Mit IoT wurde ein globaler Computer gebaut – aber wie behält man ihn im Griff?

«Click Here to Kill Everyone!» Unter diesem Titel ist das neuste Buch des weltweit anerkannten Sicherheitsexperten Bruce Schneider erschienen. Was es damit auf sich hat, erläuterte er kürzlich am InfoGuard Talk im Theater Casino in Zug. Dabei folgten über 230 Gäste den spannenden Ausführungen von Bruce Schneier über die Herausforderungen der Cyber Security in den nächsten Jahren. Haben Sie den Event verpasst? Kein Problem! In diesem Artikel fassen wir für Sie die interessantesten Aussagen zusammen.

In der zunehmend vernetzten und digitalisierten Welt ist es entscheidend, Cyberattacken schnell zu erkennen und umgehend darauf zu reagieren. Dies zeigten wir anlässlich des InfoGuard Talk-Events im Casino Zug auf. Unbestrittener Höhepunkt war dabei der Auftritt des weltweit anerkannten Experten für Computersicherheit und Kryptographie Bruce Schneier. Er beleuchtete in seinem spannenden Vortrag die Herausforderungen der Cyber Security von heute und morgen. Dabei unterstrich Schneier, dass Sicherheit bekanntlich immer ein Wettrüsten zwischen Angreifer und Verteidiger ist, welche durch die Technologie beeinflusst wird und so das Gleichgewicht verändert – zu Gunsten oder leider eher zu Ungunsten der Verteidiger.

IoT ist ein globaler (unsicherer) Computer

Mit dem Internet der Dinge wurde der weltweit grösste Computer gebaut. War das Telefon vor vielen Jahren – Sie mögen sich vielleicht noch an die schwarzen PTT-Apparate mit dem Spiralkabel an der Wand erinnern – ausschliesslich zum Telefonieren da, so sind heutige Smartphones leistungsfähige Computer, mit welchen man auch telefonieren kann. Aber dies ist ja bekanntlich längst nicht mehr die primäre Aufgabe von Smartphones! Aus «Things» wurden im Laufe der Jahre «Things» mit einem eingebetteten Computer. Und heutzutage ist es ein Computer für viele «Things». 

Weshalb das Internet of Things so unsicher ist

Die Frage ist nun: Wie kann man diese globalen Computer kontrollieren? Um das zu verstehen muss man wissen, weshalb dieser überhaupt unsicher ist. Bruce Schneier nannte dabei sechs massgebliche Gründe:

1. Das Internet wurde nicht gebaut für Security: Als man das Internet entwickelte, wurde nur die Sicherheit in Bezug auf physische Angriffe auf das Netzwerk berücksichtigt. Die fehlertolerante Architektur kann man mit ausgefallenen oder defekten Servern und Verbindungen umgehen, aber nicht mit systematischen Angriffen auf die zugrundeliegenden Protokolle. Grundlegende Internet-Protokolle wurden ohne jegliche Sicherheitsgedanken entwickelt. Viele davon sind selbst heute noch unsicher.
   
   
2. Alles über das Internet miteinander zu verbinden, schafft neue Schwachstellen: Je mehr wir die Dinge miteinander vernetzen, desto mehr werden sich Schwachstellen eines Gerätes auf andere auswirken. Und: Schwachstellen sind überall und vor allem nur schwer zu beheben, da kein einziges System tatsächlich schuld ist. Es handelt sich um das unsichere Zusammenspiel von zwei einzeln gesicherten Systemen.
   
   
3. Komplexe Systeme lassen sich schwierig absichern: Hacker haben heutzutage einige Vorteile gegenüber Verteidigern. Einer der Hauptgründe liegt in der Komplexität der Systeme. Weshalb? Weil mehr Personen, Parteien, Fehler in der Entwicklung, Interaktionen, Abstraktionslayer usw. involviert sind und es im Code viele Möglichkeiten gibt, Schwachstellen zu verstecken.
   
