Mit dem Internet der Dinge erhalten alltägliche Dinge plötzlich eine hohe Bedeutung in puncto Sicherheit. Nur wenn die Hersteller der smarten Gegenstände ihre Software und Hardware unter entsprechenden sicherheitsrelevanten Aspekten entwickeln, kann das Potenzial des Internets der Dinge tatsächlich ausgeschöpft werden.
Die Vereinigten Staaten werden von einer neuen Art des Terrorismus bedroht: Eine Gruppe um einen in Ungnade gefallenen Pentagon-Sicherheitsexperten bringt alle Computernetzwerke des Landes unter ihre Kontrolle. Sie können Ampeln nach Belieben schalten, die Kommunikation manipulieren und Gas-Pipelines steuern. Ein Horror, der zum Glück nur Hollywood-Fantasie ist. Doch ist das im Film „Stirb langsam 4.0“ geschilderte Szenario wirklich so weit hergeholt? Wer im letzten Jahr die Defcon, die größte Hacker-Konferenz weltweit, besucht hat, könnte das anders sehen: Dan Tentler, freiberuflicher Sicherheitsberater und Gründer der auf IT-Sicherheit spezialisierten Firma AtenLabs, zeigte auf der Konferenz, wie viele Geräte sich bereits heute im Internet finden lassen – und die völlig ungeschützt eingesehen werden können. Darunter Spielekonsolen und Notebooks, die über ihre integrierten Mikrofone und Kameras Einblicke in private Räume ermöglichen, Sicherheitskameras, unabhängige Spannungsversorgungen, Kühlungen und vieles mehr. Ohne viel Mühe konnte er zum Beispiel die Steuerung einer Ampelkreuzung in einer amerikanischen Kleinstadt in den Testmodus bringen – und damit die Lichtsignale ausschalten. Außerdem hatte er Zugriff auf die Benutzeroberfläche eines französischen Wasserkraftwerkes genauso wie auf eine Autowaschstraße. Dazu benötigte er nicht mehr als einen Internet-Browser und die Suchmaschine Shodan. Dieses – legale – Pendant zu Google sucht das Netz nach Geräten mit Internetanschluss ab. Eine Suche über Shodan zeigt, wie viele Geräte heute schon mit dem Internet verbunden sind. Sie zeigt aber auch, welche Gefahren im Internet der Dinge lauern. „Alltägliche Objekte, einst vertraut in ihrem Aussehen und völlig unauffällig aus dem Blickwinkel der Sicherheit, werden plötzlich die Träger von sensiblen Daten, die von heiklen Finanz-Informationen bis zu detaillierten Telemetrie-Daten über persönliche Aspekte des eigenen Lebens reichen“, so Marc Rogers im Blog von Lookout. Rogers ist Principal Security Researcher bei Lookout, einem der führenden Unternehmen für Sicherheitstechnologie, dessen Sicherheits-Software Smart-phones und Co. vor mobilen Bedrohungen schützt. „Vernetzte Dinge müssen wie Software behandelt werden, sobald es um das Thema Sicherheit geht“, lautet die Empfehlung von Rogers.
Patches erhöhen Sicherheit für vernetzte Geräte
Bisher wurde die Software eingebetteter Systeme, auch Firmware genannt, einmal bei der Produktion des Gerätes installiert und dann nur noch selten, wenn überhaupt, upgedatet. Dadurch entstehen Sicherheitslücken, die zum Beispiel von Viren wie dem Stuxnet-Computerwurm ausgenutzt werden. Stuxnet hatte im Jahr 2010 gezielt die Prozesssteuerungen iranischer Atomanlagen lahmgelegt – ähnliche Angriffe wären aber auch bei jeder anderen M2M-Kommunikation denkbar. So könnten auch Smart Meter, Basis der zukünftigen intelligenten Stromnetze, attackiert und somit die Stromversorgung von Behörden, Haushalten oder Industriebetrieben manipuliert werden. Dass das kein theoretisches Szenario ist, zeigt ein Bericht des FBI aus dem Jahr 2010: Danach hat ein Energieunternehmen in Puerto Rico hunderte Millionen Dollar durch Manipulationen von Smart Metern verloren – die Messgeräte zeichneten in der Nacht keinen Stromverbrauch mehr auf. Dem FBI zufolge können viele Smart Meters schon mit mäßigen Computerkenntnissen manipuliert werden.
