David Knight, Informationssicherheitsmanager bei Proofpoint, erklärt, die Angreifer hätten im Wesentlichen ein Botnetz-ähnliches Internet der Dinge aufgebaut – etwas, das wir eher von Computern kennen, wo Geräte unbemerkt missbraucht werden, um beispielsweise Spam zu versenden oder illegale Pornografie zu verbreiten. Er rechnet mit einem deutlichen Anstieg solcher „Thingbots“, da vernetzte Geräte immer häufiger in Privathaushalten eingesetzt werden, insbesondere da die Sicherheit vieler dieser Geräte lediglich aus einer simplen Weboberfläche besteht, die zur Eingabe von Benutzername und Passwort auffordert.

„Was auch immer an Sicherheitsvorkehrungen getroffen wurde, sie waren unzureichend“, sagt Knight, der vermutet, dass die Geräte einfach durch Ausnutzung bekannter Linux-Schwachstellen kompromittiert wurden.

Hacker haben über das Internet Computer lahmgelegt und so Datenlecks und Systemabstürze verursacht. Da der Trend nun dahin geht, alles Mögliche – vom Kochtopf bis zur Glühbirne – zu vernetzen, sind die Risiken noch größer und betreffen den persönlichen Bereich. Antivirensoftware hat PCs geholfen, aber man kann nicht einfach eine Desktop-Software auf einem smarten Toaster installieren. Daher sind vernetzte Haushaltsgeräte in der Regel darauf angewiesen, dass der Nutzer online ist und einen Benutzernamen und ein Passwort zum Schutz erstellt.

Zahlreiche Hightech-Unternehmen und Branchenverbände berichten, dass „smarte“ Geräte mit unzureichendem Sicherheitsschutz in den Handel kommen. Sicherheitsexperten führen dies auf verschiedene Faktoren zurück: Startups vernachlässigen möglicherweise die Sicherheit in ihrem Bestreben, Produkte schnellstmöglich auf den Markt zu bringen, und etablierte Unternehmen, die traditionell ohne Konnektivität arbeiten – wie beispielsweise Hersteller von Audiogeräten oder Fernsehern – erkennen unter Umständen nicht die Notwendigkeit des Schutzes vor Bedrohungen bei internetfähigen Geräten.

„Sie sind nicht dumm“, sagt Marc Rogers, leitender Sicherheitsforscher bei Lookout, einem Unternehmen für mobile Sicherheit. „Sie haben einfach noch nie damit zu tun gehabt.“

Während Unternehmen also alles Mögliche auf den Markt bringen, von „intelligenten“ Lampen und per Smartphone steuerbaren Türschlössern bis hin zu vernetzten Toiletten und Blutdruckmessgeräten, gibt es gleichzeitig Bestrebungen, diese Produkte so sicher wie möglich zu machen.

Für Rogers bei Lookout bedeutet das, internetfähige Geräte zu hacken und sie manchmal sogar physisch zu zerlegen, um Sicherheitslücken aufzudecken. Letzten Sommer entdeckten Rogers und sein Team eine Schwachstelle in Googles Headset-Computer Google Glass. In jüngster Zeit hat Rogers Sicherheitsmaßnahmen in internetfähigen Kameras und Unterhaltungssystemen identifiziert und verglichen.

„Im Grunde mache ich Dinge kaputt, dann arbeite ich daran: Was läuft richtig? Was läuft falsch? Welche Lehren können wir daraus ziehen?“, sagt er.

Wie viele andere Technologieunternehmen erkennt auch Lookout den wachsenden Einfluss internetfähiger Geräte – ein so dynamischer Markt, dass Google letzte Woche die Übernahme von Nest Labs, dem Hersteller intelligenter Thermostate und Rauchmelder, für 3,2 Milliarden US-Dollar ankündigte. Im vergangenen Jahr gab es bereits über 10 Milliarden vernetzte Geräte, und diese Zahl soll laut einer Schätzung des Netzwerkausrüsters Cisco bis 2020 auf bis zu 50 Milliarden ansteigen.

Um die Sicherheitsrisiken dieses rasanten Wachstums zu minimieren, entwickelt Rogers Sicherheitsstandards, an denen sich Unternehmen bei der Entwicklung vernetzter Produkte orientieren können. Er möchte sich nicht konkret dazu äußern, was diese Standards für das Internet der Dinge beinhalten könnten, betont aber, dass er sich an den ausgereiftesten Internetstandards orientieren möchte. Als Leitfaden dient ihm die „Top 10“-Liste der Sicherheitsrisiken des Open Web Application Security Project (OWASP), da diese viele Risiken detailliert beschreibt, die alle Arten von internetfähigen Geräten betreffen können.

