Der Rauchmelder mutiert zur Spam-Schleuder
Von Uli Ries
Während die einen noch rätseln, ob eine WLAN-vernetzte Kaffeemaschine, die man per App steuern kann, im Haushalt irgendeinen Sinn ergibt, verknüpfen die anderen schon längst Körperfettwaagen, Steckdosen, Überwachungskameras, Herzfrequenzmesser und Heizungsthermostate mit dem Internet. Die Marktforscher von Gartner gehen davon aus, dass im Jahr 2020 in einzelnen Haushalten bis zu 500 smarte Geräte in Betrieb sein werden. Damit sind natürlich nicht Mobile Devices wie Tablets und Smartphones gemeint, sondern allerlei Sensoren, die das intelligente Haus erst möglich machen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Nicht nur im privaten Umfeld gehört dieses Internet der Dinge (Internet of Things) genannte Phänomen zum Treiber diverser Neuerungen. Auch in der Industrie wird munter digitalisiert. Dort ist die Umwälzung, die zurzeit stattfindet, so groß, dass sie einen eigenen Namen bekommen hat: Industrie 4.0. Gemeint ist damit die vierte Welle der industriellen Revolutionen, die auf Dampfmaschine, Massenproduktion (Fließbänder) und Elektrifizierung samt Stromnetzen folgt – sie wird mit Sicherheit noch einige Jahrzehnte lang eines der beherrschenden Themen in der Welt der Produktion sein.
Oft ist im Zusammenhang mit Industrie 4.0 zu hören und lesen, dass dieser Wandel eine der größten Chancen für die deutsche Industrie sei. Experten zufolge läuft die Digitalisierung der Produktion in drei Phasen: Zuerst liefern die Hersteller von Komponenten IoT-fähige Teile. Die dann von den Maschinen- und Anlagenbauern verwendet werden. Damit letztendlich auch die Produktion selbst digitalisiert werden kann.
Umfassend vernetzt – und angreifbar
Unabdingbare Voraussetzung für das Internet der Dinge, ob im Haushalt oder in der Fabrik, ist die Koppelung der diversen Gerätschaften ans Internet. Man muss kein Hellseher sein, um zu erahnen, was zwangsläufig auf diese Vernetzung folgen wird: Kriminelle klopfen die frisch ins Netz geklinkten Anlagen und Elektrogeräte auf Schwachstellen ab. Besonders viel Talent gehört im ersten Schritt nicht dazu, da z.B. die Suchmaschine Shodan frei zugängliche Netzwerkhardware erfasst. Eine Suche nach simplen Schlagwörtern wie „Webcam“ liefert deren IP-Adressen jedem Interessierten frei Haus.
Smart Home: Das vernetzte Zuhause soll sich im Internet der Dinge weitgehend durch Apps auf Smartphones und Tablets steuern lassen. (Bild: LG)
Bislang fanden Online-Kriminelle regelmäßig Wege, solche Schwächen bzw. zugängliche Gerätschaften in finanzielle Gewinne umzumünzen. Darauf dürfte auch im Internet der Dinge Verlass sein. Überträgt man z.B. das Konzept, das hinter den seit mehreren Jahren bekannten Ransomware-Trojanern steckt – infizierte PCs und Smartphones werden von Kriminellen verschlüsselt und nur zahlende Opfer kommen wieder an ihre Daten –, auf das vernetzte Zuhause, ergeben sich zahlreiche Möglichkeiten krimineller Monetarisierung: Nur wer Lösegeld überweist, kann den von außen übernommenen Rauchmelder wieder selbst steuern – und damit die mitten in der Nacht losschrillenden Fehlalarme abstellen.
Unschön ist auch die Vorstellung, dass Unbefugte beliebig auf die vernetzte Heizungsanlage oder die Webcam zugreifen, die das Baby im Bettchen überwacht. Ähnliche Attacken sind im industriellen Umfeld denkbar, wenngleich die finanziellen Schäden dort erheblich größer sind. Die Industrie 4.0 führt zunächst auch zu neuen Risiken, dazu gehört Sabotage ebenso wie unbemerkt abgesaugtes Unternehmenswissen.
