DMW007 (20.10.2022)
-
19.10.2022, 23:36 #1
- Registriert seit
- 15.11.2011
- Beiträge
- 7.161
- Blog Entries
- 5
Thanked 9.268 Times in 3.117 PostsSicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher
Seit einiger Zeit wird das Internet der Dinge ja als Lösung für allerlei mögliche Probleme angepriesen: Alles soll mit allem vernetzt sein und am besten automatisch kommunizieren. Teilweise sinnvoll, teilweise Spielerei und teils lösen sie Probleme, die man bis dahin noch nicht hatte oder zumindest kannte. Das klassische Beispiel welches auch Medienaufmerksamkeit erreichte, ist wohl der intelligente Kühlschrank: Er weiß was drin ist, was die Besitzer wollen und bestellt Lebensmittel automatisch nach, bevor sie ausgehen. Hat sich bislang nicht so recht durchgesetzt. Es blieb meist bei Kühlschränken mit Zusatzfunktionen. Etwa einen Bildschirm an der Tür oder einer Kamera, die auf dem Smartphone den Inhalt unterwegs aufs Handy streamt. Und dafür muss man im Vergleich zu "dummen" Kühlschränken einen ordentlichen Aufpreis zahlen. Man kann sich streiten, in wie weit so etwas sinnvoll oder gar nötig ist.
Unabhängig davon zu welcher Kategorie man ein IoT-Gerät zählt: Es steckt im Grunde immer ein Computer drin. Der ist zudem per Funkverbindung mit anderen Geräten vernetzt. Vielleicht "nur" per Bluetooth mit dem Handy, oder aber sogar per WLAN. Mit letzterem kommt das Gerät nicht nur frei ins Heimnetz, sondern auch ins Internet. Und hier finde ich wird es unabhängig vom Gerät aus technischer Sicht interessant. Jedes Computersystem enthält Sicherheitslücken, braucht Wartung und bietet Missbrauchspotenzial. Da hat sich leider gezeigt, dass viele Hersteller das entspannter sehen. Grundlegende Sicherheitsmaßnahmen werden gerne mal weggespart, die Geräte laufen Amok und am besten will dann noch keiner verantwortlich sein. Getoppt wird das in den letzten Jahren noch durch den Trend zur Cloud, wodurch noch mal ein paar Risiken dazu kommen. Neben sicherheitstechnischen auch grundsätzliche, z.B. wenn der Hersteller für seine Clouddienste plötzlich (mehr) Geld haben will, ein Abo einführt oder sie ganz abschaltet. Schon alleine Sicherheitstechnisch führt das immer mal wieder zur mehr oder weniger schlimmen Vorfällen. Für einen Überblick über das Ausmaß möchte ich hier solche Ereignisse sammeln, zumindest jene die bekannt wurden.
Fangen wir an mit DJI: Der Marktführer von Drohnen hatte einen Datenreichtum von 80.000 Drohnen seiner Kunden. Neben Seriennummern hat das Unternehmen auch Flugdaten der Kunden gesammelt und durch eine ungeschützte Datenbank ins Internet für jeden zugreifbar gestellt. Die war auch noch bei AWS gehostet, zumindest aus euorpäischer Sicht also doppelt ungeschützt. Wobei das Heimatland China freilich nicht besser wäre. Die Drohnen werden u.a. zur Überwachung des Luftraumes genutzt. Und anscheinend setzen sie beide Parteien im Ukraine-Krieg ein. Das verschafft der Katastrophe eine neue Dimension, wenn so was im Krieg eingesetzt wird und der Gegner kann dank ungeschützter Daten im Internet nachschauen, wo Drohnen des anderen so herum fliegen. Der Hersteller weist jetzt natürlich darauf hin, dass die gar nicht fürs Militär gedacht sind. Damit haben sie auch Recht, für diesen Teil der Schuld sind sie tatsächlich nicht zur Verantwortung zu ziehen. Aber unabhängig davon macht es den Umstand nicht besser, dass sie sensible Daten ihrer Kunden gesammelt und die auch noch in eine public Cloud mit nicht mal Authentifizierungsschutz gelegt haben.
