1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.081
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher

    Seit einiger Zeit wird das Internet der Dinge ja als Lösung für allerlei mögliche Probleme angepriesen: Alles soll mit allem vernetzt sein und am besten automatisch kommunizieren. Teilweise sinnvoll, teilweise Spielerei und teils lösen sie Probleme, die man bis dahin noch nicht hatte oder zumindest kannte. Das klassische Beispiel welches auch Medienaufmerksamkeit erreichte, ist wohl der intelligente Kühlschrank: Er weiß was drin ist, was die Besitzer wollen und bestellt Lebensmittel automatisch nach, bevor sie ausgehen. Hat sich bislang nicht so recht durchgesetzt. Es blieb meist bei Kühlschränken mit Zusatzfunktionen. Etwa einen Bildschirm an der Tür oder einer Kamera, die auf dem Smartphone den Inhalt unterwegs aufs Handy streamt. Und dafür muss man im Vergleich zu "dummen" Kühlschränken einen ordentlichen Aufpreis zahlen. Man kann sich streiten, in wie weit so etwas sinnvoll oder gar nötig ist.

    Unabhängig davon zu welcher Kategorie man ein IoT-Gerät zählt: Es steckt im Grunde immer ein Computer drin. Der ist zudem per Funkverbindung mit anderen Geräten vernetzt. Vielleicht "nur" per Bluetooth mit dem Handy, oder aber sogar per WLAN. Mit letzterem kommt das Gerät nicht nur frei ins Heimnetz, sondern auch ins Internet. Und hier finde ich wird es unabhängig vom Gerät aus technischer Sicht interessant. Jedes Computersystem enthält Sicherheitslücken, braucht Wartung und bietet Missbrauchspotenzial. Da hat sich leider gezeigt, dass viele Hersteller das entspannter sehen. Grundlegende Sicherheitsmaßnahmen werden gerne mal weggespart, die Geräte laufen Amok und am besten will dann noch keiner verantwortlich sein. Getoppt wird das in den letzten Jahren noch durch den Trend zur Cloud, wodurch noch mal ein paar Risiken dazu kommen. Neben sicherheitstechnischen auch grundsätzliche, z.B. wenn der Hersteller für seine Clouddienste plötzlich (mehr) Geld haben will, ein Abo einführt oder sie ganz abschaltet. Schon alleine Sicherheitstechnisch führt das immer mal wieder zur mehr oder weniger schlimmen Vorfällen. Für einen Überblick über das Ausmaß möchte ich hier solche Ereignisse sammeln, zumindest jene die bekannt wurden.

    Fangen wir an mit DJI: Der Marktführer von Drohnen hatte einen Datenreichtum von 80.000 Drohnen seiner Kunden. Neben Seriennummern hat das Unternehmen auch Flugdaten der Kunden gesammelt und durch eine ungeschützte Datenbank ins Internet für jeden zugreifbar gestellt. Die war auch noch bei AWS gehostet, zumindest aus euorpäischer Sicht also doppelt ungeschützt. Wobei das Heimatland China freilich nicht besser wäre. Die Drohnen werden u.a. zur Überwachung des Luftraumes genutzt. Und anscheinend setzen sie beide Parteien im Ukraine-Krieg ein. Das verschafft der Katastrophe eine neue Dimension, wenn so was im Krieg eingesetzt wird und der Gegner kann dank ungeschützter Daten im Internet nachschauen, wo Drohnen des anderen so herum fliegen. Der Hersteller weist jetzt natürlich darauf hin, dass die gar nicht fürs Militär gedacht sind. Damit haben sie auch Recht, für diesen Teil der Schuld sind sie tatsächlich nicht zur Verantwortung zu ziehen. Aber unabhängig davon macht es den Umstand nicht besser, dass sie sensible Daten ihrer Kunden gesammelt und die auch noch in eine public Cloud mit nicht mal Authentifizierungsschutz gelegt haben.

