In den USA werden vermehrt Hackerangriffe über das sogenannte Internet der Dinge gefahren - drohen hierzulande ähnliche Angriffe?
Im Grunde genommen gehörte schon einiges an Glück dazu, dass es bei der Denial-of-Service-Attacke (DoS-Attacke) auf die Nameserver des Internetinfrastrukturanbieters Dyn nur ein paar Dutzend Dienste über einen gewissen Zeitraum eingeschränkt verfügbar gewesen sind. Ein höheres Ausmaß ist durchaus möglich. Smarte Geräte sind nun einmal in unseren Häusern und Büros im Einsatz: internetfähige Drucker, Videorecorder, Thermostate, Webcams. Und sie wecken zunehmendes Interesse der Malware-Entwickler. Ein kompromittiertes Internet-of-Things-Endgerät kann ohne weiteres dafür missbraucht werden, an Webseiten oder Internetdienste eine Flut von Anfragen zu senden und damit verteilte (engl. distributed) DoS-Attacken zu durchzuführen. Ein Botnetz aus solchen unfreiwilligen Angreiffern kann unbeobachtet über lange Zeit aufgebaut und im richtigen Zeitpunkt für Angriffe oder Sabotage verwendet werden: das gleichzeitige Ein- und Ausschalten der Klimaanlagen in einer Stadt kann zu Netzüberlastung und Stromausfall führen. Das besonders raffinierte daran: Es reicht eine einzige Person um Angriffe aus diesen Szenarien vorzubereiten und durchzuführen.
Es stellt sich nicht mehr die Frage, OB oder WO jemand von den Attacken betroffen werden kann, sondern lediglich WANN.
Netzfähige Drucker, Hausgeräte etc. gelten unter Fachleuten als schlecht gesichert und daher besonders anfällig für Hackerangriffe. Brauchen wir härtere Vorschrift zum Schutz von solchen Geräten?
Es existiert eine Reihe von Konzepten, Standards und Best Practices zur sicheren Entwicklung von Produkten und Systemen. Das Minimum an Sicherheitsanforderungen und -kontrollen für Organisationen jeder Branche und Größe definiert bspw. der internationale Standard für das Management der Informationssicherheit, ISO/IEC 27001. Die Fachgruppe Informationssicherheit des ISACA Germany Chapters hat ein Leitfaden herausgebracht, der es den Unternehmen erleichtern soll, den Standard anhand von konkreten Beispielen zu implementieren.
Konzepte wie Privacy-by-Design und Security-by-Design wurden normiert, methodisch aufgearbeitet, getestet und veröffentlicht. Sie wurden zum Teil Gegenstand der Regulierung, wie Privacy-by-Design in der EU-Datenschutzverordnung, oder sollen rechtlich verankert werden, wie Security-by-Design laut kürzlich veröffentlichter Cyber-Sicherheitsstrategie 2016 des BMI. Bis dato galten viele dieser Normen nicht für die Hersteller und Verkäufer der smarten Dinge. Sie werden billig verkauft, aber auch billig produziert. Oft handelt es sich um Offshore-Produkte, die für die Märkte in den USA oder Europa nur um etikettiert werden. Im Vordergrund steht das kurzfristige betriebswirtschaftliche Kalkül: Angemessene Sicherheit kostet Geld, verlängert die Entwicklungszyklen und verzögert den Time-to-Market, heißt es. Viele der Produzenten, so die Experten, verstehen die Sicherheitsanforderungen an die smarten Geräte nicht und interessieren sich nicht für den Datenschutz. Das Gleiche gilt für dessen Verkäufer.
Was kann der Verbraucher tun, damit seine Gerätschaften nicht für solche Angriffe benutzt werden?
Kurz nach den Internetausfällen in den USA hat das BSI für Bürger Empfehlungen zu Schutzmaßnahmen für Privatanwender veröffentlicht. Dennoch: es sind nicht die „sorglosen Bürger“, die für die Implementierung angemessener Schutzmaßnahmen verantwortlich gemacht werden sollten. Ein potenzieller Nutzer smarter Dinge wünscht sich eine Webcam, einen Kühlschrank oder einen TV-Receiver mit ein paar nützlichen Eigenschaften zum guten Preis. Man kann von ihm schwerlich erwarten, dass er für jede Glühbirne, jedes Thermostat oder jeden Rauchmelder Passwörter wechseln oder Sicherheitsupdates einspielen soll. Gerade aus den Expertenkreisen in den USA wird die Kritik laut, die Verantwortung für Sicherheitsvorfälle nicht an die Nutzer abzuwälzen ist.
Inwieweit könnte der unbedarfte Verbraucher mit unzureichend geschützten netzfähigen Geräten ggf. für entstehende Schäden in Haftung genommen werden?
Vorgaben für eine angemessene Verteilung von Verantwortlichkeiten und Sicherheitsrisiken im Netz, zum Beispiel durch Produkthaftungsregeln für Sicherheitsmängel für Hard- und Softwarehersteller, also dort, wo die die gegenwärtigen Probleme tatsächlich beheben könnten, sollen laut Cyber-Sicherheitsstrategie 2016 des BMI erst geprüft werden.