Eine Frage der Sicherheit: Die Zukunft vernetzter Geräte

Das eigentliche Problem vernetzter Geräte ist, dass sie eine viel längere Lebensdauer haben, als die meisten Hersteller gewillt sind Software-Support zu leisten. Denken Sie zum Beispiel an das beliebte Beispiel vom Kühlschrank mit Internetanschluss. 

Hersteller von Elektrogroßgeräten wie einem Kühlschrank sind eher nicht daran gewöhnt, sich um die Funktionsweise von Software zu kümmern.

Anzeige

Vielmehr wissen sie sehr wohl, wie man Hardware zum Laufen bringt. Die Sicherheitsprobleme, mit denen wir heutzutage leben, und die man mit einem App-Update via Handy lösen kann, sind aber nicht unbedingt im Produktdesign präsent. Hier macht man sich Gedanken über die Lebensdauer des Gerätes, ein modernes Design und zusätzliche Funktionen, die den Verbraucher zum Kauf animieren.

Nur, wie soll ein Gerät, das vor vielleicht 10 Jahren nach anerkannten Best Practices konstruiert wurde, mit aktuellen Cyberbedrohungen fertig werden? Eine Frage, auf die es keine einfache Antwort gibt. 

Ein Gespräch mit Boris Cipot, Senior Sales Engineer bei Synopsys
 

Was wird getan beziehungsweise was sollte man tun, um Sicherheit und Datenschutz in diese Geräte einzubetten? 

Boris Cipot: Datenschutz wirklich zu erreichen ist fast unmöglich. Der Grund sind unter anderem ständig neue Datenschutzbestimmungen. Ein Beispiel ist der am 1. Juli dieses Jahres in den USA in Kraft getretene California Consumer Privacy Act (CCPA). Sechzehn Tage später erklärte dann der Europäische Gerichtshof das Gesetz für ungültig, das Datenübertragungen von EU-Bürgern und Einwohnern der Vereinigten Staaten erlaubt. Wie wollen Sie sich auf ein derartiges Szenario vorbereiten, wenn Sie gleichzeitig versuchen, ein IoT-Gerät (Internet of Things) mit einer möglichst langen Lebensdauer zu konstruieren? Aus der Sicherheitsperspektive sollten Sie Sicherheit und Datenschutz als zwei Seiten derselben Medaille betrachten. Dazu müssen Sie grundsätzlich bewerten, wie es um das tatsächliche Risiko der Software bestellt ist und wie um die Verantwortlichkeit. Verbraucher sind dabei auf den Hersteller angewiesen. Und der muss flexibel sein. Wer heute einen bestimmten Standard einhält, muss sich zwangsläufig weiterentwickeln, wenn die entsprechenden Standards es tun.  
 

Was kann schlimmstenfalls passieren, wenn Sicherheit bei der Konstruktion und Entwicklung eines IoT-Geräts nicht berücksichtigt wird?  

Boris Cipot: Die derzeit größten Bedrohungen gehen von Geräten aus, die über ein Mikrofon, eine Videokamera oder einen Lautsprecher verfügen. Wir haben in den letzten Jahren Fälle beobachtet, in denen böswillige Akteure sogenannte Nanny-Cams und DVRs gekapert haben, um Botnets aufzubauen. Wir haben Vorfälle erlebt, bei denen Personen aus dem Support mittels eines virtuellen Assistenten, Gespräche belauscht oder Videos von Gesprächen angesehen haben. Es gab sogar bereits ein Gerichtsverfahren (in diesem konkreten Fall eine Mordanklage) bei dem die Staatsanwaltschaft die Aufnahmen der Hintergrundgeräusche von einem virtuellen Assistenten anforderte. Wir wissen, dass diese Art von Geräten immer eingeschaltet bleibt. Was anschließend mit diesen Daten geschieht, wird zu einer echten Frage.  
 

Was haben die Hersteller selbst davon, Sicherheit in ihre Geräte einzubauen?

Boris Cipot: Der Dreh- und Angelpunkt ist der Markenwert. Wenn ein Unternehmen unwillentlich in die Schlagzeilen gerät, tut das weder den Aktionären gut, noch fördert es die weitere Geschäftsentwicklung. Man kann kaum genug PR betreiben, um die Folgen einer schwerwiegenden Datenschutzverletzung auszubügeln. Ist ein Unternehmen der einzige Anbieter für einen bestimmten Gerätetyp, mag er vielleicht in einer besseren Position sein. Aber wir leben in einer Wettbewerbslandschaft. Das gilt auch für die IoT-Gerätetechnologie. Meine Empfehlung ist, im Voraus in Cybersicherheit zu investieren. Hersteller sollten in Bedrohungsmodelle investieren und sich über die Risiken klar werden, die mit einer Software bei ihrer Erstellung verbunden sind. Dazu muss man den Lebenszyklus dieser Software verstehen. Die Messlatte liegt hoch, denn Konsumenten erwarten, dass die Software dieser Geräte auf nahezu magische Weise perfekt ist. Aus praktischen Gründen sollte die User Experience so nahtlos und sicher wie irgend möglich sein. Gibt es keine Probleme bei der Bedienung oder Service-Unterbrechungen, dann hat der Hersteller an dieser Stelle einen guten Job gemacht. Darüber hinaus muss man sich als Hersteller die komplette Lieferkette der zu erstellenden Software ansehen. Nur dann kann man gewährleisten, dass es keine Sicherheitslücken gibt.  
 

