Mit ELVIS zu mehr Kompetenz bei IoT-Sicherheit

Die Verbreitung vernetzter Geräte und Sensoren, die man allgemein als "Internet der Dinge" (Internet of Things, IoT) kategorisiert, steigt rasant. Seit ihrem Aufkommen gibt es Diskussionen um ihre Sicherheit. Das Verständnis dafür, wie man IoT-Geräte vor unbefugten Zugriffen schützt, hinkt der Verbreitung oft hinterher. Die FH Campus Wien will hier mit ELVIS gegensteuern.

IoT-Sicherheit muss noch besser werden

ELVIS steht für Embedded Lab Vienna for IoT and Security. Das Lab ist ein Zentrum für ausführliche Beratung zum Thema und bietet Equipment für Experimente und Sicherheitsanalysen mit IoT-Geräten. "Generell verbessert sich die Sicherheitslage bei IoT, aber es gibt noch Handlungsbedarf. Viele Geräte werden etwa nach wie vor mit einfach zu knackenden Standardpasswörtern ausgeliefert", erklärt Silvia Schmidt, die Leiterin von ELVIS und Lehrende im Masterstudiengang IT-Security.

Zu den größten Herausforderungen, die laut der Cybersecurity-Expertin immer noch im IoT-Bereich existieren, zählt der Umgang mit der Privatsphäre von Nutzern: "Vom Fitnessarmband bis zu medizinischen Produkten ist alles vernetzt über das Internet. Nun war das Internet per se anfänglich nicht sicher, das hat sich erst entwickelt. Bei den ersten WhatsApp-Versionen konnte man noch Nachrichten im Klartext mitlesen, wenn man sich im selben Netzwerk befand. Heute geht das natürlich nicht mehr. Bei IoT-Geräten verhält es sich ähnlich."

Bewusstsein für Privatsphäreneingriff

Vielen Menschen, die IoT-Geräte nutzen, sei nicht bewusst, was technisch notwendig sei, damit diese funktionieren. "Alexa oder ein Smart TV hören laufend mit, was im Raum gesprochen wird. Das müssen sie ja, wenn sie sprachgesteuert sind. Und diese Sprachaufnahmen müssen zur Analyse irgendwohin geschickt werden - meist zu externen Servern. Das wichtigste für uns ist, dass wir dafür in der breiten Öffentlichkeit ein Bewusstsein schaffen."

Geräte, die den privaten Bereich von Menschen überwachen, etwa Kameras, sind besonders attraktiv als Ziele von Cyberangriffen. Aber auch scheinbar harmlose Geräte können ins Visier geraten, etwa smarte Glühbirnen, über die man in ein Heimnetzwerk eindringen kann. "Je kleiner das Gerät, desto eher gibt es eingeschränkte Ressourcen. Bei der Sicherheit wird dann oft am ehesten eingespart", meint Schmidt. Am gefährlichsten werde es dann, wenn die Gesundheit von Menschen bedroht wird, etwa durch Sicherheitslücken in Autos oder Herzschrittmachern.

Aufwendiges Finden von Schwachstellen

Bei Fachkräften für IoT-Sicherheit herrscht unterdessen ein Mangel. Der Bereich habe sich laut Schmidt erst in den letzten Jahren so richtig entwickelt. ELVIS soll nun dazu beitragen, Menschen für IoT-Sicherheit zu interessieren. Der Fokus des Labors liege auf "Pen-Testing", also dem Ausprobieren von Wegen, um in ein System einzudringen (Penetration) und die Kontrolle zu übernehmen. "Wir sehen uns alle möglichen Geräte an, egal ob Router, Smartphones oder Thermostate."

So einfach, wie man sich das "Hacken" oft vorstellt, sei die Aufgabe aber nicht. "Es läuft nicht so, wie man es im Fernsehen sieht: Ein bisschen herumtippen und dann ist es erledigt. Man hat viel mit Frustration zu tun, bis man eine Schwachstelle findet." Die Aufgabe bringt es mit sich, dass sich laut Schmidt oft ein "gewisser Menschenschlag" dafür interessiere. ELVIS versucht aber intensiv, sich an ein diverses Publikum zu richten und z.B. mehr Frauen für die Materie zu begeistern.

Umfangreiches Wiki

ELVIS wurde 2017 im Rahmen eines von der Stadt Wien - MA 23 geförderten Forschungsprojekts ins Leben gerufen. 2020 wurde dieses abgeschlossen, ELVIS gibt es aber weiterhin. Schmidt: "Ganz fertig wird es nie sein." Beim Aufbau des Labors mitgeholfen hat die mittlerweile nicht mehr existierende Cybersecurity-Firma Cognosec. Momentan ist das Labor in mehreren Technik-Studiengängen an der FH Campus Wien inkludiert. Der Zugang ist interdisziplinär, ELVIS wird u.a. auch von Bioinformatiker*innen verwendet.

Besonders stolz ist ELVIS-Leiterin Schmidt auf ein eigenes Wiki, das über die Labor-Webseite offen zugänglich ist. Die Artikelsammlung darin sei mittlerweile sehr umfangreich. "Studierende haben darin ihre Arbeiten dokumentiert und Tutorials erstellt", sagt Schmidt. Diese werden auch in Fachkreisen wahrgenommen. "Es gibt da etwa einen Hersteller für ein Testgerät für NFC- und RFID-Chips. Der hat all unsere Seiten verlinkt, weil er der Meinung ist, dass das die besten Tutorials sind. Das hat uns sehr gefreut."

Mehr IoT-Wissen für alle

Das Wissen über IoT-Sicherheit soll aber auch weniger versiertem Publikum zugänglich gemacht werden. "Wir machen z.B. Workshops in Schulen und Workshops speziell für Mädchen - um ihnen die Möglichkeit zu geben, sich ohne Hemmungen über unsere Arbeit zu informieren. Dadurch, dass wir im Führungsteam 2 Frauen sind, hoffen wir auch, Rollenmodelle für junge Frauen zu sein."

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Campus Wien entstanden.