Das Internet of Things hat Fahrt aufgenommen. Für jemanden, der täglich mit dem Thema IoT- Sicherheit konfrontiert ist, ist das sowohl spannend zu beobachten, als auch selbst ein Teil der Veränderungen zu sein. Obwohl das IoT so dynamisch wächst, befinden wir uns noch ganz am Anfang. Hacker allerdings haben längst ein Auge auf die potenziellen Schwachstellen geworfen. Und nicht nur das, die Angriffe sind bereits erfolgreich.
Nachgewiesene Schwachstellen
Zu den bekanntesten (und frühen) Angriffen dieser Art zählen die Attacke auf einen Baby Monitor im Jahr 2013, auf einen Jeep Cherokee im Jahr 2015 (dabei handelte es sich allerdings um sogenanntes ‘Ethical Hacking’), der Webcam-Angriff über das Mirai Botnet aus dem Jahr 2016, die erste folgenreiche Ransomware-Attacke auf medizinische Geräte im letzten Jahr und natürlich die groß angelegte Datenschutzverletzung bei Equifax. Die finanziellen Auswirkungen solcher Vorfälle sind schwerwiegend:
- Das Ponemon Institut hat 2016 die durchschnittlichen Kosten eines Datenverstoßes auf mehr als 7 Millionen Dollar geschätzt.
- Der Equifax-Vorfall wird das Unternehmen letztendlich wohl an die 439 Millionen Dollar kosten.
- Dieses Jahr wurde Facebook Opfer von zwei spektakulären Sicherheitsvorfällen. Sie reichten aus um die Aktienkurse von Facebook ins Taumeln zu bringen, und CEO Mark Zuckerberg selbst hat 11 Milliarden Dollar verloren (und sah sich gezwungen vor einem Kongressausschuss aussagen).
Und das sind nur die Cyberangriffe, die sich gegen Verbraucher gerichtet haben. Hacker sind inzwischen mit Kampagnen beschäftigt, bei denen es um noch mehr geht. Einer der prominentesten Angriffe war der auf das Ukrainische Stromnetz. Ein Angriff mit potenziell verheerenden Auswirkungen. Menschen wären für Tage, Wochen oder länger ohne Strom gewesen. So weit ist es hier nicht gekommen, dazu war der Angriff nicht umfassend genug.
Anfang dieses Jahres, kurz vor den letzten Präsidentschaftswahlen, hat die amerikanische Regierung Russland beschuldigt, Urheber von Angriffen auf Stromkraftwerke sowie Wasser- und Elektrizitätssysteme zu sein. Es gibt Beweise, die solche Aktivitäten bis zurück ins Jahr 2011 belegen. Gegen Ende des Jahres 2015 hat es aber mehr und schwerwiegendere Angriffe gegeben als bisher beobachtet.
Nach einem Bericht des Departments of Homeland Security wird vermutet, dass russische Hacker Zugriff auf kritische Kontrollsysteme hatten. In den Werken wurden aber keine Hinweise auf tatsächliche Sabotage oder Systemabschaltungen gefunden. Es deutet jedoch alles darauf hin, dass die Hacker in der Lage sind die Operationen herunterzufahren, wenn sie es denn wollen. Es ist weiterhin nicht bekannt, ob die Hacker den Betrieb absichtlich störungsfrei weiterlaufen ließen oder nicht. So oder so lautet die klare Ansage: Hacker sind für kritische Infrastrukturen ein immenses Risiko.
Die nachweislichen Schwachstellen im IoT haben viele aufgerüttelt. Darunter auch den Gesetzesgeber, der nun verstärkt versucht, Hacking-Angriffe zu unterbinden oder zumindest zu verringern.
Regierungsgewalt
Kalifornien war der erste US-Bundesstaat, der ein Cybersicherheitsgesetz (SB 327) eingeführt hat, das auch „smarte“ Geräte einschließt. Nach diesem Gesetz muss ab 1. Januar 2020 jeder Hersteller von Geräten, die sich „direkt oder indirekt“ mit dem Internet verbinden, sicherstellen, dass es mit „angemessenen“ Sicherheitsvorkehrungen ausgestattet ist. So soll ein unautorisierter Zugriff, und die Modifizierung oder Weitergabe von Informationen verhindert werden. Zusätzlich müssen verbundene Geräte mit einem einmaligen Passwort ausgestattet werden, das der Benutzer ändern kann. Dies ist bei vielem der aktuellen IoT-Geräte nicht der Fall.
