"Funktion geht häufig über Sicherheit"
Die Welt wird zunehmend vernetzter. Unser Zuhause auch. Stehen dem Hacker somit alle Türen im Smarthome offen? Candid Wüest, Threat Researcher und Virenjäger bei Symantec, liefert Antworten.
Immer mehr Geräte im Bereich IoT werden gehackt. Angefangen bei Kameras über den Fernseher bis hin zum Auto. Liegt diese Hacking-Anfälligkeit in der Natur des IoT, oder ist die Sicherheitstechnologie noch nicht so weit?
Candid Wüest: Leider ist Sicherheit nicht von Beginn an als fester Bestandteil des Design-Prozesses beim Internet der Dinge verankert. Funktion geht hier häufig über Sicherheit, das heisst: Die Entwickler achten zunächst auf die Vielzahl der Features oder legen fest, welche Funktionen sie unbedingt in ein Gerät integrieren möchten. Sicherheit ist da eher ein Nachgedanke. Häufig sind es Schwachstellen, die bereits von Desktop-Computern bekannt sind – aber es wurde schlichtweg vergessen, die passenden Sicherheitsfunktionen zu implementieren, um die Lücken zu schliessen. Derzeit liegt ein grosser Fokus darauf, die Sicherheit von IoT-Geräten zu untersuchen, deshalb häufen sich auch die Meldungen.
Welche Hacking-Skandale erwarten Sie in der Zukunft? Welche Bereiche sind Ihrer Meinung nach für Angriffe prädestiniert?
Grundsätzlich können alle Geräte, die vernetzt sind, in den Fokus von Hackern geraten. Allerdings ist die Wahrscheinlichkeit höher, dass sich Cyberkriminelle auf medizinische Geräte, Smart-TVs, Fahrzeuge oder die Klimasteuerung konzentrieren. Dass sie einen Toaster hacken, ist weniger wahrscheinlich. Die meisten Hacker sind von der Aussicht auf Profit getrieben, daher werden wir vielleicht bald Ransomware in vernetzten Autos (die sich nicht mehr starten lassen) oder der Heizung (die im Winter von Hackern ausser Betrieb gesetzt wird) sehen. Bislang waren alle Hacks Proof-of-Concept-Angriffe, die Schwachstellen bei kritischen Geräten wie Medizinrobotern, vernetzten Fahrzeugen oder Klimasteuerungen aufdecken. Gerade hier ist es notwendig, gemeinsame Sicherheitsstandards von Herstellern und den Anbietern von Security-Lösungen zu definieren.
Wie sollten die Gegenmassnahmen aussehen?
Symantec arbeitet eng mit den Herstellern zusammen und tauscht sich mit ihnen regelmässig aus, unter anderem als Mitglied der Online Trust Alliance, um einen gemeinsamen Sicherheitsstandard zu etablieren. Ganz wichtig ist aber auch, dass die Nutzer vernetzter Geräte von den Herstellern Sicherheit als festen Bestandteil der Produkte fordern. Momentan sind sichere IoT-Geräte noch kein Verkaufsargument – und das obwohl gerade vermehrt Berichte über Auto-Hacks oder Schwachstellen in vernetzten Produkten aller Art veröffentlicht werden. Sicherheit muss von Anfang an im Design der Geräte verankert sein!
Welche Schutzmöglichkeiten gibt es bereits oder haben sich bewährt?
Eine eigentlich ganz einfache Schutzmöglichkeit ist ein starkes Passwort – also nicht „12345“ oder der eigene Geburtstag, sondern eine Kombination aus Zahlen, Buchstaben und Sonderzeichen. Das gilt auch für den WLAN-Router zuhause. Default-Passwörter, das heisst solche, die direkt ab Werk voreingestellt sind, sollten ebenfalls direkt geändert werden. Funktionen wie Remote-Zugriff lassen sich deaktivieren: Damit schliessen Verbraucher ein beliebtes Einfallstor für Hacker. Andere Funktionen, die Anwender nicht benötigen, können in vielen Fällen entweder komplett ausgeschaltet oder zumindest in ihrer Nutzung eingeschränkt werden. Ein weiterer Schritt ist, alle Geräte auf einem eigenen VLAN zu isolieren. Zur Sicherheit trägt auch bei, dass die Software sowie die Firmware immer auf dem aktuellen Stand sind. Hersteller können auch hier zur Sicherheit beitragen: Mit entsprechenden Zertifizierungen lässt sich gewährleisten, dass nur signierter Code erlaubt wird.
Wie gefährlich sind die Hacks im Smarthome wirklich? Sind sie nicht eher nur lästig?
Derzeit sind die Hacks eher lästig als wirklich gefährlich. Das Licht aus der Ferne ein- und auszuschalten oder die Rollladen hoch- und runterzufahren, ist nicht gefährlich, sondern nervt den Verbraucher. Es gab aber bereits Fälle, bei denen sich smarte Türschlösser aus der Ferne öffnen liessen und damit die Wohnung oder das Büro für Einbrecher leicht zugänglich war. Auch beim Hacken eines Autos gibt es Abstufungen: Die Bremsen ausser Kraft zu setzen oder die Lenkung zu übernehmen ist extrem gefährlich, beim Entertainment-System immer den gleichen Song zu spielen fällt eher in die Kategorie „lästig“. Auch wenn etwa die Feuerwehr wegen eines Fehlalarms aufgrund eines gehackten Rauchmelders ausrückt, mag dies auf den ersten Blick weniger gefährlich erscheinen, allerdings fallen hier zum einen Kosten für die Allgemeinheit an und zum anderen steht der Löschzug nicht für einen möglichen realen Brand andernorts zur Verfügung. Der Grat zwischen lästig und gefährlich kann also sehr schmal sein.
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Was KI zur Barrierefreiheit im Web beitragen kann
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Der Astrologe rettet den Tag ... oder auch nicht
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Das sind die Finalisten der Swiss Fintech Awards 2024
Update: Österreichischer Investor übernimmt Devolo
Whatsapp und Threads verschwinden aus chinesischem App Store
