Internet der Dinge: Vom Plüschtier-Hack zum Blackout

Das Internet der Dinge bietet eine Vielzahl von Angriffsmöglichkeiten. Was praktisch möglich ist, demonstrierten am Mittwoch beim IoT-Fachkongress von Austrian Standards in Wien Dieter Vymazal und Markus Zeilinger von der FH Oberösterreich. Über eine Schwachstelle in einem WLAN-Router übernahmen die beiden Sicherheitsexperten zuerst ein Heimnetzwerk und dann reihum vernetzte Geräte, von einer intelligenten Waage über ein Babyfon bis hin zu einem vernetzten Kuscheltier und einer smarten Steckdose.

Sie konnten sich in einen Live-Stream einklinken, eine Glühbirne ein- und ausschalten und zum Blinken bringen, einen Wasserkocher in Betrieb setzen und die dem Kuscheltier Igor wohl vertraulich anvertraute Nachricht "Hallo Oma, wie geht es dir?" abhören. "Wir hätten sie auch verändern können", sagten Vymazal und Zeilinger.

Eklatante Mängel

Bei den Geräten, die allesamt über einen großen Online-Einzelhändler erworben und so verwendet wurden, wie es wohl auch Standard-Nutzer tun würden, stellten die beiden Sicherheitsexperten eklatante Mängel fest. Aufgezählt wurden unter anderem mangelhafte oder fehlende Identitätsüberprüfung, fehlende Verschlüsselung, hart codierte Zugangsdaten und schlechte Passwörter.

Die Frage, ob man feststellen könne, ob man angegriffen wurde, verneinten Vymazal und Zeilinger. Man könne sich aber überlegen, ob man solche Geräte wirklich brauche. Denn schon ein einzelnes verwundbares Gerät reiche aus, um ein Netzwerk zu kompromittieren, gaben die Sicherheitsforscher zu bedenken: "Je weniger man hat, desto sicherer."

Verwundbarkeit von Systemen steigt

"Durch chaotische Vernetzung steigt die Komplexität und die Verwundbarkeit von Systemen und der Gesellschaft", sagte zuvor Herbert Saurugg, Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen. Was im Heimnetzwerk zu ferngesteuerten Glühbirnen oder abgehörten Kuscheltieren führen könnte, kann im Großen Blackouts und umfangreiche Ausfälle der Infrastruktur zur Folge haben. Solche Ereignisse seien jederzeit möglich, warnte Saurugg. Darauf vorbereitet sei man in Österreich aber nicht.

Mittlerweile seien weltweit Millionen von IoT-Geräten im Umlauf, um deren Sicherheit es nicht gut bestellt sei. Isoliert betrachtet wäre das nicht so schlimm. Weil die Dinge aber vernetzt seien, könnten sie enorme Wirkungen erzielen, sagte Saurugg. Das habe nicht zuletzt der Angriff auf den Internetdienstleister Dyn im vergangenen Jahr gezeigt, bei dem vernetzte Kühlschränke, Haushaltsgeräte und Webcams Teile des Internets kurzzeitig lahmlegten. "Das kann Kettenreaktionen auslösen, da geht es ans Eingemachte."

Ganzheitlicher Ansatz

Verbesserungen müssten bereits beim Systemdesign ansetzen, forderte der Sicherheitsexperte. Für das Internet der Dinge brauche es einen ganzheitlichen Ansatz: "Man muss es als Gesamtsystem ansehen und die Folgewirkungen der Vernetzung bedenken."

In Österreich habe man in den vergangenen Jahren Prozesse aufgebaut, um Strukturen für kritische Infrastrukturen aufzubauen, sagte Roland Ledinger Bereichsleiter für IKT für die Strategie des Bundes und Geschäftsführer der Plattform Digitales Österreich. Mit der NIS-Richtlinie, mit der gemeinsame Sicherheitsniveaus von Netz- und Informationssystemen in der EU geschaffen werden sollen, und dem darauf aufbauenden Cybersicherheitsgesetz (Anm.: das in Österreich noch verabschiedet werden muss) würden Minimalstandards vorgegeben. "Es geht in Richtung Standards setzen und auch in Richtung Zertifizierung."

Standardisierung

Was das Internet der Dinge betreffe, so bestehe in Europa der Wunsch nach Haftung für Sicherheitslücken. "Wir brauchen eine sichere Lieferantenkette und klar geregelte Haftungsübergänge", sagte Ledinger: "Standardisierung ist ein Lösungsansatz, um die Komplexität in den Griff zu bekommen."