Noch einmal: die ältesten Fehler
Software ist von Menschen gemacht und irren ist menschlich – daher lassen sich Bugs nicht vollständig verhindern. Aber längst nicht alle Fehler, die aktuell in der Software von vernetzten TV-Geräten, Webcams, Kühlschränken oder Thermostaten auftreten, sind wirklich unvermeidbar. Viele sind eher auf mangelnde Sorgfalt bei der Programmierung zurückzuführen, wie 2014 im Rahmen der Hackerkonferenz Defcon deutlich wurde. Dort wurden wiederholt Mängel aufgedeckt, die gut ausgebildeten Programmieren schon vor Jahren peinlich gewesen wären.
Smart Buildings: Durch die Vernetzung und automatische Überwachung der Infrastruktur von Bürogebäuden lassen sich jährlich Millionenbeträge sparen – allein durch die geringere Energieaufnahme. (Bild: Intel)
Das bestätigt Jeff Moss (alias The Dark Tangent), Gründer der Defcon und ehemaliger Berater der US-Heimatschutzbehörde: „Längst erledigt geglaubte Klassen von Bugs erleben plötzlich eine Renaissance.“ Die HP-Tochter Fortify fand bei eigenen Untersuchungen im Schnitt 25 Schwachstellen in zehn populären IoT-Geräten, darunter so illustre Punkte wie voreingestellte Passwörter, die „1234“ lauten. Entsprechend leicht haben es Angreifer im Moment noch. Im Internet der Dinge wird vorhandenes Wissen einfach nicht konsequent genutzt und umgesetzt.
Ein Botnet aus Hausthermostaten
In diesem Zusammenhang dürfte außerdem die lange Lebensdauer der Geräte und Anlagen ein Problem werden. Anders als Smartphones, die einem kurzen Lifecycle unterliegen, werden „viele dieser Geräte etliche Jahre in Betrieb sein und nur wenige ihrer Besitzer erfahren überhaupt davon, dass es Updates gibt“, fasst Jeff Moss das Problem zusammen. Er fordert von den Herstellern Mechanismen, über die sich die Geräte über das Internet selbst mit Updates versorgen können. Außerdem wären gesetzliche Vorgaben seiner Meinung nach keine üble Idee: „Es gibt Vorschriften, wie Steckdosen in Badezimmern vom Elektriker abgesichert werden müssen. Warum nicht eine Vorgabe für Updates von moderner Hauselektronik?“, fragt Moss.
Teil 1 umreißt die Risiken einer vernetzten Welt: Wie kommen all die Messpunkte und Smart Devices an ihre Sicherheitsupdates? Teil 2 spitzt die Problematik weiter zu: In der Industrie 4.0 reden Safety und Security oft aneinander vorbei. Ein Sonderbeitrag sieht sich das Sicherheitslabor des Fraunhofer IOSB genauer an: Die Simulation kann Industrie-4.0-Sicherheitsstrategien für den Mittelstand am lebenden Modell testen.
Tröstlich ist einzig, dass sich Terroristen für die Abermillionen von angreifbaren Geräten offenbar nicht interessieren. Hacker-Experte Jeff Moss sieht lediglich die Internet-Kriminellen in den Startlöchern. Auf die Frage, ob er z.B. ein Botnet für wahrscheinlich hält, das von Raumthermostaten aus Spam-E-Mails verschickt, antwortet er: „Es gibt keinen Grund, warum genau das nicht passieren sollte.“
- Mit welchen Problemen und Risiken speziell die IT Security in der Industrie 4.0 zu kämpfen hat, schildert Teil 2 dieser Serie.
Dieser Beitrag ist auch als Titelgeschichte der auf Security fokussierten Ausgabe des Samsung-Kundenmagazins „Business Life“ erschienen. Als Anbieter von B2B-Lösungen adressiert Samsung mit dem Magazin IT-Entscheider in großen und mittelständischen Unternehmen unterschiedlicher Branchen. Das Magazin ist online und gedruckt unter www.samsung.com/de/business/businesslife/ abrufbar.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing