Internet der Dinge: "Es muss Sicherheits-Hygienemaßnahmen geben"

futurezone: Das Internet of Things (IoT) wird unter Sicherheitsexperten auch Internet of Targets (Internet der Ziele) genannt. Viele Geräte gelten als unsicher. Warum ist das so?
Harald Leitenmüller: Dafür gibt es viele Gründe. Hauptgrund ist der Kostendruck. Viele Geräte sind relativ billig und werden in Masse verteilt. Dass Geräte, die im Netz hängen, auch upgedatet werden müssen, wird nicht bedacht. Bei Zehn-Euro-Geräten hat man nicht viel Spielraum für Sicherheitsmaßnahmen.

Wie kann die Sicherheit verbessert werden?
Microsoft hat sich damit sehr intensiv beschäftigt. Wir haben vor kurzem ein Papier (PDF) veröffentlicht, in dem Eigenschaften definiert werden, die ein vernetztes Gerät haben sollte, damit man von Sicherheit sprechen kann. Dazu zählt etwa eine eindeutige Identität des Gerätes, das Speichern privater Schlüssel in einem abgeschirmten Bereich, mehrere voneinander unabhängige Sicherheitsstufen, zertifikat-basierte Authentifizierung, Update-Möglichkeiten und Fehlerberichte an den Hersteller. Das erhöht zwar den Preis, wenn man es sauber macht, es ist aber durchaus möglich, auch auf diese Art CPUs für zehn Dollar zu produzieren. 

Ransomware-Attacken auf IoT-Anwendungen haben wir bereits gesehen, etwa auf elektronische Schlüsselsysteme von Hotels. Wird es in Zukunft öfter vorkommen, dass vernetzte Produktionssysteme oder Smart Home-Anwendungen in Geiselhaft genommen werden?
Das Bedrohungsszenario existiert. Man muss sich überlegen, was die Voraussetzungen sind, dass das Risiko schlagend wird. Es gibt den Irrglauben, dass Sicherheit nichts kosten darf. Sicherheit bedarf aber Investitionen. Wenn man an der falschen Stelle spart, darf man sich nicht erwarten, dass man sichere Systeme hat. Es braucht auch Kompetenz. Man muss verstehen, welche Maßnahmen man ergreift, um Sicherheit zu gewährleisten. Das gilt nicht nur für den Hersteller, sondern auch für den Anwender. Man kann das mit Hygienemaßnahmen vergleichen. Wir haben gelernt, dass man sich die Hände wäscht oder die Zähne putzt. Das sind Routinemaßnahmen, die man setzt, damit man im gesundheitlichen Sinn sicher ist. Mit der Informationstechnologie ist es ähnlich. Es muss gewisse Sicherheits-Hygienemaßnahmen geben. Das ist auch ein Bildungsthema. Immunität entsteht, wenn die Gesellschaft gelernt hat, mit diesen Gefahren umzugehen.

Sind österreichische Unternehmen ausreichend auf Sicherheitsvorfälle vorbereitet?
In Summe ist Österreich eine relativ sichere Umgebung. Was Grundwissen und Know-how angeht, rangieren wir unter den Top-Ländern. Das beruht auch auf der guten Infrastruktur. Die CERTs leisten gute Arbeit. Auf der anderen Seite ist Österreich ein begehrtes Angriffsziel. Wir haben hochwertige Industriebetriebe und wertvolle Unternehmen. Es ist auch wichtig, dass die Sicherheit global besser wird, sonst haben wir von der lokalen Reife gar nichts, weil Angriffe auf globaler Basis passieren. 

Durch die komplexe Vernetzung steigt auch die Verwundbarkeit von Systemen. Werden die Folgen ausreichend bedacht?
Ich glaube nicht, dass es prinzipiell unsicherer wird. Je mehr bestimmte Technologien im Einsatz sind, desto lohnender wird das Ziel und umso interessanter wird der Missbrauch. Es müssen sich auch die Prinzipien der Verteidigung ändern. Man kann einzelne Geräte nicht hundertprozentig sicher machen. Mit modernen Methoden, wie etwa Advanced Threat Analytics, kann man die Geräte beobachten und Abweichungen erkennen. Diese Verfahren sind relativ mächtig. Sie setzen aber auch voraus, dass die Geräte über Kommunikationsmöglichkeiten verfügen und update-fähig sind. Dann kann man Maßnahmen ergreifen.

Braucht es strengere gesetzliche Regelungen um Mindeststandards für die Sicherheit zu gewährleisten?
Standards sind die Basis. Man kann Rahmenbedingungen schaffen, die das regeln. Die NIS-Richtlinie (Anm.: EU-Richtlinie für Netzwerk- und Informationssicherheit, die in Österreich noch umgesetzt werden muss) legt etwa für kritische Infrastrukturen gewisse Kriterien und Verfahren fest. 

Sollten solche Regeln auch für Bereiche außerhalb der kritischen Infrastruktur geschaffen werden?
Es gibt Anwendungsbereiche, die spannend wären. Etwa wenn es um den Schutz personenbezogener Daten geht. Man sollte sich Anwendungsfälle überlegen, etwa für den Einsatz künstlicher Intelligenz. Überregulierung halte ich aber nicht für sinnvoll, weil sie die Innovationsfähigkeit hemmt. Ich würde einen Verhaltenskodex bevorzugen. Wir sollten definieren, was gut ist, was vermieden und was eingeschränkt werden soll. Im Umfeld der künstlichen Intelligenz wird das eine große Rolle spielen.

Das ist die nächste große Diskussion?
Beim Internet der Dinge werden Unmengen an Daten erzeugt. Was in der Diskussion untergeht, ist die Verarbeitung dieser Daten. Über Big Data und künstliche Intelligenz und maschinelles Lernen wird wenig diskutiert. Das ist der nächste große Schauplatz. Wir sollten bald darüber nachdenken, wie wir damit umgehen und welche Regeln wir dafür wollen.

Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.