und insbesondere darauf, wie
sich das Internet der Dinge auf die Sicherheit auswirkt.
Das IoT – Internet der
Dinge.
Zunächst einmal möchte ich klarstellen, was dieses neue Schlagwort bedeutet, denn jeder Anbieter scheint
jetzt irgendeine schwache Verbindung zu einer „IoT-Strategie“ zu haben. Es ist derzeit überall zu hören,
und die Versuche, das IoT auf die Schippe zu nehmen, sind sogar noch unverhohlener als die lächerlichen Bemühungen
einiger Marketingteams von Anbietern, eine Ausrichtung auf eine SDN-Strategie zu erzwingen.
Einfach ausgedrückt, bedeutet IoT, dass viele Geräte
mit dem Internet verbunden sind.
ist nicht ganz so bahnbrechend, wie man uns glauben machen will, aber wir meinen damit viele
Geräte… Milliarden… Tatsächlich schätzt Gartner, dass es Ende letzten Jahres
3,8 Milliarden vernetzte Dinge gab. Und mit Geräten meinen wir nicht nur Computer,
Telefone, Tablets usw. Wir meinen Waschmaschinen, Toaster, Wasserkocher, Millionen von
Umweltsensoren, die Dinge von der Temperatur bis zum Kohlenmonoxid messen und
sogar Sexspielzeug! Und ja, wir sollten uns weiterhin fragen, welchen Wert
ein Toaster mit Internetanschluss für den Endverbraucher wirklich hat. Hasser werden sagen, dass es völlig sinnlos ist
und sie könnten Recht haben, aber vergessen wir nicht, dass viele Zweifler in den Anfängen des Internets das Gleiche
gesagt haben.
Die
anhaltende Popularität des IoT bedeutet unweigerlich, dass Tausende von neuen Anbietern
auftauchen werden, die ein mit dem Internet verbundenes Gerät zusammen mit einer App bauen, um
etwas Cooles (oder weniger Cooles) und Hilfreiches (oder weniger Hilfreiches) zu tun.
Wo kommt also die Sicherheit ins Spiel?
Stellen Sie sich ein alltägliches Szenario vor, in dem wir eines dieser neuen Geräte einsetzen. Aufgeregt
von der Aussicht, unser neuestes Spielzeug in Betrieb zu nehmen, reißen wir die Verpackung auf und in der
Eile, es ins Netz zu bekommen, stellen wir eine Bluetooth-Verbindung her (wahrscheinlich
mit 0000 oder 1234 als Pin), geben das WLAN-Passwort ein und schon
können wir mit dem Gerät sprechen. (Natürlich erst, nachdem wir alle unsere Daten beim Anbieter
online registriert haben). Die
elegante grafische App und das tolle Branding geben uns das Vertrauen, dass es sich um ein
Qualitätsprodukt handelt.
In der Realität
haben wir jedoch gerade unser Sicherheitsmodell für Heimnetzwerke zerstört. Warum? Nun
wenn Sie über Sicherheit sprechen, würden Sie wahrscheinlich annehmen, dass ein Router
/ eine Firewall Sie sicher macht. (Vorausgesetzt natürlich,
dass Ihr Passwort nicht der Name Ihres Haustieres / Ihrer Freundin / Ihres Freundes
ist oder, noch schlimmer, als Standard eingestellt ist!)
Gehen wir
von der halbwegs vernünftigen Annahme aus, dass Sicherheitsunternehmen mehr über
Sicherheit wissen als die Hersteller von „Spielzeug“. Wenn also jemand Ihr Heimnetzwerk
hacken wollte, wäre es vielleicht einfacher, die Toaster und andere IoT-Spielzeuge/Geräte anzugreifen als
die Firewall.
Der ethische
Hacker Ken Munro von
Pen Test Partners hat ein großartiges Beispiel
für diese Art von Sicherheitslücke veröffentlicht.
Er
hackte eine Kinderpuppe, die den Wi-Fi-Schlüssel im Klartext speicherte. Es gelang ihm,
den Schlüssel zu extrahieren und Zugang zum drahtlosen Netzwerk zu erhalten. Sobald ein Hacker im
Netzwerk ist, kann er so ziemlich alles tun, was er will.
Wenn Sie
dies lesen und sich ziemlich sicher fühlen, weil Sie nicht viele
mit dem Internet verbundene Geräte haben, dann sollten Sie das nicht tun. Munro entdeckte auch Schwachstellen
in herkömmlichen Geräten, darunter die Sprachfernbedienung eines Samsung-Fernsehers, die tatsächlich
Ihre Gespräche aufzeichnet. Wenn das nicht schon schockierend genug ist, wie wäre es dann, wenn Sie
dieses Gespräch unverschlüsselt über das Netzwerk senden?
Also
wie lautet die Antwort?
Erstens
muss es um Aufklärung gehen. Die Verbraucher müssen verstehen, dass jedes Gerät
das sie an ihr Netzwerk anschließen, egal wie klein, ein potenzielles Sicherheitsrisiko
darstellt. Sie müssen sich vergewissern, dass das Gerät „sicher“ ist (idealerweise
von unabhängiger Seite getestet) oder zumindest nachweisen, dass die Sicherheit
bei der Entwicklung und Architektur ernsthaft berücksichtigt wurde.
Die Anbieter
müssen das Thema Sicherheit, insbesondere im Bereich der privaten Haushalte, ernster nehmen
. Geräte und Anwendungen müssen auf Designs basieren, bei denen ein anständiges
Sicherheits- und Datenschutzmodell inhärent ist und nicht erst nachträglich entwickelt wird.
Wenn wir schon dabei sind,
, sollten wir erwähnen, dass dies NICHT schwer ist. Von den IoT-Anbietern
wird nicht erwartet, dass sie hier neue bahnbrechende Sicherheitsprotokolle erfinden!
Lassen Sie uns
mit einigen Grundlagen beginnen.
- Jede Kommunikation sollte sicher sein – warum nicht einfach SSL verwenden?
- Lokal gespeicherte Daten sollten verschlüsselt werden
- Standardpasswörter sollten immer geändert werden (hier gibt es nichts Neues)
- Sicherstellen, dass der lokale Code verschleiert ist
- Sammeln/Speichern Sie keine Daten, es sei denn, sie sind für die Funktion des
Geräts unerlässlich.
Das
IoT ist enorm aufregend und hat die Macht, die Art und Weise, wie wir
unser Leben leben, positiv zu verändern, von kleinen Effizienzsteigerungen im Haushalt bis hin zu
großen, die Industrie verändernden Lösungen. Es ist sicherlich einfach, sich von
dem Hype des „Alles ist möglich“ einwickeln zu lassen, aber damit wir sicher den
Nutzen aus solchen intelligenten Technologien ziehen können, müssen wir zu den Grundlagen zurückkehren und
unsere Innovation in Sicherheit erden.