„Im Moment macht meiner Meinung nach jeder irgendwie sein eigenes Ding, aber es gibt eine immer lauter werdende Stimme, die sagt: ‚Lasst uns alle zusammenkommen, lasst uns versuchen, uns in dieser Sache abzustimmen‘“, sagt er.

Die AllSeen Alliance, eine im Dezember gegründete Branchenvereinigung für das Internet der Dinge, die die Interoperabilität zwischen vernetzten Geräten unabhängig vom Hersteller fördern will, ist der Ansicht, dass auch in Entwicklung befindliche Open-Source-Software dazu beitragen könnte.

Die Software der Gruppe basiert auf AllJoyn, Qualcomms Open-Source-Software für das Internet der Dinge (IoT), die vom Smartphone-Chiphersteller entwickelt wird (und selbst Mitglied der Gruppe ist). Liat Ben-Zur, Präsident der AllJoyn Alliance und Leiter der AllJoyn-Einheit von Qualcomm, erklärt, dass AllJoyn App-Entwicklern die Möglichkeit bietet, den Sicherheitsstandard ihrer Apps selbst festzulegen – beispielsweise, ob Daten, die von einer intelligenten Zahnbürste an die zugehörige Smartphone-App übertragen werden, verschlüsselt werden sollen. AllJoyn bietet darüber hinaus differenziertere Sicherheitsoptionen, so Ben-Zur. So kann beispielsweise ein Besucher die Klimaanlage im Haus steuern, jedoch nur innerhalb eines bestimmten Temperaturbereichs und nur für die Dauer seines zweitägigen Aufenthalts.

Methoden zur Gewährung temporären Zugangs finden sich bereits in einigen noch nicht auf dem Markt befindlichen Smart Locks – unter den wenigen vernetzten Geräten, die mit ihrer Sicherheit werben – wie beispielsweise Goji, mit dem man per Smartphone festlegen kann, wann Freunde das Haus betreten dürfen. Bislang ist dies jedoch noch nicht die Norm.

Ein ähnlicher Ansatz wie der von Ben-Zur beschriebene wird bei Mocana, einem Unternehmen für mobile Sicherheit und das Internet der Dinge, verfolgt. Mocana arbeitet an einer Art digitaler Matrix von Codenamen namens AtoM (für „Anwendung an Maschine“), die es laut CTO James Blaisdell verschiedenen Nutzern ermöglichen soll, Sicherheitsgeräte in großem Umfang und mit unterschiedlichen Berechtigungsstufen zu verwalten und zu steuern.

Das Unternehmen plant die Markteinführung noch in diesem Jahr. Laut Blaisdell wird das System zunächst auf industrielle Anwendungen ausgerichtet sein, beispielsweise um einem Windkraftanlagenhersteller die Überwachung der Wartung seiner Anlagen zu ermöglichen und gleichzeitig einem Energieversorger die gemessene Energieerzeugung anzuzeigen. Es ist aber auch wahrscheinlich, dass es für andere Bereiche wie Haushaltsgeräte eingesetzt wird.

„Es ist die gleiche Art von Frage: Wie verbindet man all diese Geräte sicher und ermöglicht ihnen eine sichere Interaktion untereinander?“, fragt er.

Selbst wenn beispielsweise eine smarte Stereoanlage oder Kaffeemaschine gehackt wurde, ist dies oft schwerer zu erkennen als bei einem Laptop oder Smartphone. Diese Geräte bieten häufig keine visuelle Darstellung, und wenn sie von einem Angriff wie dem auf Proofpoint betroffen sind, zeigen sie möglicherweise keinerlei Anzeichen einer Beschädigung.

In manchen Fällen ist die einfachste Lösung daher, die Anzahl der internetfähigen Geräte zu begrenzen. Die Software AllJoyn der AllSeen Alliance ermöglicht es beispielsweise, dass Smart-Geräte nur mit anderen Geräten im Haushalt kommunizieren – etwa mit einer Gruppe von Glühbirnen oder einem Türschloss – und verhindert so jegliche weitere Internetverbindung. Für manche, die ständig online sein wollen, mag das einschränkend klingen, doch Ben-Zur sieht darin eine Möglichkeit, die Geräte sicherer und privater zu machen.

„Ich möchte nicht unbedingt einen Cloud-Dienst, der jedes Mal weiß, wann ich mein Haus betrete und verlasse“, sagt Ben-Zur.

Quelle: Rachel Metz, MIT.