Das neue Gesetz spricht jedoch nicht die anschließende Kommunikation zwischen dem Gerät und dem Gateway und/oder der Cloud an. Diese Kommunikation muss vertraulich bleiben, damit Datenintegrität und Informationssicherheit gewährleistet sind. Meist erreicht man das über verschlüsselte Kommunikation.
Nichtsdestotrotz sind Gesetze wie dieses ein erster positiver Schritt zur Bedrohungsabwehr und hin zu mehr grundlegenden Sicherheitsvorkehrungen. Wenn weitere Staaten dem kalifornischen Vorbild folgen würde das den Druck auf die Hersteller erhöhen. Und es würde sie vielleicht zwingen, Geräteidentitäten bereits bei der Produktion einzuführen. Das ist ein Sicherheitslevel, der in derzeitigen IoT-Umgebungen bisher fehlt.
Zusätzlich zu der Gesetzgebung in Kalifornien wurde noch das Gesetz zur Verbesserung von Cybersicherheit im Internet of Things von den Senatoren Mark R. Warner (D-Va.) und Cory Gardner (R-Colo.) eingeführt. Es soll die IoT -Sicherheit zusätzlich durch die Kaufkraft der Regierung verbessern. Der Gesetzentwurf schreibt vor, dass alle Unternehmen, die an die amerikanische Bundesregierung verkaufen wollen, bestimmte Voraussetzungen erfüllen müssen. Man muss die verbundenen Geräte nachträglich patchen und Passwörter ändern können, und die Geräte dürfen keine der bereits bekannten Sicherheitsschwachstellen aufweisen. Ein weiterer Gesetzesentwurf ist der Securing IoT Act nach dem die Federal Communications Commission Cybersicherheitsstandards für die Zertifizierung von drahtlosen Geräten entwickeln muss.
Mehr tun
Es ist ermutigend, dass die amerikanischen Gesetzesgeber über mehr Sicherheit im IoT nachdenkt. Aber das reicht nicht. Im Allgemeinen sind die meisten staatlichen Behörden einschließlich ihres Leitungspersonals eher schlecht informiert wenn es um Technologiethemen geht. Das wurde bei der Facebook-Anhörung im Senat im April 2018 peinlich offensichtlich. Regierungsmitglieder und Gesetzgeber, verantwortlich für die Entwicklung von Gesetzen zum Schutz von persönlichen Daten, hatten wenig bis keine Ahnung von den grundlegenden Mechanismen der wichtigsten Social Media-Plattform, ganz abgesehen von der zugrundeliegenden Technologie.
IoT-Experten wissen, dass IoT-Technologie ähnlich verwirrend sein kann. Es wird viel dafür getan, dass Gesetzgeber und die breite Öffentlichkeit mehr von der Problematik des IoT und der zugrunde liegenden Technologie verstehen. Das ist eine der wichtigsten Voraussetzungen um Daten- und Gerätesicherheit sowie die Integrität dieser Daten zu gewährleisten. Vereinigungen wie das Industrial Internet Consortium, arbeiten an Informationen, die über Technologie und Problematik aufklären sowie potentielle Lösungen aufzeigen. Dazu zählt das Industrial Internet Security Framework (IISF). Zusätzlich können Interessierte ihre Ideen bei der NIST-Initiative „Überlegungen zu IoT Cybersicherheit und Datenschutzrisiken” einbringen.
Mehr öffentlich zugängliche Informationen und die Zusammenarbeit mit dem Gesetzesgeber tragen hoffentlich dazu bei, die potentiellen Auswirkungen des IoT umfassend zu verstehen. Wir alle können dazu beitragen, dass sich die Gesetzgebung rund um IoT-Sicherheit weiter entwickelt und verbessert. Eine enge Zusammenarbeit führt zu gut durchdachten und effektiven Gesetzen, die nicht gleichzeitig übertrieben vorsichtig formuliert sind.
