Anzeige

Das eigentliche Problem vernetzter Geräte ist, dass sie eine viel längere Lebensdauer haben, als die meisten Hersteller gewillt sind Software-Support zu leisten. Denken Sie zum Beispiel an das beliebte Beispiel vom Kühlschrank mit Internetanschluss. 

Hersteller von Elektrogroßgeräten wie einem Kühlschrank sind eher nicht daran gewöhnt, sich um die Funktionsweise von Software zu kümmern.

Vielmehr wissen sie sehr wohl, wie man Hardware zum Laufen bringt. Die Sicherheitsprobleme, mit denen wir heutzutage leben, und die man mit einem App-Update via Handy lösen kann, sind aber nicht unbedingt im Produktdesign präsent. Hier macht man sich Gedanken über die Lebensdauer des Gerätes, ein modernes Design und zusätzliche Funktionen, die den Verbraucher zum Kauf animieren.

Nur, wie soll ein Gerät, das vor vielleicht 10 Jahren nach anerkannten Best Practices konstruiert wurde, mit aktuellen Cyberbedrohungen fertig werden? Eine Frage, auf die es keine einfache Antwort gibt. 

Ein Gespräch mit Boris Cipot, Senior Sales Engineer bei Synopsys
 

Was wird getan beziehungsweise was sollte man tun, um Sicherheit und Datenschutz in diese Geräte einzubetten? 

Boris Cipot: Datenschutz wirklich zu erreichen ist fast unmöglich. Der Grund sind unter anderem ständig neue Datenschutzbestimmungen. Ein Beispiel ist der am 1. Juli dieses Jahres in den USA in Kraft getretene California Consumer Privacy Act (CCPA). Sechzehn Tage später erklärte dann der Europäische Gerichtshof das Gesetz für ungültig, das Datenübertragungen von EU-Bürgern und Einwohnern der Vereinigten Staaten erlaubt. Wie wollen Sie sich auf ein derartiges Szenario vorbereiten, wenn Sie gleichzeitig versuchen, ein IoT-Gerät (Internet of Things) mit einer möglichst langen Lebensdauer zu konstruieren? Aus der Sicherheitsperspektive sollten Sie Sicherheit und Datenschutz als zwei Seiten derselben Medaille betrachten. Dazu müssen Sie grundsätzlich bewerten, wie es um das tatsächliche Risiko der Software bestellt ist und wie um die Verantwortlichkeit. Verbraucher sind dabei auf den Hersteller angewiesen. Und der muss flexibel sein. Wer heute einen bestimmten Standard einhält, muss sich zwangsläufig weiterentwickeln, wenn die entsprechenden Standards es tun.  
 

Was kann schlimmstenfalls passieren, wenn Sicherheit bei der Konstruktion und Entwicklung eines IoT-Geräts nicht berücksichtigt wird?  

Boris Cipot: Die derzeit größten Bedrohungen gehen von Geräten aus, die über ein Mikrofon, eine Videokamera oder einen Lautsprecher verfügen. Wir haben in den letzten Jahren Fälle beobachtet, in denen böswillige Akteure sogenannte Nanny-Cams und DVRs gekapert haben, um Botnets aufzubauen. Wir haben Vorfälle erlebt, bei denen Personen aus dem Support mittels eines virtuellen Assistenten, Gespräche belauscht oder Videos von Gesprächen angesehen haben. Es gab sogar bereits ein Gerichtsverfahren (in diesem konkreten Fall eine Mordanklage) bei dem die Staatsanwaltschaft die Aufnahmen der Hintergrundgeräusche von einem virtuellen Assistenten anforderte. Wir wissen, dass diese Art von Geräten immer eingeschaltet bleibt. Was anschließend mit diesen Daten geschieht, wird zu einer echten Frage.  
 

Was haben die Hersteller selbst davon, Sicherheit in ihre Geräte einzubauen?

Boris Cipot: Der Dreh- und Angelpunkt ist der Markenwert. Wenn ein Unternehmen unwillentlich in die Schlagzeilen gerät, tut das weder den Aktionären gut, noch fördert es die weitere Geschäftsentwicklung. Man kann kaum genug PR betreiben, um die Folgen einer schwerwiegenden Datenschutzverletzung auszubügeln. Ist ein Unternehmen der einzige Anbieter für einen bestimmten Gerätetyp, mag er vielleicht in einer besseren Position sein. Aber wir leben in einer Wettbewerbslandschaft. Das gilt auch für die IoT-Gerätetechnologie. Meine Empfehlung ist, im Voraus in Cybersicherheit zu investieren. Hersteller sollten in Bedrohungsmodelle investieren und sich über die Risiken klar werden, die mit einer Software bei ihrer Erstellung verbunden sind. Dazu muss man den Lebenszyklus dieser Software verstehen. Die Messlatte liegt hoch, denn Konsumenten erwarten, dass die Software dieser Geräte auf nahezu magische Weise perfekt ist. Aus praktischen Gründen sollte die User Experience so nahtlos und sicher wie irgend möglich sein. Gibt es keine Probleme bei der Bedienung oder Service-Unterbrechungen, dann hat der Hersteller an dieser Stelle einen guten Job gemacht. Darüber hinaus muss man sich als Hersteller die komplette Lieferkette der zu erstellenden Software ansehen. Nur dann kann man gewährleisten, dass es keine Sicherheitslücken gibt.  
 

