IoT: Für Ihre Sicherheit müssen Sie schon selbst sorgen!

Von Yasmin Billeter und Armand Portmann

Auch im Internet der Dinge klaffen Sicherheitslücken: Warum das wichtig ist und wie Sie sich schützen, erklärt Cyber-Security-Experte Armand Portmann.

Wenn der Kühlschrank mit dem Fitnesstracker spricht und das Smartphone die Lichtanlage steuert, ist es voll da: das Internet der Dinge (IoT). IoT-Geräte sind selbstverständlich und vereinfachen den Alltag. Sie bergen aber auch Gefahren. Wie zum «klassischen» Internet gehört auch zum IoT eine unvorstellbar grosse Anzahl an Geräten. «Diese Zahl wird weiter wachsen und mit ihr werden auch die Cyberattacken zunehmen», sagt Cyber-Security-Spezialist Armand Portmann. Er ist Mitverfasser einer Studie zum Thema «Sicherheitsstandards im IoT». Die Resultate daraus wurden für einen Bericht des Bundesrats verwendet. Der Bericht zeigt, dass trotz vieler Best Practices und Leitfäden verbindliche Sicherheits-Richtlinien für das IoT fehlen. Die Verantwortung zum Eigenschutz liegt, wie auch bei der klassischen IT, bei den Unternehmen und Privatanwendenden.

Herr Portmann, was macht IoT-Geräte so unsicher?

Armand Portmann: Alleine die riesige Zahl von IoT-Geräten ist problematisch. Ein Software-Fehler taucht in tausenden von Geräten auf. Dies wird von Angreifern gerne ausgenützt.

Die Schwächen von IoT-Geräten sind aus der klassischen IT-Welt bekannt.

Die Schwächen von IoT-Geräten sind aus der klassischen IT-Welt bekannt: Die Software ist nicht sauber programmiert, wird nicht aktualisiert oder kann gar nicht aktualisiert werden. Ein Klassiker sind auch von den Herstellern vorgegebene Passwörter, die von den Benutzenden nicht abgeändert werden.

Vor welchen Cyberangriffen müssen sich Besitzerinnen und Besitzer von IoT-Geräten wappnen?

Möglich sind z.B. Zugriffe auf Kameras und Mikrofone, um in die Privatsphäre einzudringen. Grössere Wellen haben in den vergangenen Jahren aber Angriffe geworfen, bei denen IoT-Geräte nur das Mittel zum Zweck waren, um Services im Internet zu stören oder ganz lahm zu legen. Auch im industriellen Umfeld werden IoT-Devices angegriffen: Dort wird versucht, Messwerte oder Stellwerte zu manipulieren. Dadurch werden die gesteuerten Prozesse gestört, woraus den Anlagebetreibern grosse Schäden entstehen können.

Wie kann ich mich schützen?

1. Kaufen Sie qualitativ hochwertige Produkte. Das heisst: ohne gravierende Sicherheitsmängel, mit guten Voreinstellungen und mit Update-Möglichkeit. Testberichte können hierbei eine Hilfestellung bieten. Es könnte sich auch lohnen, nicht einfach das billigste Produkt zu kaufen.

2. Stellen Sie sicher, dass Ihr Produkt regelmässig aktualisiert wird.

3. Ändern Sie das vom Hersteller vorgegebene Passwort des Geräts. Es sollte mindestens zehn Zeichen lang sein mit Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen; Wörter und Namen sollten vermieden werden.

Warum steht es um die Sicherheit von IoT-Geräten so schlecht?

Die Produkte sind für viele Menschen attraktiv und sie schaffen sie an, ohne sich dabei um die Sicherheit zu kümmern. Sicherheit war zumindest in der Vergangenheit kein Kaufargument.

Im Entwicklungsprozess der Hersteller spielt die Sicherheit oft nur eine untergeordnete Rolle.

Auch im Entwicklungsprozess der Hersteller spielt die Sicherheit oft nur eine untergeordnete Rolle. Aus Kostengründen wird zu häufig bei der Software gespart.

Wo steht die Schweiz punkto Sicherheit bei IoT-Geräten?

IoT-Geräte werden weltweit und in grossen Mengen verkauft. Ein Teil davon landet auch in der Schweiz in den Läden, natürlich mit den gleichen Schwächen wie überall sonst auch. Allenfalls führt die höhere Kaufkraft dazu, dass bei uns etwas bessere Geräte verkauft werden.