   
4. Softwares sind schlecht geschrieben und unsicher: Wenn die Komplexität nicht ausreicht, verschärfen wir das Problem, indem wir schlechte Software produzieren. Gut geschriebene Software ist sowohl teuer als auch zeitaufwendig in der Herstellung. Und wer will das schon? In den meisten Fällen reicht «schlecht» geschriebene Software aus. Lieber leben wir mit einer günstigen, fehlerhaften Software, als den enorm hohen Preis für gute Software zu zahlen. Trotzdem ist das der falsche Ansatz, wenn man Security ernst nimmt. 
   
   
5. Eine Cyberattacke zu starten, ist einfacher als die Verteidigung: Weshalb das so ist, hat mehrere Gründe. Der wichtigste ist jedoch die Komplexität der Systeme. Mehr Komplexität bedeutet mehr Beteiligte, mehr Systemkomponenten, mehr Interaktionen, mehr Fehler im Design- und Entwicklungsprozess und und und… Kurz gesagt: Mehr von allem, in dem versteckte Schwachstellen lauern. Ein komplexes System bedeutet eine grosse Angriffsfläche. Der Verteidiger muss die gesamte Angriffsfläche sichern. Der Angreifer muss nur eine Schwachstelle finden – einen ungesicherten Angriffspfad – und kann entscheiden, wie und wann er angreifen will. Es ist kein fairer Kampf, aber leider die (Cyber-)Realität. 
   
   
6. Computer sind vielfältig einsetzbar: Da gefühlt alles um uns herum zu einem Computer wird, gilt diese Eigenschaft der Erweiterbarkeit auch für fast alles. Jedes Device kann so programmiert oder eben manipuliert werden, wie man es möchte. Dies haben Hacker bewiesen, als sie einen Printer, einen Thermostaten und eine Digitalkamera dazu gebracht haben, das Computergame Doom zu spielen. Solche erweiterbaren Systeme sind extrem schwierig zu sichern, denn man kann in der Entwicklungsphase schlicht nicht alle Konfigurationen, Anwendungen und Abhängigkeiten durchdenken und absichern. Weiter lassen sich solche Systeme nicht genügend abschotten und sind so ausgelegt, dass sie mit neuen Funktionen (sprich Software) erweitert werden können, was dann wieder zu Punkt 3 führt.

Unsicherheit im IoT kann tragisch enden

Trotz all dieser ungünstigen Vorzeichen gilt es, die Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Viele Cyberattacken zielen auf ersteres ab. Es geht dabei um Datendiebstahl oder den Missbrauch von Daten. Natürlich zielen auch einige Attacken auf die Verfügbarkeit von Informationen oder Services ab wie Ransomware und DDoS-Attacken. Trotzdem ist für viele die Vertraulichkeit der Informationen oder die Privacy das entscheidende Sicherheitsziel. Aber Vertraulichkeit ist nicht alles – insbesondere nicht im IoT-Umfeld. Wenn ein Hacker die Kommunikation in Ihrem Auto abhört, ist dies zwar unschön. Wenn er aber einen der zahlreichen Steuerungscomputer im Auto manipuliert und es so zu einem tragischen oder gar tödlichen Unfall kommt, ist dies wohl für jeden von uns schlimmer.

Die drei grossen Sicherheitsherausforderungen von IoT

Sicherheit ist leider immer ein Kompromiss. Oftmals gilt «Sicherheit versus Komfort», oder aber «Sicherheit versus Funktionalität» oder «Sicherheit versus Leistung». Da wir Komfort, Funktionalität und Leistung oftmals der Sicherheit vorziehen, sind Computer unsicher. Und selbst wenn es nicht so wäre, ist es heutzutage so oder so extrem schwierig, Cyber Security effektiv umzusetzen, was auch Bruce in seinen eingangs aufgeführten Gründen genannt hat.