Lustigerweise hat der Hersteller erst vor 2 Monaten eine offizielle Erklärung veröffentlicht, in der sie u.a. verschiedene Verschwörungstheorien bzw. Erzählungen aufgreifen. Hauptsächlich die These, dass sie im Ukraine-Krieg Infos sammeln und sie der Gegenseite zuspielen. Das hatten sie klar abgestritten, denn sie würden ihre Nutzer ja nicht überwachen und hätten daher gar keine Infos, die man weitergeben könnte. Außerdem gäbe es Sicherheitsprüfungen, die das belegen. Das lief dann wohl nicht so gut für die PR-Abteilung. Im gleichen Artikel werden auch andere Vorwürfe aufgegriffen. Dabei geht es auch um Manipulation, also dass die Drohnen einer Kriegspartei manipuliert werden. Macht man natürlich nicht. Und außerdem sei gar nicht sicher, dass die wirklich Drohnen von diesem Unternehmen nutzen. Ich lasse das mal unkommentiert, das ist mMn auch gar nicht der Punkt, ob die im Krieg da irgendwie Partei ergreifen.
Hier sieht man sehr deutlich, was ich schon öfter beobachtet habe: Die verhalten sich wie in Stellenausschreibungen. Habt ihr schon mal eine Stellenanzeige gesehen, in der nicht 0815 Buzzwords vorkommen? Ein Unternehmen, dass nicht umfangreiche und hochwertige Benefits bietet, flache Hierarchien, tolles Team, überdurchschnittliche Bezahlung verspricht? Wäre nur der Großteil davon wahr, dürfte kein Arbeitnehmer unzufrieden sein... In der Realität sind z.B. die "umfangreichen Benefits" dann oft ein Wasserspender. Zumal vieles davon völlig subjektiv ist. Jeder hat eine andere Vorstellung von "tollen Teams". Für manche heißt das gar, den ganzen Tag mit den Kollegen über Off-Topic quatschen zu können, während der Rest arbeitet.
Im IOT-Umfeld ist es nicht anders. Natürlich ist ein Produkt innovativ, vielseitig, sicher und was der Kunde halt so hören möchte. Wer sich blind darauf verlässt, muss damit rechnen, über den Tisch gezogen zu werden. Hier an der 180 Grad Wende von der PR-Aussage "Wir überwachen unsere Kunden nicht" hin zu "Wir haben wohl doch unsere Kunden überwacht, die Daten nicht geschützt und nun sind zig Gigabyte im Internet gelandet". Macht das also besser nicht, wie ihr euch generell nicht auf unbelegte Werbeaussagen verlassen solltet. Sondern schaut euch an, was konkret der dafür tut und in wie weit das tatsächlich einen Mehrwert bringt. Seid vor allem vorsichtig, wenn etwas nicht nachprüfbar ist. Bei einer proprietären Cloud z.B. ist das in den meisten Fällen so, dass ihr als Kunde da kaum eine Chance habt. Das gilt nicht "nur" für die größten GAUs wie Sicherheitsvorfälle. Was macht ihr, wenn der in X Jahren Pleite geht? Oder ein Abo einführt? Ist das Gerät ohne die Anbindung nur eingeschränkt oder gar nicht nutzbar, ist das ein Problem. Und der Hersteller hat eine Motivation, damit das so ist. Schließlich sind dann mehr Kunden bereit, zusätzlich zum Kaufpreis noch mal ein paar Euro für ein Abo auszugeben - Salamitaktik. Wobei das noch vergleichsweise glimpflich ist, wenn sonst nichts passiert ist.
-
20.10.2022, 06:37 #2
AW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher
Ich hab bis heute nicht verstanden warum bei IoT oder Hausautomation man UNBEDINGT eine Kommunikation mit irgend einer fragwürdigen/unsicheren Cloud abhalten MUSS?
Warum kann ich solche Elemente nicht LOKAL verwalten, warum muss man ein Abo für diesen DRECK abschliessen?
Ja, Geld verdienen müssen Unternehmen, aber seltsamer Weise wird NIE einer in die Haftung genommen wenn dann doch (üblicher Weise) ein Datenleck dazu führt das pers. Daten
dann im Internet wieder zu finden sind - und das obwohl viele für diesen "Service" auch noch bezahlen!
Mir kommt so ein MÜLL nicht ins Haus.
PS.: Möglicher Weise sind Datenlecks auch ein "Service" der anbietenden Unternehmen?!?Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren. (Benjamin Franklin)
Die zwei häufigsten Elemente im Universum sind Wasserstoff und Blödheit. (Yonathan Simcha Bamberger)
Wer schweigt, stimmt nicht immer zu. Er hat nur manchmal keine Lust mit Idioten zu diskutieren. (Albert Einstein)
Der Weg zur Hölle ist mit guten Vorsätzen gepflastert. (Dante)
Es gibt Besserwisser, die niemals begreifen, dass man recht haben und ein Idiot sein kann. (Martin Kessel)
Doofheit ist keine Entschuldigung.