Besteht auch im industriellen IoT Nachholbedarf?

Ja, das ist so. Dringend notwendige Sicherheitsmassnahmen sind noch nicht überall umgesetzt. Zum Teil fehlt es ganz einfach an geschultem Personal. Dies ist auch in unseren Weiterbildungen zur Information & Cyber Security spürbar: Wir haben regelmässig Teilnehmende aus der Industrie und von den Betreibenden von kritischen Infrastrukturen in unseren Kursen.

Amazon, Apple, Google und die Zigbee Alliance wollen einen Standard festlegen, um die Kompatibilität zwischen Smarthome-Produkten zu erhöhen. Sicherheit gilt dabei als massgeblicher Designgrundsatz. Bestimmen Techgiganten die Sicherheitsstandards?

Grosse Hersteller haben Marktmacht und können beeinflussen, was wir in unsere Wohnung stellen. Es gab Beispiele, wo sich deshalb nicht das technisch beste Produkt durchsetzte. Es ist aber auch möglich, dass Grosskonzerne positiv auf die Qualität und die Sicherheit hinwirken. Sie können sich heute nicht mehr einfach um Fragen der Sicherheit foutieren, denn dieses Thema ist in den Medien sehr präsent und das Bewusstsein der Anwendenden wächst.

Haben Regierungen auch etwas zu sagen?

Für Regierungen ist es schwierig, die Sicherheit von IoT-Produkten zu beeinflussen. In der Regel geben sie Empfehlungen ab, verbindliche Richtlinien gibt es nicht. Deutschland hat seit 2015 eine Meldepflicht für Sicherheitsvorfälle bei kritischen Infrastrukturen.

Für Regierungen ist es schwierig, die Sicherheit von IoT-Produkten zu beeinflussen.

Die Schweiz empfiehlt seit 2018 den Minimalstandard zur Verbesserung der IKT-Resilienz, also der Widerstandfähigkeit gegenüber Cyberangriffen. Diese Initiative steht im Rahmen der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS).

Wie geht es weiter?

Sinnvoll wären Kampagnen, um die Bevölkerung und die Unternehmen noch besser zu sensibilisieren, vergleichbar mit der Initiative eBanking – aber sicher!. Aktuell prüft der Bund im Rahmen der Umsetzung der NCS für die Betreiber von kritischen Infrastrukturen ebenfalls eine Meldepflicht bei schwerwiegenden Sicherheitsvorfällen. Solche Auflagen befeuern die Umsetzung von Sicherheitsmassnahmen.

Aktuell prüft der Bund […] eine Meldepflicht bei schwerwiegenden Sicherheitsvorfällen.

Eine ähnliche Wirkung könnte durch sensibilisierte Privatpersonen und Unternehmen erzielt werden. Diese würden Produkte bevorzugen, die bestimmte Sicherheitsanforderungen erfüllen. Dies ist schon jetzt im Zusammenhang mit Cloud-Dienstleistungen zu beobachten: An die Stelle von staatlich verordneten Massnahmen tritt dann der Markt, der gewisse Minimalanforderungen erfüllt haben will.

Wie stehen Sie persönlich zu IoT-Geräten?

Ich verwende selber IoT-Geräte, insbesondere im Bereich der Hausautomation: Einige Temperatur- und Lichtsensoren, deren Daten zentral ausgewertet werden. Die Lichtsensoren dienen der Steuerung von Beleuchtung und Lamellenstoren. Dazu kommen weitere Geräte, die dem Bereich Alarmsysteme zuzuordnen sind. Ich halte mich immer an die Best Practices: gute Produktqualität, korrekte Konfiguration und regelmässige Updates. Trotzdem verwende ich keine Geräte, welche die Privatsphäre beeinträchtigen könnten. Ich habe keinen digitalen Assistenten, der auf Sprache reagiert, und keinen Smart-TV, der mit Gesten gesteuert werden kann. Mikrofone und Kameras möchte ich nicht in meinem Wohnzimmer haben. Ausserdem sehe ich in diesen Technologien keinen echten Mehrwert für mich.

Frage in die Runde: Ist es ok, dass die Konsumentinnen und Konsumenten selbst für Ihre IoT-Sicherheit verantwortlich sind? Macht die Politik genug?