Das Internet der Dinge im Visier der US-Behörde FTC

In der IT-Sicherheitsbranche ist es schon lange kein Geheimnis mehr, dass Geräte aus der Kategorie „Internet der Dinge“ - dazu zählen etwa Router, IP-Kameras, Thermostate, smarte Glühbirnen, etc. - nicht zu den sichersten Geräten der Welt zählen und zahlreiche kritische Schwachstellen aufweisen. Bei manchen Herstellern ist es etwa möglich, dass Angreifer ohne ein Passwort auf den Netzwerkspeicher zugreifen können, bei anderen wird einfach ein Krypto-Schlüssel in einer Kamera-Firmware vergessen.

Kritische Lücken

Das ist insofern problematisch, als dass sich Geräte aus dieser Kategorie immer weiter verbreiten. Sie kommen immer häufiger in sogenannten „Smart Homes“ zum Einsatz und viele Konsumenten sind sich dieser Gefahr, die sie damit in ihre Haushalte bringen, gar nicht bewusst.

Eine Analyse der Wiener Sicherheitsfirma SEC Consult brachte etwa hervor, dass 96,8 Prozent von mehreren tausenden am Markt befindlichen Internet der Dinge-Produkte kritische Sicherheitslücken haben. „Bei knapp 40 Prozent der Devices waren das hart codierte Passwörter“, erzählte Markus Robin von SEC Consult. Damit lassen sich die Geräte von außen vollständig unter Kontrolle bringen und übernehmen.

FTC verklagt D-Link

In den USA wird nun zunehmend die Federal Trade Commission (FTC) aktiv. Die Behörde will einerseits die Bürger schützen, denn durch das Ausspähen von Kameras oder Nutzungsverhalten von Smart Home-Geräten ist die Privatsphäre jedes einzelnen gefährdet, andererseits sind ungesicherte Internet of Things-Geräte auch eine Gefahr für den Staat und die weltweite IT-Infrastruktur. So waren etwa für den Ausfall von Netfix oder Twitter im November 2016 gekaperte Internet der Dinge-Geräte verantwortlich.

Die Behörde FTC hat nun Anfang des Jahres D-Link, einen Hersteller von Routern und IP-Kameras, verklagt. Die Anschuldigung: D-Link würde seine Geräte nicht ausreichend absichern, obwohl der Hersteller genau dies in seiner Werbung verspricht. Damit sei die Privatsphäre der D-Link-Kunden gefährdet, so die Behörde in seiner Klagsschrift.

Klares Signal an Hersteller

Die FTC wirft D-Link vor, auf das Testen seiner Software im Hinblick auf IT-Security verzichtet zu haben und damit seine Geräte nicht ausreichend zu schützen. Laut der FTC seien viele Geräte von D-Link unsicher und können von Angreifern mit wenig Aufwand unter Kontrolle gebracht werden. Ähnliche Vorwürfe hat die US-Behörde auch schon gegenüber Asus und Trendnet, der Videokameras herstellt, vorgebracht.

„D-Link wird damit zum Aushängeschild für IT-Sicherheit gemacht. Es ist sehr wahrscheinlich, dass künftig weitere, ähnliche Aktionen folgen“, sagt Jeremy Goldman, ein auf IT-Recht spezialisierter Jurist der Frankfurter Anwaltskanzlei Kurnit Klein & Selz. „Die FTC sendet mit seiner Klage ein klares Signal an alle Hersteller von Internet der Dinge-Produkten und anderen vernetzten Geräten, dass sie ernsthaft darüber nachdenken müssen, wie sich technische Kontrollen und Sicherheit in ihre Produkte einbauen“, so Goldman.

Roadmap und Sicherheitslabel

„Innovation muss vernünftige Sicherheit im Design inkludieren, um die Privatsphäre der Konsumenten zu schützen. Dazu zählen keine Standardpasswörter“, sagt Goldman gegenüber Zdnet.

Erst Anfang November 2016 hatte der Chef der Federal Trade Commission (FTC) eine „Roadmap“ für Internet der Dinge-Sicherheit vorgestellt. Darin spricht er sich dafür aus, dass Hersteller von Internet der Dinge-Geräten ihre Produkte mit einem Sicherheitslabel versehen und ausliefern sollten. Das sind allerdings derzeit nur Empfehlungen. Goldman glaubt nicht, dass es in den USA im Hinblick auf die Sicherheit beim Internet der Dinge neue Gesetze geben wird. „Aber die FTC wird ihre Kompetenzen hier sicherlich so gut es geht, weiterhin ausreizen“, so Goldman.

IT-Experten, darunter auch Markus Robin von SEC Consult aus Österreich, fordern seit längerem „mehr Regularien“ und Mindeststandards“ fürs Internet der Dinge. Durch die FTC-Klage von D-Link kommt zumindest einmal etwas Bewegung in die Angelegenheit.