14.07.2015

Fehlende Verschlüsselung und mangelhafte Sicherheit

Schöne neue Welt: Das „Internet der Dinge“ soll den Alltag angenehmer machen und Business-Prozesse erleichtern. Leider zeichnen sich gravierende Sicherheitslücken ab, wie Eddy Willems, Global Security Officer und Security Evangelist bei G Data, im Interview erklärt. Bei den Internet Security Days 2015 wird der erfahrene Sicherheitsexperte als Referent vor Ort sein.

Herr Willems, wie gehen Ihrer Erfahrung nach Hersteller von Geräten des „Internet der Dinge“ mit dem Thema Sicherheit um?

Beim Internet der Dinge hat jedes vernetzte Gerät eine IP-Adresse und kann mit allem und jedem kommunizieren. Die Hersteller haben in vielen Fällen übersehen, dass solche technischen Weiterentwicklungen auch ernste Probleme schaffen können. Smart-TVs, Spielekonsolen, Smartphones oder Autos können vom Nutzer unbemerkt Einstellungen verändern oder Daten sammeln.

In den letzten Monaten mussten Unternehmen Sicherheitsupdates für Fernseher oder Autos veröffentlichen, um Cyberkriminelle daran zu hindern, Zugriff auf die Geräte zu bekommen. Gerade bei Autos sind die Folgen nicht abschätzbar. Könnten Angreifer während der Fahrt die Bremsen eines Fahrzeugs über eine Sicherheitslücke deaktivieren?

Dies sind Anzeichen dafür, dass die Industrie vielleicht zu schnell vorausgeprescht ist, ohne über mögliche Folgen nachzudenken.

Welche ist Ihrer Meinung nach die größte Bedrohung durch das „Internet der Dinge“?

Die meisten intelligenten Geräte sammeln viele persönliche Informationen über den Benutzer. Häufig ist aber unklar, wozu diese Daten genutzt und ob diese korrekt verarbeitet werden. Wie sicher sind diese Daten gespeichert?

Ein zweiter Punkt ist die Sicherheit der intelligenten Geräte an sich. Ich habe kein Gerät in der Hand gehabt, das die Möglichkeit einer Zwei-Faktor-Authentifizierung bietet. Dennoch können die Geräte über das Internet ferngesteuert oder ausgelesen werden.

Ein dritter Punkt ist die häufig mangelhafte Verschlüsselung der Daten, die zwischen intelligenten Geräten übertragen werden. Die Passwörter und die persönlichen Daten liegen für einen Angreifer mit dem nötigen Wissen auf dem Präsentierteller.

Welche Unterschiede gibt es unter dem Sicherheitsaspekt zwischen privater und geschäftlicher Nutzung?

Die Unterschiede sind meiner Ansicht nach gering, weil die Folgen sowohl für Privatpersonen als auch Unternehmer fatal sein können. Ein Cyberkrimineller könnte einen Benutzer damit erpressen, dass er sein intelligentes Haus in Brand steckt, indem er die Energiesteuerung auf den Siedepunkt stellt. Oder er könnte überprüfen, ob der Hausbesitzer zu Hause ist und einbrechen.

Für Unternehmen kann ein solcher Angriff auf die intelligenten Geräte den finanziellen Ruin bedeuten, wenn Kundendaten, Konstruktionspläne oder Details über Prototypen gestohlen oder die Produktionsabläufe gestört werden.

Welchen Ratschlag für mehr Sicherheit geben Sie den Nutzern heute?

Die Verbraucher müssen vorsichtiger mit ihren Daten sein und bedenken, dass der Kauf eines solchen Geräts möglicherweise Sicherheitsrisiken mit sich bringt. Eine grundlegende Voraussetzung für die sichere Nutzung dieser Anwendungen sind sichere Passwörter.

Für Unternehmen wäre die Installation technischer Filtermaßnahmen zwischen intelligenten Geräten und dem übrigen Netzwerk ein sinnvoller Schritt. Den Herstellern intelligenter Geräte empfehle ich, eine engere Kooperation mit der IT-Sicherheitsbranche einzugehen, die hier bereits über Erfahrung verfügt.