IoT-Security ist ein Muss
Internet of Things

IoT-Security: „Der Markt hat versagt“

Die Folgen der starken Vernetzung könnten laut IT-Sicherheitsexperte Bruce Schneier verheerend sein. Im Interview fordert er mehr Security für das Internet of Things (IoT).
„Die Ära von Spaß und Spielen ist vorbei“, sagte Bruce Schneier im November 2016 auf dem Security-Kongress der Telekom in Frankfurt. Der US-amerikanische Experte für IoT-Security und Kryptografie ist technischer Direktor (CTO) von IBM Resilient. In seinem Buch-Bestseller „Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World“ beschreibt der Sicherheitsforscher wie Staaten und Internetfirmen uns ausspähen. Im Interview spricht der 53-Jährige über die enorme Bedeutung von Sicherheit für und durch das Internet der Dinge, über einen versagenden Markt und über die Notwendigkeit einer staatlichen Regulierung.

Herr Schneier, auf dem Security-Kongress der Telekom haben Sie vor einer grenzenlosen Vernetzung gewarnt. Sie sind ausgewiesener Experte für IoT-Security. Was stimmt Sie so pessimistisch?

„Cyberattacken gefährden nicht mehr nur Daten, sondern auch Menschenleben“, sagt IT-Sicherheitsexperte Bruce Schneier.
Quelle: Julian Dodd
Wir bauen gerade eine Welt, in der alles miteinander vernetzt ist. Diese Vernetzung erreicht bald ihren Höhepunkt. Das gleicht einem Roboter von der Größe der ganzen Erde. Aber der Folgen sind wir uns nicht bewusst.

Mit welchen Folgen müssen wir rechnen?

Mit dem Internet hat die Menschheit die komplexeste Maschine gebaut, die es je gegeben hat. Durch Cyberattacken sind bisher nur Daten gefährdet worden. Aber die Verknüpfung mit dem Internet der Dinge – etwa für die Maschinen-zu-Maschinen-Kommunikation, kurz M2M – macht das System hochexplosiv, weil IoT-Security stark vernachlässigt wird. Die Auswirkungen sind durch die Einbindung von Sensoren und Aktoren jetzt viel gefährlicher: Cyberattacken können nicht mehr nur Daten gefährden, sondern auch Menschenleben.

Wo liegen Ihrer Meinung nach die grössten Probleme, wenn es um IoT-Security geht?

Große Konzerne wie Microsoft, Google oder Apple beschäftigen Fachleute für IoT-Security, um etwa Smartphones so sicher wie möglich zu entwickeln. Kaufen Sie aber eine Webcam zur Babyüberwachung, einen Kühlschrank oder einen Thermostat, hat sich vorher kein Experte für IoT-Security darum gekümmert. Ein weiteres Problem ist, dass diese Geräte viel seltener ausgetauscht werden. Ein neues Smartphone kaufen sich viele Nutzer schon nach zwei Jahren, einen Kühlschrank aber frühestens nach fünf. Bei billigen Geräten ist außerdem oft gar keine Möglichkeit für ein Update vorgesehen.

Aber die unsicheren Produkte werden trotzdem gekauft.

Das ist richtig, weil sich kein Kunde um IoT-Security Gedanken macht. Beim Kauf spielen für Kunden ganz anderen Faktoren eine Rolle: Wie hoch ist der Preis und welche Funktionen bietet mir das Gerät? Ob das Gerät Teil eines Botnetzes wird, ist dem Kunden letztlich egal. Es betrifft ihn ja nicht direkt. Solange das Gerät funktioniert, ist er glücklich – und der Hersteller auch. IoT-Security interessiert keinen von beiden. In puncto IoT-Security hat der Markt versagt.

Wie kommen wir aus diesem Dilemma heraus?

Wo der Markt versagt, müssen andere eingreifen. Wir brauchen in Zukunft unbedingt eine staatliche Regulierung, nicht nur unternehmenseigene Policys. In der Regel greift der Staat ein, wenn es um bedrohliche Dinge geht. Das Internet ist von solchen Regeln dagegen bisher nahezu verschont geblieben. Aber der Spaß ist jetzt vorbei: Vernetzte Geräte müssen einem Zertifizierungsprozess unterzogen werden! So wie es bei potenziell gefährlichen Produkten wie Autos oder medizinischen Geräten schon heute der Fall ist.

Wären nationale Regeln in Bezug auf die IoT-Security nützlich? Oder benötigt man nicht eher länderübergreifende?

Ich bin der Meinung, dass nationale Regeln sich auch weltweit auswirken können. Zum Beispiel dann, wenn ein Gesetz in den USA Sicherheitsstandards bei dort gekauften Routern vorschreibt. Hersteller aus anderen Ländern müssten diese Sicherheit dann auch in ihre Produkte integrieren, damit sie auf dem US-Markt tätig werden können.

Ist es mit staatlicher Regulierung getan?

Nein, ein Patentrezept ist auch das nicht. Cyberattacken wird es in Zukunft immer geben, damit müssen wir uns arrangieren. So ein komplexes System wie das Internet der Dinge ist nicht komplett zu verteidigen. Ein begabter, motivierter und finanzierter Angreifer findet immer einen Zugang. Und wir können auch nicht damit rechnen, dass die Drahtzieher von Attacken wie den DDoS-Angriffen (Distributed Denial of Service) des Mirai-Botnetzes verhaftet werden können. Aber auch wenn wir uns klarmachen, dass vernetzte Geräte nie komplett sicher sein können, dämmen wir das Problem zumindest stark ein.

Weitere Beiträge