Welche Bedrohungsursachen sind für IoT-Geräte besonders schwerwiegend?

Boris Cipot: An erster Stelle steht die Lebensdauer. Viele vernetzte Geräte haben eine wirklich lange Lebensdauer. Als nächstes folgen Überlegungen zur Softwaresicherheit. Software steht im Unternehmen selbst möglicherweise nicht im Vordergrund oder hat keine Priorität. Es liegt in der Natur der Sache, dass bestimmte Unternehmen gewöhnt sind, Dinge nach Hardware-Manier zu erledigen. Softwaresicherheit gehört vermutlich nicht zu den Kernkompetenzen. Drittens muss man die Arten von Bedrohungen verstehen, die mit einem bestimmten Gerät verbunden sind. All das trägt dazu bei, die Funktionsweise von Bedrohungsmodellen besser zu verstehen und auch die tatsächlichen Auswirkungen dessen, wie ein böswilliger Akteur denkt. Ein Verständnis von Bedrohungen und Konzepten dieser Art kann man erlernen. Das bedeutet aber gleichzeitig, dass Anbieter von IoT-Geräten im Voraus in das Design ihrer Systeme investieren und die vorhandenen Risiken kennen sollten.  
 

Hersteller tragen zweifellos die Verantwortung für die Sicherheit der von ihnen entwickelten Geräte. Aber wie sieht es mit den Behörden aus? Sollten die einschreiten? 

Boris Cipot: Behörden bewegen sich in ihrem ganz eigenen Tempo. Das entspricht nicht unbedingt dem Tempo in der Welt der Technik, insbesondere was den Software-Lebenszyklus anbelangt. Milde ausgedrückt. Was die Softwareentwicklung anbelangt, werden in einem modernen, agilen Team möglicherweise täglich neue Funktionen ausgearbeitet. Das ist meines Wissens nach in keinem Land eine angemessene Geschwindigkeit, wenn man Behörden beteiligen will. Was eine Behörde allerdings tun sollte, ist, eine Reihe von Standards für akzeptable Schutzmaßnahmen festzulegen, ohne dabei übertriebene Vorschriften zu machen.  
 

Wie lässt sich die Sicherheit von IoT-Geräten mit dem hohen Druck hinsichtlich einer schnellen Markteinführung ausbalancieren? Was können Hersteller tun?  

Boris Cipot: Hersteller von IoT-Geräten müssen die Bedrohungsarten verstehen, die von Software ausgehen, und nicht nur, wie Lieferketten für die Hardwareherstellung am besten funktionieren.  

In einer Software-Welt gibt es Dinge wie den Lebenszyklus eines Gerätes, der viel länger ist als der übliche Lebenszyklus einer Software. Sie werden kaum zehn Jahre lang ein Entwicklungsteam beschäftigen, das stetig alle Attribute einer bestimmten Codebasis kennt. Außerdem gibt es keine Garantie, dass die Benutzer in der Lage sind, die Geräte so upzugraden, wie es wünschenswert wäre (Mobiltelefone sind in dieser Hinsicht eine der wenigen Ausnahmen).  

In einer Unternehmensumgebung gibt es fast immer jemanden, der sich mit Cybersicherheit auskennt.  Demgegenüber ist der durchschnittliche Privatanwender nicht unbedingt mit den Sicherheitsauswirkungen eines Thermostats mit Internetanschluss vertraut. Die Temperatur im Haus über das Handy zu steuern, ist eine praktische Funktion. Die potenziell damit verbundenen Sicherheitsbedrohungen, sind dem Nutzer aber wahrscheinlich weniger präsent oder interessieren ihn schlicht nicht. Man sollte von den Endverbrauchern nicht erwarten, dass sie Sicherheitsgurus sind. Es liegt an den Herstellern, sicherzustellen, dass die von ihnen produzierte Software funktionstüchtig ist, und zwar über die gesamte Lebensdauer des Geräts. Wenn der Hersteller Fehler macht, sind die Endbenutzer vielleicht am stärksten betroffen. 

Cipot Boris

Synopsys Software Integrity Group -

Senior Security Engineer

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.