Quelle: fm4.orf.at

Während der Hype um das “Internet der Dinge” (Internet of Things, kurz: IoT) in die nächste Runde geht, zeigt sich die dunkle Seite dieser Vernetzung immer deutlicher.

Nach Bekanntwerden der fatalen Lücke wurde vom Hersteller zwar sehr rasch eine neue Version des “Firmware” genannten, kleinen Betriebsystems der Kamera angeboten, die ersten Serien dieser unter der Marke “Maginon” vertriebenen Webcams waren schlichtweg unsicher – nämlich gar nicht – vorkonfiguriert. Sogar die grundlegendste aller Sicherheitsmaßnahmen, das verpflichtende Setzen eines Passworts für die Inbetriebnahme eines nach außen sichtbaren Internetgeräts fehlten, von HTTPS-Verschlüsselung einmal abgesehen. Dass dennoch so viele dieser Cams immer noch zu finden sind, liegt daran, dass Käufer entweder davon nichts erfuhren oder die mögliche Gefahr noch immer unterschätzen. Ein guter Teil der Käufer wiederum dürfte ganz einfach mit dem Aufspielen dieses Mini-Betriebssystems überfordert sein.

Das ist nämlich die Crux an den vernetzten Dingen im Konsumentenbereich. Da werden an “Plug and Play” gewöhnte Kosumenten, die bis dahin nur hochautomatisierte Apps auf Smartphones “installiert” hatten, plötzlich zu Administratoren relativ komplexer Netze.

Beim Absturz des führenden US-Anbieters von vernetzten Systemen zur Haushaltssteuerung im Dezember manifestierte sich die dunkle Seite der vernetzten Welt bereits auf der materiellen Ebene. Die Cloud der Google-Tochterfirma Nest lief zwar tadellos, ein Software-Update davor hatte jedoch zur Folge, dass alle vernetzten Sensoren permanent abgefragt wurden, solange bis die Akkus leer waren. In Folge blieben die Heizkörper in einer unbekannten Zahl von Haushalten, Zweitwohnsitzen, Ferienwohnungen, aber auch größeren Objekten rund um den Globus kalt. Und dabei blieb es in vielen Fällen für einige Zeit, denn obwohl Nest schnell eine Anleitung zur Verfügung stellte, zeigten sich viele “Plug and Play”-Administratoren mit dem mehrstufigen und zeitaufwändigen Prozess der Wiederbelebung dieser Sensoren überfordert.

Das ist bereits die nächste und wohl härteste Sicherheits-Crux im IoT, das alle möglichen, teilweise auch lebenswichtigen Prozesse vernetzen soll. Das “Internet der Dinge” kennt überthaupt kein Back-Up und es ist auch an keinem Horizont eines abzusehen. Die gesamte Situation lässt sich nur mit den Anfängen des WWW Mitte der 90er vergleichen. Damals wurden User, die sich gerade erst an Offline-PCs gewöhnt waren, über Nacht mit der gesamten Welt vernetzt. In den ersten zwei Jahren passierte unglaublich wenig, spätestens ab 1998 explodierten nicht nur die Zuwächse an der NASDAQ, sondern auch die Gewinne der kriminellen Gangs, die wenig später zu einer Schattenindustrie für Schadsoftware heranwuchsen. Dieselbe Art von Kriminellen, die derzeit bevorzugt Festplatten verschlüsselt und für die Freischaltung Lösegeld verlangt, wird im IoT-Zeitalter zum selben Zweck die Heizanlage oder die Wasserzufuhr sperren.

Kommentar

Eigentlich ist es unfassbar, mit welcher Naivität und Fahrlässigkeit “der Markt” Dinge verbreitet. Anscheinend ist noch zu wenig passiert, denn dass hier 20 Jahre (Negativ-)Erfahrung einfach ignoriert werden, kann man anders nicht begründen. So lange nur Einzelpersonen/-organisationen betroffen sind, ist das ja noch irgendwie akzeptabel. Aber wenn diese Technologien dann auch zunehmend im Infrastrukturbereich zum Einsatz kommen, dann wird es kritisch. Auch wenn dort wahrscheinlich eine höhere Sorgfalt beim Betrieb angewendet wird. Aber auch hier gibt es genug negative Beispiele.