Wir sind heute von Geräten umgeben, die ohne unsere Erlaubnis Audio mitschneiden, ohne unser Wissen Fotos und Videos aufnehmen und diese Aufzeichnungen ohne unsere Zustimmung übertragen können. Mit anderen Worten: Wir sind von digitalen Augen und Ohren umgeben. Wir bezeichnen diese Geräte oft als das Internet der Dinge oder kurz IoT. Kameras und Thermostate von Google Nest, Amazon Alexa und andere Smart-Home-Geräte halten nach und nach Einzug in Bereiche, die wir als Teil unserer Privatsphäre betrachten.

Vor Kurzem wurde öffentlich, dass Geräte wie Amazon Alexa in der Lage sind, ohne das Wissen ihrer Besitzer Audio aufzuzeichnen. Die Aufnahmen können zur Verbesserung der Funktionalität genutzt werden, die Praxis bringt jedoch auch eine Reihe von Problemen mit sich. An erster Stelle steht dabei der Schutz der Privatsphäre der Nutzer. Stellen Sie sich vor, dass in Ihrer Küche eine Alexa steht, die alle Unterhaltungen aufzeichnen, speichern und auswerten kann, die dort stattfinden. Zweitens kann diese Funktionalität auch zum Sicherheitsrisiko werden. Hacker könnten zum Beispiel von Ihnen gesprochene Befehle mitschneiden und später abspielen, um andere IoT-Geräte in Ihrem Haus zu aktivieren oder deaktivieren. (Alexa kann das zum Beispiel für Sicherheitsgeräte tun.)

Außerdem erfassen Geräte wie Staubsaugerroboter Daten, die für Datendiebe interessant sind. Im Fall des Staubsaugerroboters sind das die Abmaße der verschiedenen Zimmer und die Wege zwischen den Zimmern, aus denen sich der Schnitt der Wohnung rekonstruieren lässt. Und da viele dieser Geräte bereits eine Funktion zum Übertragen der erfassten Daten haben, muss ein Datendieb sie nur noch unter seine Kontrolle bringen. Da viele Geräte nur einen Standardnutzernamen und ein Standardpasswort haben, ist das für gewiefte Angreifer ein Kinderspiel. Es gibt bereits zahlreiche Beispiele aus der Praxis, die dies belegen.

Deshalb laufen in den DigiCert Labs Experimente mit verschiedenen Methoden zur Klassifizierung von IoT-Geräten aufgrund der potenziellen Verletzung der Privatsphäre und der Sicherheitsrisiken, die sie mit sich bringen. Insbesondere wird dort untersucht, wie Technologien wie KI und Mustererkennung genutzt werden können, um das Verhalten verschiedener IoT-Geräte in unterschiedlichen Umgebungen zu analysieren.

Dabei fällt vor allem auf, wie sehr die Fähigkeit dieser Geräte zur Aufzeichnung und Übertragung von Daten ohne die Erlaubnis des Besitzers bislang unterschätzt wurde. Gleichzeitig entstehen durch fehlende Sicherheitsmaßnahmen (wie zum Beispiel eine echte Authentifizierung) zusätzliche Schwachstellen. Das führt zwangsläufig zu der Frage, ob wir uns mit diesen Geräten mehr Sicherheits- und Datenschutzprobleme einhandeln als die Funktionalität rechtfertigt.

Bei der aktuellen Umfrage State of IoT 2018 von DigiCert nannte ein großer Teil der Befragten die IoT-Sicherheit als eine ihrer größten Sorgen. Viele wussten jedoch noch nicht, was sie tun oder in welche Lösungen sie investieren sollten. Infolgedessen ist bereits ein deutlicher Unterschied zwischen Unternehmen zu erkennen: ein Teil hat die IoT-Sicherheit im Griff, andere tun sich schwer damit und haben dadurch deutlich höhere Kosten.

Obwohl zusätzliche Kosten mitunter als Argument gegen gute Sicherheitspraktiken angeführt werden (wie zum Beispiel von den 65 % der Umfrageteilnehmer, die Verschlüsselung für zu teuer halten), kann es langfristig erheblich kostspieliger sein, die IoT-Sicherheit zu ignorieren. Die Vertreter der Unternehmen, die die größten Probleme in diesem Bereich haben, bezifferten die Auswirkungen mit mindestens 34 Millionen US-Dollar für einen Zeitraum von zwei Jahren. Es zahlt sich also wirklich nicht aus, an der IoT-Sicherheit zu sparen.

Und da IoT-basierte Angriffe bereits großflächige Ausfälle kritischer Infrastrukturen verursachen, die Wirtschaft ganzer Länder und das Leben und die Gesundheit ihrer Bürger gefährden, wird der Druck auf Unternehmen, in diesem Bereich mehr zu tun, in Zukunft voraussichtlich noch steigen – insbesondere, wenn die Zahl dieser Angriffe steigt. Die Europäische Kommission, der US-Bundesstaat Kalifornien, die US-amerikanische Behörde für Lebens- und Arzneimittel (FDA) und die japanische Regierung diskutieren bereits über die strengere Regulierung von IoT-Geräten.

Der umfassende Schutz der Verbraucher vor den Sicherheits- und Datenschutzrisiken, die durch IoT-Geräte verursacht werden können, ist keine leichte Aufgabe. Doch es gibt bereits Technologielösungen für eine stärkere Authentifizierung und zum Schutz vor unbefugtem Zugriff, die auch für IoT-Geräte geeignet sind. Für die Authentifizierung könnten statt herkömmlicher Nutzernamen und Passwörter beispielsweise PKI und digitale Zertifikate verwendet werden. Code Signing könnte die Sicherheit von OTA-Firmware-Upgrades und Geräte-Neustarts stärken. Wenn nur signierter Code auf IoT-Geräten ausgeführt werden darf, wird auch der Infektion mit Malware ein Riegel vorgeschoben.

In den kommenden Monaten wird DigiCert die Ergebnisse seiner Experimente rund um die Datensicherheit und den Datenschutz im IoT veröffentlichen. Damit wollen wir die Öffentlichkeit auf die Problematik aufmerksam machen und über innovative neue Lösungen für die bereits identifizierten Schwachstellen informieren.