Konkret bedeute dies, dass man etwa durch Standardisierung festlegen müsse, dass eine vernetzte Steckdose nicht ohne Grundschutz entwickelt werde. "Wenn etwas passiert, ist der Lieferant für Schäden haftbar", sagte Ledinger. Asiatische Hersteller würden den Markt mit IoT-Geräten überschwemmen. Eine strengere Zertifizierung sei auch eine Chance für den europäischen Markt.

Anwendungen

IoT-Technologie würde auch in der Verwaltung viele Möglichkeiten eröffnen, sagte Ledinger. Ein intelligentes Parkpickerl würde die Parkraumbewirtschaftung erleichtern. "Wir würden uns die Kontrolle ersparen, Autos würden sich das selbst ausmachen." Vernetzte Fahrzeuge könnten etwa auch ihre Diagnose für die Pickerl-Überprüfung (Anm.: §57-Begutachtung") selbst erstellen. Die Fahrbereitschaft von Autos könnte auf diese Weise immer festgestellt werden, sagte Ledinger: "Es gibt viele Anwendungsfälle, wo das Internet der Dinge zur Vereinfachung der Verwaltung beitragen kann."

Das Internet der Dinge ermögliche es mittelständischen österreichischen Unternehmen, die vergleichsweise hohe Produktionskosten haben, konkurrenzfähig zu bleiben, sagte zuvor Manuel Huick vom Hygiene-Produkthersteller Hagleitner. Die Salzburger Firma hat etwa die Allianz Stadion des Wiener Fußballvereins Rapid mit Hunderten von vernetzten Papierhandtuch- und Seifenspendern ausgestattet. Die übermitteln per Funk ihre Füllstände und können gezielt nachgefüllt werden. Bis zu 20 Sensoren sind in den Papierhandtuchspendern verbaut. Hagleitner nutzt die Daten nicht nur um Logistik- und Produktionsprozesse zu straffen, sondern auch für individuelle Berichte an Kunden. "Wir haben dadurch die Möglichkeit, mit Service zu punkten", sagte Huick.

"Security by design"

Um Vertrauen, Sicherheit und Ausfallssicherheit zu schaffen, brauche es Standards, sagte Karl Grün vom Austrian Standards Institute. Die Frage sei, welche Standards man anwende und wie es mit den Patenten aussehe. Treiber für solche Standards seien häufig neue Geschäftsmodelle, sagte Hermann Brand vom IEEE (Institute of Electrical and Electronics Engineers).

Gerade im Sicherheitsbereich müsse Vertrauen geschaffen werden, meinte Thomas Herndl von Infineon Technologies. Einen Zwei-Euro-Temperatursensor im Privatbereich mit autonom fahrenden Autos unter einen Hut zu bringen, werde aber nicht schaffbar sein.

Es sei wichtig bereits bei der Entwicklung auf "Security by design" und "Security by default" zu achten, meinte Werner Illsinger von der Digital Society. Dadurch entstehe aber auch ein Kostendruck auf Hersteller. Wichtig sei deshalb ein ebenes Spielfeld, damit alle unter gleichen Voraussetzungen arbeiten und anbieten könnten.

Demokratiepolitische Frage

Das Internet der Dinge biete viel Potenzial unser Leben und unsere Produktionsprozesse zu verbessern, sagte Digitalstaatssekretärin Muna Duzdar in ihrer Eröffnungsadresse zu der Konferenz. Spielregeln für die neue digitale Welt müssten in vielen Bereichen erst definiert werden. Ein Teil dieser Regeln seien Standards und in deren Entwicklung müssten alle Betroffenen ausreichend eingebunden werden, meint Duzdar: "Wie und von wem solche Regeln definiert werden, ist eine wesentliche demokratiepolitische Frage."

Man müsse sich auch überlegen, was man mit den neuen technischen Möglichkeiten machen will, meinte Wolfgang Ponweiser vom AIT (Austrian Institute of Technology). Dazu sei es wichtig, die Wirkungen zu analysieren, führte Ponweiser am Beispiel automatisierter Fahrzeuge aus. Es heiße zwar allgemein, dass autonomes Fahren die Lösung sei: "Aber was ist das Problem?" In Österreich fange man gerade erst an, zu überlegen, wo man mit der Technologie eigentlich hin wolle, sagte der AIT-Forscher: "Es ist ein kleines Pflänzchen. Eine Strategie sehe ich noch nicht."

Disclaimer: Die futurezone ist Medienpartner des iOT-Fachkongresses.