-
The Following User Says Thank You to Darkfield For This Useful Post:
-
19.11.2022, 16:52 #3
- Registriert seit
- 15.11.2011
- Beiträge
- 7.161
- Blog Entries
- 5
Thanked 9.268 Times in 3.117 PostsAW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher
Im August 2022 wurde eine Sicherheitslücke im Funk-Türschloss Abus HomeTec Pro CFA3000 bekannt. Dadurch können Unbefugte das Schloss öffnen. Anfangs äußerst sich der Hersteller nur vage, gibt nicht bekannt, wie er damit umgehen möchte. Zudem sei der Aufwand hoch und ein Angriff damit unwahrscheinlich. Betroffene sollen sich per E-Mail melden. Aber nicht um es ersetzt oder zumindest das Geld erstattet zu bekommen: Kunden bekommen nur einen Textbaustein, das Produkt könne auch in Zukunft "mit einem guten Gefühl der Sicherheit" genutzt werden. Das BSI sieht das ganz anders: Die sehen einen Angriff als durchaus wahrscheinlich an. Die Stiftung Warentest hat sich mal erkundigt, wer denn im Falle eines Einbruchs haftet. Bei unbekannten Sicherheitslücken sehen sie den Hersteller verantwortlich. Doch nachdem diese bekannt sind, können Versicherungen die Zahlung verweigern - nach dem Motto: Der Kunde ist selbst schuld, wenn er ein unsicheres Produkt nutzt, obwohl das längst öffentlich bekannt ist.
Für Abus scheinen all das nur nervige Details zu sein. Stiftung Warentest hat noch mal nachgefragt. Abus bleibt dabei, dass das Produkt trotz Schwachstelle weiterhin sicher sein soll. Es gibt keine Rückrufaktion, keinen Ersatz oder eine Rückerstattung. Auf der Produktseite des Herstellers wird es weiterhin beworben, man findet Shops, die es verkaufen. Dort gibt es nicht nur keinen Hinweis auf die Schwachstelle. Es wird sogar die Verschlüsselung mit "maximaler Sicherheit" beworben:
Da kommt der Super-GAU und statt nun wenigstens den Schaden zu begrenzen, stellen die sich hin "Welche Sicherheitsmängel? Also wir sehen keine". Mehr als schwach für ein Unternehmen, dass sich selbst als "Sicherheitsunternehmen" schimpft. Nebenbei ziehen die auch noch "Made in Germany" durch den Kakao. Mit solchen Freunden brauchst du keine Feinde mehr!
-
05.09.2024, 22:39 #4
- Registriert seit
- 15.11.2011
- Beiträge
- 7.161
- Blog Entries
- 5
Thanked 9.268 Times in 3.117 PostsAW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher
Völlig überraschend stellt sich heraus, dass smarte Spielzeuge weitaus mehr Daten sammeln, als nötig. Und die werden teilweise auch noch unverschlüsselt übertragen. Die 2010er Jahre haben angerufen und wollen ihre digitalen Postkarten wieder haben!
Als Bonus verlangen jene Spielzeuge, zu denen es Handy-Apps gibt, großteils weitaus mehr Rechte, als technisch notwendig wären. Am besten noch GPS, weil warum nicht. Haben ist besser als brauchen. Sind ja nur die Kinder, die blicken das noch weniger, als die meisten Eltern. Und die wiederum nicken "Erforderliche Datenübertragungen" bei Windows & co. sehr oft ab. Also springt man auf den Zug auf: Selbstverständlich werden nur Telemetriedaten zur Optimierung der Geräte gesammelt. Was könnte es harmloseres geben. Na dann ist ja alles gut.
-
The Following User Says Thank You to DMW007 For This Useful Post:
Darkfield (06.09.2024)
-
06.09.2024, 05:30 #5
AW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher
Perfide ist ja das man das alles verneinen muss!
Warum bestimmt unsere Gesetzgebung das nicht in Richtung Zustimmen?
Das ganze passt so gar nicht mit unserer DSGVO.
ABER ...
An alle die ein Fahrzeug Baujahr nach 2016 fahren!
Dein Fahrzeug sammelt fleissig Deine Fahrdaten/Fahrprofil UND GPS Daten, auch wenn kein Navi verbaut ist.
Wenns dann scheppert, und Du vielleicht nicht ganz frei von Schuld bist, die Schuldfrage schwammig,
dann griffel Gutachter diese Daten fleissig ab und verwenden das gegen Dich.