Um derartige Sicherheitslücken zu schließen, empfiehlt Rogers, das aus der Welt des PCs bekannte Patch-Management auf vernetzte Geräte anzuwenden: Hierbei werden neu entdeckte Sicherheitslücken mit Patches geschlossen, kleinen Software-Updates, die zum Beispiel bei dem Betriebssystem Windows „Service Pack“ genannt werden. Das heißt, die Software der im Internet der Dinge vernetzten Objekte wird immer wieder aktualisiert und neu entdeckte Sicherheitslücken damit kontinuierlich geschlossen. „Eine der beim PC-Patch-Management gemachte Schlüssellektion ist, dass Sicherheitsprobleme bei Geräten als Software-Problem gemanagt werden sollten und nicht als eine Produkt- oder Hardware-Frage“, so Marc Rogers. „Das ist der einzige Weg, wie Hersteller in der Lage sein werden, das Ausmaß des Problems zu beherrschen.“
Der Chip an sich wird sicherer
Nichtsdestotrotz hat die Sicherheit im Internet der Dinge auch eine Hardwarekomponente. Die Mikro- und Nanoelektronikbranche hat dazu sichere Chiplösungen entwickelt, ohne die eine verlässliche IT-Infrastruktur nicht funktioniert. „Sie bilden die Basis für alle elektronischen Dienste. Bei der Mikro- und Nanoelektronik handelt es sich damit um die wichtigste und grundlegendste Schlüsseltechnologie in der heute vernetzten Welt“, sagt Heinz Martin Esser, Präsident des Hightech-Branchennetzwerkes Silicon Saxony e.V. „Eine sichere Chip-architektur ist die Basis für eine sichere IT. Die höchsten Firewalls und abgeschirmtesten Firmennetzwerke nützen nichts, wenn die Hardware nicht sicher ist – und dafür braucht es auch die dazupassenden Chips“, sagt Esser weiter. Die Lösung liege in der Grundidee eines „security system on a chip“, so Heinz Martin Esser: „Ohne solche sicheren Halbleiter mit bereits darauf verankerter sicherer Software gibt es in Zukunft keine zuverlässige IT-Infrastruktur.“ Das haben auch die Halbleiter-Hersteller erkannt und bringen bereits die ersten diskreten Sicherheitschips heraus, die Computersysteme vor unerlaubtem Zugriff und Angriffen schützen. Hardwarebasierte Sicherheitslösungen für industrielle und eingebettete Computersysteme oder mobile Endgeräte sind somit bereits heute Realität. Aktuelle Chips entsprechen dabei TPM (Trusted Platform Module) 2.0 Spezifikation der Trusted Computing Group. Dieses Standardisierungsgremium besteht aus führenden IT-Unternehmen und entwickelt offene Standards zur Absicherung von Rechnerumgebungen. Computersysteme mit einer derartigen integrierten vertrauenswürdigen Hardware und entsprechenden Applikationen ermöglichen eine sichere Authentifizierung von Geräte- und Nutzeridentitäten und verbessern damit die sichere Kommunikation in Computernetzwerken.
Vielzahl von Ansätzen für mehr Sicherheit
Die Ansätze, um Gegenstände für das Internet der Dinge sicher zu machen, sind dabei vielseitig, wie Prof. Dr. Dirk Westhoff von der Hochschule Furtwangen aufführt: „Wir suchen nach einfach einsetzbaren Möglichkeiten eines sicheren und robusten Code-Updates oder einer Funktionsfreischaltung, einer vertraulichen Datenfusion überwachter und übermittelter Daten sowie der Erkennung von Angriffen und Manipulationsversuchen.“ Westhoff entwickelt im Rahmen des Projektes UNIKOPS Sicherheitslösungen für eingebettete Systeme, also für Rechner oder Computer, die ihren Dienst in einer Vielzahl von Anwendungsbereichen und Geräten versehen, beispielsweise in Geräten der Medizintechnik, Flugzeugen, Kraftfahrzeugen oder Haushaltsgeräten wie Waschmaschinen, Fernsehern oder Mobiltelefonen.
Marc Rogers: „Das Internet der Dinge kündigt eine neue Technologieära an – eine Zukunft, in der alles vernetzt ist und wir mit Informationen enger interagieren können als jemals zuvor. Machen wir das richtig, eröffnen wir uns eine Welt neuer Möglichkeiten. Machen wir das falsch, riskieren wir, es kaputt zu machen bevor sein Potenzial jemals realisiert wurde.“