Der neue Hype ist das Internet der Dinge. Viele große Internet und oder IT Konzerne springen auf den Zug auf. Es werden Startups gekauft und eine neue Welle innovativer und auch nützlicher Produkte drängen auf den Mark. Aber das ist nur der Anfang, mit dem Internet der Dinge steht in der IT der nächste große Themenbereich vor der Tür, der nicht nur eben nützlich ist, sondern ein riesiges Gefahrenpotential aufweist.
Die Gefahren die hier entstehen liegen in der Natur der Sache und sind den Rahmenbedingungen der Produkte geschuldet. Die Produkte müssen Rahmenbedingen wie geringe Kosten, automatische Konfiguration, große Kommunikationsvielfalt, einfache Bedienung, möglichst offene Schnittstellen, Fernzugriff, Cloud-Dienste usw. alle erfüllen. Mit andere Worten man hat selbständige kleine Drohnen, autonome System die als Schwarm interagieren. Sie kommunizieren untereinander und über das Internet zu irgendwelchen Cloud-Diensten.
Unabhängig von den Gefahren durch die Informationen die diese Mini-Systeme erheben und an externe Dienst übermitteln, mit den daraus entstehenden BigData Sammlungen die intimste Rückschlüsse auf Personen zulassen, sind diese Systeme aus Sicht der IT Security mehr als nur bedenklich. Hier werden Millionen von Mini-Systemen mit dem Internet verbunden die hinsichtlich ihrer Sicher in keinem Fall hinreichend geprüft und bis zu Ende gedacht sind. Natürlich kommen jetzt die ganzen Einwände der Hersteller, die auf die Sicherheit ihrer Produkte hinweisen werden. Aber das dem nicht so ist zeigen die immer öfter bekanntwerdenden Lücken in den Zugangsroutern der Consumer Internet-Zugänge. Hier handelt es sich um den gleichen Typ von Massenprodukten, billige Hardware, geringe Kosten, irgendwer hat mal die Firmware geschrieben, alle machen ihre Logos drauf und werfen die Boxen auf den Markt. Natürlich kann bei den geringen Kosten des Produkt selbst und ohne Support, der anderswo immer was kostet, keine Pflege der Firmware stattfinden. Wenn hier was kommt, dann sind es meistens Funktionen die nachgerüstet werden, weil der Mitbewerb diese schon hat. Security ist hier kein Thema was ganz oben steht.
Die Probleme solcher Produkte sind ja hinlänglich bekannt und warum sollte sich ausgerechnet beim Internet der Dinge was ändern?! Selbst teure Industrieanlagen von namhaften Herstellern haben bedenkliche Sicherheitslücken, die auf grundsätzliche Design-Schwächen basieren. Die Produkte werden nur nach Funktion und nicht auf Sicherheit hin entwickelt. Dies ist noch nicht einmal böswillige Absicht. Der Focus der Entwickler ist offensichtlich ein andere und IT Sicherheit ist ein Thema von sehr niedriger Priorität. Nur so lassen sich die Lücken in Punkto IT Sicherheit erklären. Die Steuerungen von Industrieanlagen sind hier nicht das einzige Beispiel. In der Automobilbranche wird es bei den vernetzten Boardsystemen nicht viel besser sein.
Die meisten der Angreifer können es wahrscheinlich kaum erwarten, bis sie Zugriff auf zigtausende kleiner Systeme haben werden, die Sie dann für ihre Zwecke missbrauchen können. Das Internet der Dinge wird noch mal eine ganz neue Qualität in Sachen (D)DoS und Systemmanipulation bringen. Die meisten Betreiber der kleinen Systeme werden es oft noch nicht mal bemerken, dass ihre Systeme erfolgreich angegriffen wurden. Welches Heim-Netz schränkt auch schon Zugriffe auf das Internet ein. Die Router machen NAT, SIF und lassen alles von innen nach extern durch. Dazu kommt noch, dass die Bandbreite der Heim-Internet-Zugänge immer größer wird und somit immer massivere DoS Attacken möglich macht.
Stellt sich also die Frage, was man tun kann? An der Quelle der Angriffe wohl kaum was. Welches Heim-Netz ist schon mit UTM Gateways abgesichert. Die Kosten hier stehen in keinem Verhältnis zu den Kosten des Zugangs an sich und den Anschaffungs- und Wartungskosten eines solchen Gateways. Ob die Zugangsanbieter in der Lage sind was zu tun, ist ebenfalls fraglich. Technisch gesehen ja – es gibt Möglichkeiten, aber Kosten und der Eingriff in der Kommunikation des Kunden sind anderen Fragen die damit einhergehen. Es ist also nicht gerade einfach hier abschließende Antworten zu finden. Bleibt also nur der Ausweg den eigenen Internet-Breakout bestmöglich abzusichern und kontinuierlich die eigenen Sicherheitssysteme immer weiter zu verbessern und stetig an die Begebenheiten anzupassen. Auch hier gilt wieder, Sicherheit ist ein stetiger Prozess und kein statischer Zustand.
Man darf gespannt sein, wie sich das Internet der Dinge entwickelt und welche Auswüchse es erreichen wird. Vor allem aber welche Konsequenzen für die IT Sicherheit daraus erwachsen werden. Durch das Internet der Dinge wird es bestimmt nicht einfacher. Aber es passiert nicht von jetzt auf gleich. Es bleibt ausreichend Zeit Strategien zur Absicherung der eigenen Infrastruktur zu entwickeln und somit Konzeptionell und auch Technisch gerüstet zu sein, sich zu schützen.