Im Zusammenhang mit IoT ergeben sich aber noch drei weitere kritische Punkte:

1. Fehlende Patching-Möglichkeiten: Merken Sie sich: Eine Software hat immer Fehler! Leider bieten viele Low-Cost-Lösungen gar nicht erst die Möglichkeit, Updates einzuspielen. Und das schlicht und einfach, weil die Kosten dafür zu hoch sind. Und so hat man bei Bekanntwerden einer Schwachstelle die Wahl: Damit leben, oder das Device wegwerfen und mit einem neuen Gerät ersetzen.
   
   
2. Authentisierung ist schwierig: Zu wissen, wer sich gerade im Internet befindet, ist schwierig. Zudem ist Authentisierung immer ein Kompromiss zwischen Sicherheit und Usability – kommt Ihnen das bekannt vor? Kennen Sie den Cartoon mit den zwei Hunden am Computer mit der Überschrift «On the Internet, no one knows you’re a dog»? Genau dieses Bild aus dem Jahr 1993* illustriert das Problem sehr gut.
   
   Durch IoT wurde dieses Problem nicht kleiner, im Gegenteil. Hierbei findet die Authentisierung dann auch nicht zwischen einer Person und einem Gerät (oder Service) statt, sondern zwischen zwei Geräten. Ersteres können wir bewusst steuern, zweiteres nicht. Als Nutzer haben Sie daher keinen Einfluss, mit welchen Geräten/Services sich Ihr Gerät verbindet.
   
   
3. Supply Chain Security: Seine komplette Supply Chain im Griff zu haben, ist eine enorme Herausforderung. Kein Unternehmen kann es sich heutzutage leisten, sämtliche Bestandteile inhouse zu entwickeln und zu produzieren. Es fehlen schlicht und einfach das Know-how und die Zeit, denn Time-to-Market ist (nicht nur bei IoT) extrem wichtig, um kompetitive Vorteile zu haben. Und so ist jedes Produkt immer ein Patchwork aus unterschiedlichen Hard- und Software-Komponenten von unterschiedlichen Lieferanten aus unterschiedlichen Ländern. Die Chance, dass in einem dieser Komponenten eine Schwachstelle verbaut ist, ist hoch. Daher ist es wenig erstaunlich, dass Bruce Schneier in etlichen Komponenten Schwachstellen oder gar Backdoors gefunden hat.

In seinem Buch führt Bruce mehrere Punkte auf, wie man das – wie er es nennt – Internet+ sicherer machen kann. Ein Punkt unterstrich er am InfoGuard Talk dabei besonders: Wenn es um die Sicherheit im Internet+ geht, spielt der Staat eine entscheidende Rolle. Es müssen zwingende Vorgaben gemacht werden und er ist überzeugt, dass sich in den nächsten Jahren einiges bewegen wird. Mit der GDPR hat die EU bereits einen ersten Schritt in die richtige Richtung gemacht. Vielfach gibt es jedoch auf politischer Ebene noch Nachholbedarf, was das Verständnis in Bezug auf Cyber Security angeht – und da sind auch wir als Sicherheitsexperten gefordert, dies zu ändern. Gefordert sind aber ebenso die Hersteller. Best Practices, die sich in anderen Bereichen bereits etabliert haben, müssen auch bei IoT-Geräten angewendet und umgesetzt werden – neu sind diese Herausforderungen nämlich nicht!

Verpassen Sie die nächste Gelegenheit auf keinen Fall

Die 230 Besucher des InfoGuard Talks in Zug waren begeistert und die Schlange beim anschliessenden Book-Signing entsprechend lang. Wir können Ihnen das neuste Buch von Bruce Schneier «Click Here To Kill Everybody» nur empfehlen! Einige Impressionen des Events finden Sie auch auf unserer Webseite.

Wenn Sie keinen Event von uns mehr verpassen wollen, dann melden Sie sich doch gleich für unseren Newsletter an! Dort informieren wir Sie nicht nur über unsere kommenden Events, sondern auch über die neusten Trends, Produkte und Insights zu Cyber Security und Cyber Defence.

*(Peter Steiner, "On the Internet, nobody knows you're a dog.", The New Yorker, 5. Juli 1993)
https://www.newyorker.com/magazine/1993/07/05
https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog