Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Leider wird bisher sowohl von vielen Herstellern als auch von vielen Kunden zu wenig Wert auf ein ausreichendes Schutzniveau bei IoT-Geräten gelegt. Die Politik muss hier einen klaren Rechtsrahmen schaffen, in dem einerseits Anbieter zur Erfüllung von Mindeststandards angehalten werden und andererseits Kunden schon vor dem Kauf leicht erkennen können, ob ein Produkt sicher eingesetzt werden kann. Das IT-Sicherheitsgütesiegel, das zurzeit unter Federführung des BSI in einem Pilotprojekt für Internet-Router entwickelt wird, könnte ein gutes Modell sein. Aber die Zeit drängt: Schon heute sind Milliarden Geräte mit dem Internet verbunden und die Geschwindigkeit der Vernetzung nimmt weiter zu.
Unsichere IoT-Geräte schaden nicht nur dem Eigentümer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Hacker können sich unbemerkt Kontrolle über ungeschützte IoT-Geräte verschaffen und sie in Botnetze integrieren, mit denen zum Beispiel Großangriffe auf IT-Systeme in Unternehmen, Kritischen Infrastrukturen oder in der öffentlichen Verwaltung durchgeführt werden können. Grundsätzlich muss sowohl bei Herstellern als auch bei Anwendern mehr Bewusstsein für diese Gefahren geschaffen werden. Eine Herstellerhaftung bei fahrlässiger Vernachlässigung der IT-Sicherheit kommt perspektivisch sicherlich in Frage. Bemessungsgrundlage dafür müssen aber klare und in der Breite wirksame Sicherheitsstandards sein. Diese sollten zügig im Schulterschluss von Staat, Anbietern und weiteren Interessenvertretern entwickelt werden.
Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Bei Mobilen Endgeräte sollte die IT-Sicherheit eigentlich eine besonders hohe Priorität haben. Im privaten und zunehmend auch im beruflichen bzw. dienstlichen Bereich werden Smartphones nicht nur zur Kommunikation, sondern auch zur Verwaltung von digitalen Konten und Identitäten verwendet, die den Zugriff auf sensible Daten oder Dienste regeln. Auch hier muss das Gefahrenbewusstsein sowohl auf Anbieter- als auch auf Anwenderseite wachsen. Ein notwendiger Schritt zur Verbesserung der Sicherheit von mobilen Geräten besteht darin, eine Versorgung mit sicherheitsrelevanten Updates des Betriebssystems über einen hinreichend langen Zeitraum zu gewährleisten. Hier sind zunächst die Hersteller von Mobilgeräten in die Pflicht zu nehmen.
Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Öffentliche WLAN-Hotspots sollten im Allgemeinen nicht für Kritische Anwendungen wie Mobile Banking verwendet werden, da der Zugang prinzipbedingt unverschlüsselt erfolgt oder der Schlüssel einem größeren Nutzerkreis bekannt ist. Unbefugte können so unter Umständen bei der Übertragung mitlesen oder sogar Daten manipulieren. Selbst wenn nur harmlose Internetseiten besucht werden sollen, können versierte Angreifer sich Zugriff auf sensible Daten verschaffen, wenn sie im selben WLAN sind. Grundsätzlich sollte bei der Nutzung öffentlicher Hotspots darauf geachtet werden, dass alle Verbindungen mit dem Web oder anderen Diensten verschlüsselt erfolgen – das gilt z. B. auch für die E-Mail-App, die sich im Hintergrund neue Nachrichten abruft. Zusätzliche Sicherheit schafft die Nutzung einer verschlüsselten VPN-Verbindung.