Herzlichen Glückwunsch.Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren. (Benjamin Franklin)
Die zwei häufigsten Elemente im Universum sind Wasserstoff und Blödheit. (Yonathan Simcha Bamberger)
Wer schweigt, stimmt nicht immer zu. Er hat nur manchmal keine Lust mit Idioten zu diskutieren. (Albert Einstein)
Der Weg zur Hölle ist mit guten Vorsätzen gepflastert. (Dante)
Es gibt Besserwisser, die niemals begreifen, dass man recht haben und ein Idiot sein kann. (Martin Kessel)
Doofheit ist keine Entschuldigung.
-
06.09.2024, 12:57 #6
- Registriert seit
- 15.11.2011
- Beiträge
- 7.161
- Blog Entries
- 5
Thanked 9.268 Times in 3.117 PostsAW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher
Die DSGVO erlaubt grundsätzlich nur die technisch zwingend notwendige Verarbeitung. Beispielsweise darf U-Labs Cookies setzen, wenn sich ein Nutzer anmeldet - der Sitzungscookie ist dafür erforderlich. Würde ich z.B. Werbung von Google Adwords einbinden, ist das aus technischer Sicht optional - das Forum würde auch ohne funktionieren. Daher müsste in diesem Falle der Nutzer gefragt werden, ob er dieser Datenverarbeitung zustimmt. Strittig sind derzeit zwei Dinge: Wann ist etwas "erforderlich"? MS argumentiert beispielsweise, dass ein Teil der Telemetrie aus ihrer Sicht zwingend für die Entwicklung von Windows und anderer Software benötigt wird. Aus technischer Sicht halte ich das für falsch. Software lässt sich komplett ohne Telemetrie entwickeln. War vor Jahren der Standard und vor allem freie Software zeigt, wie das bis heute geht.
Der zweite Punkt ist "Pay-or-ok". Das sieht man vor allem bei Zeitungen, Nachrichtenseiten und anderen kommerziellen Medien: Entweder man stimmt der Datensammlung durch Werbung zu, oder bucht ein Abo. Das wird nicht nur grundsätzlich diskutiert, sondern auch bei den Kosten. Es steht der Vorwurf im Raum, dass die Abos im Verhältnis viel zu teuer seien, weil alleine durch Werbeeinnahmen deutlich weniger verdient wird. Unter welchen Umständen das legitim ist, werden die Gerichte noch endgültig klären müssen.
Mit solchen Handy-Apps, die mehr Berechtigungen anfordern, wird es kompliziert. Das ist meines Wissens nach nicht explizit geregelt. Der Fokus liegt meist auf dem Web, weil es dort durch die Cookie-Banner jeder regelmäßig sieht. Was jedoch recht klar ist: Daten ohne Transportverschlüsselung zu übertragen, ist unzulässig. Die DSGVO verlangt ein angemessenes Schutzniveau mit den technischen Möglichkeiten. HTTPS ist seit Jahren Standard. Selbst wenn keine personenbezogenen Daten übertragen werden, ist das sicherheitstechnisch trotzdem nicht akzeptabel. Auf dem Weg kann jeder die Daten einsehen und manipulieren. Je nachdem, was diese Spielzeuge im Detail damit machen, kann das u.u. zu einer Gefährdung führen. Das sollte 2024 keine Diskussion mehr Wert sein, sondern als Mindestmaß umgesetzt.
Schlussendlich gilt aber auch hier: Wo kein Kläger, da kein Richter. Soweit ich mitbekommen habe, wurde ähnliches bereits vor Jahren in Experimenten herausgefunden. Ein paar Medien greifen das auf, wenige Tage später ist das Thema wieder durch. Die Produkte verkaufen sich offensichtlich weiterhin, sodass für die Hersteller wenig Anreiz besteht, das besser zu machen - es funktioniert ja.
-
The Following User Says Thank You to DMW007 For This Useful Post:
Darkfield (07.09.2024)
Ähnliche Themen
-
[Java] PopupParser - "Definitionen"/"Daten" verstanden, parser aber nicht (Beispiele)
Von Bubble Gum im Forum Reverse EngineeringAntworten: 5Letzter Beitrag: 25.04.2018, 19:13 -
MTV.ca Serien "Ridiculousness" und "Fantasy Factory" schauen?
Von phorris im Forum Internet und TechnikAntworten: 2Letzter Beitrag: 27.12.2014, 16:33 -
Unterschied zwischen "ChicaPC-Shield" und "Malwarebytes Anti-Malware"?
Von Accountuser im Forum WindowsAntworten: 1Letzter Beitrag: 29.12.2013, 14:31 -
"Wer ist online" & "Forum-Mitarbeiter" stimmen nicht überein
Von Devon im Forum SupportAntworten: 2Letzter Beitrag: 29.09.2012, 15:24
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.