Welche Bedrohungsursachen sind für IoT-Geräte besonders schwerwiegend?

Boris Cipot: An erster Stelle steht die Lebensdauer. Viele vernetzte Geräte haben eine wirklich lange Lebensdauer. Als nächstes folgen Überlegungen zur Softwaresicherheit. Software steht im Unternehmen selbst möglicherweise nicht im Vordergrund oder hat keine Priorität. Es liegt in der Natur der Sache, dass bestimmte Unternehmen gewöhnt sind, Dinge nach Hardware-Manier zu erledigen. Softwaresicherheit gehört vermutlich nicht zu den Kernkompetenzen. Drittens muss man die Arten von Bedrohungen verstehen, die mit einem bestimmten Gerät verbunden sind. All das trägt dazu bei, die Funktionsweise von Bedrohungsmodellen besser zu verstehen und auch die tatsächlichen Auswirkungen dessen, wie ein böswilliger Akteur denkt. Ein Verständnis von Bedrohungen und Konzepten dieser Art kann man erlernen. Das bedeutet aber gleichzeitig, dass Anbieter von IoT-Geräten im Voraus in das Design ihrer Systeme investieren und die vorhandenen Risiken kennen sollten.  
 

Hersteller tragen zweifellos die Verantwortung für die Sicherheit der von ihnen entwickelten Geräte. Aber wie sieht es mit den Behörden aus? Sollten die einschreiten? 

Boris Cipot: Behörden bewegen sich in ihrem ganz eigenen Tempo. Das entspricht nicht unbedingt dem Tempo in der Welt der Technik, insbesondere was den Software-Lebenszyklus anbelangt. Milde ausgedrückt. Was die Softwareentwicklung anbelangt, werden in einem modernen, agilen Team möglicherweise täglich neue Funktionen ausgearbeitet. Das ist meines Wissens nach in keinem Land eine angemessene Geschwindigkeit, wenn man Behörden beteiligen will. Was eine Behörde allerdings tun sollte, ist, eine Reihe von Standards für akzeptable Schutzmaßnahmen festzulegen, ohne dabei übertriebene Vorschriften zu machen.  
 

Wie lässt sich die Sicherheit von IoT-Geräten mit dem hohen Druck hinsichtlich einer schnellen Markteinführung ausbalancieren? Was können Hersteller tun?  

Boris Cipot: Hersteller von IoT-Geräten müssen die Bedrohungsarten verstehen, die von Software ausgehen, und nicht nur, wie Lieferketten für die Hardwareherstellung am besten funktionieren.  

In einer Software-Welt gibt es Dinge wie den Lebenszyklus eines Gerätes, der viel länger ist als der übliche Lebenszyklus einer Software. Sie werden kaum zehn Jahre lang ein Entwicklungsteam beschäftigen, das stetig alle Attribute einer bestimmten Codebasis kennt. Außerdem gibt es keine Garantie, dass die Benutzer in der Lage sind, die Geräte so upzugraden, wie es wünschenswert wäre (Mobiltelefone sind in dieser Hinsicht eine der wenigen Ausnahmen).  

In einer Unternehmensumgebung gibt es fast immer jemanden, der sich mit Cybersicherheit auskennt.  Demgegenüber ist der durchschnittliche Privatanwender nicht unbedingt mit den Sicherheitsauswirkungen eines Thermostats mit Internetanschluss vertraut. Die Temperatur im Haus über das Handy zu steuern, ist eine praktische Funktion. Die potenziell damit verbundenen Sicherheitsbedrohungen, sind dem Nutzer aber wahrscheinlich weniger präsent oder interessieren ihn schlicht nicht. Man sollte von den Endverbrauchern nicht erwarten, dass sie Sicherheitsgurus sind. Es liegt an den Herstellern, sicherzustellen, dass die von ihnen produzierte Software funktionstüchtig ist, und zwar über die gesamte Lebensdauer des Geräts. Wenn der Hersteller Fehler macht, sind die Endbenutzer vielleicht am stärksten betroffen. 

Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyber Security
Nov 04, 2020

Unternehmen müssen in IT-Sicherheit im Home-Office investieren

Seit Beginn der Covid-19 Pandemie im März 2020 haben viele Unternehmen in Deutschland die…
Datensicherheit
Nov 02, 2020

Fast die Hälfte der Verbraucher weltweit rechnet mit Datenmissbrauch

Laut einer aktuellen Studie von OpSec Security geht fast die Hälfte (48 Prozent) der…
Emotet
Okt 31, 2020

Emotet gefährdet Netzwerke weltweit

Die Security-Community beschäftigt sich seit 2014 mit der wandelbaren Ransomware. Das BSI…

Weitere Artikel

Cloud Security

Securepoint bietet Backup-Lösung in der deutschen Cloud

Der IT-Sicherheitshersteller Securepoint hat zum 01. Dezember 2020 den Start einer cloudbasierten Datensicherung angekündigt, die von Systemhäusern einfach in ihre Services integriert werden kann.
Cybersecurity

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind.
Cybersecurity

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur…
Cyber Security

Richtiger Umgang mit einem IT-Sicherheitsvorfall

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!