    Lustigerweise hat der Hersteller erst vor 2 Monaten eine offizielle Erklärung veröffentlicht, in der sie u.a. verschiedene Verschwörungstheorien bzw. Erzählungen aufgreifen. Hauptsächlich die These, dass sie im Ukraine-Krieg Infos sammeln und sie der Gegenseite zuspielen. Das hatten sie klar abgestritten, denn sie würden ihre Nutzer ja nicht überwachen und hätten daher gar keine Infos, die man weitergeben könnte. Außerdem gäbe es Sicherheitsprüfungen, die das belegen. Das lief dann wohl nicht so gut für die PR-Abteilung. Im gleichen Artikel werden auch andere Vorwürfe aufgegriffen. Dabei geht es auch um Manipulation, also dass die Drohnen einer Kriegspartei manipuliert werden. Macht man natürlich nicht. Und außerdem sei gar nicht sicher, dass die wirklich Drohnen von diesem Unternehmen nutzen. Ich lasse das mal unkommentiert, das ist mMn auch gar nicht der Punkt, ob die im Krieg da irgendwie Partei ergreifen.

    Hier sieht man sehr deutlich, was ich schon öfter beobachtet habe: Die verhalten sich wie in Stellenausschreibungen. Habt ihr schon mal eine Stellenanzeige gesehen, in der nicht 0815 Buzzwords vorkommen? Ein Unternehmen, dass nicht umfangreiche und hochwertige Benefits bietet, flache Hierarchien, tolles Team, überdurchschnittliche Bezahlung verspricht? Wäre nur der Großteil davon wahr, dürfte kein Arbeitnehmer unzufrieden sein... In der Realität sind z.B. die "umfangreichen Benefits" dann oft ein Wasserspender. Zumal vieles davon völlig subjektiv ist. Jeder hat eine andere Vorstellung von "tollen Teams". Für manche heißt das gar, den ganzen Tag mit den Kollegen über Off-Topic quatschen zu können, während der Rest arbeitet.

    Im IOT-Umfeld ist es nicht anders. Natürlich ist ein Produkt innovativ, vielseitig, sicher und was der Kunde halt so hören möchte. Wer sich blind darauf verlässt, muss damit rechnen, über den Tisch gezogen zu werden. Hier an der 180 Grad Wende von der PR-Aussage "Wir überwachen unsere Kunden nicht" hin zu "Wir haben wohl doch unsere Kunden überwacht, die Daten nicht geschützt und nun sind zig Gigabyte im Internet gelandet". Macht das also besser nicht, wie ihr euch generell nicht auf unbelegte Werbeaussagen verlassen solltet. Sondern schaut euch an, was konkret der dafür tut und in wie weit das tatsächlich einen Mehrwert bringt. Seid vor allem vorsichtig, wenn etwas nicht nachprüfbar ist. Bei einer proprietären Cloud z.B. ist das in den meisten Fällen so, dass ihr als Kunde da kaum eine Chance habt. Das gilt nicht "nur" für die größten GAUs wie Sicherheitsvorfälle. Was macht ihr, wenn der in X Jahren Pleite geht? Oder ein Abo einführt? Ist das Gerät ohne die Anbindung nur eingeschränkt oder gar nicht nutzbar, ist das ein Problem. Und der Hersteller hat eine Motivation, damit das so ist. Schließlich sind dann mehr Kunden bereit, zusätzlich zum Kaufpreis noch mal ein paar Euro für ein Abo auszugeben - Salamitaktik. Wobei das noch vergleichsweise glimpflich ist, wenn sonst nichts passiert ist.


  2. #2
    Avatar von Darkfield
    Registriert seit
    24.04.2013
    Beiträge
    3.046
    Thanked 1.779 Times in 1.268 Posts

    Standard AW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher

    Ich hab bis heute nicht verstanden warum bei IoT oder Hausautomation man UNBEDINGT eine Kommunikation mit irgend einer fragwürdigen/unsicheren Cloud abhalten MUSS?
    Warum kann ich solche Elemente nicht LOKAL verwalten, warum muss man ein Abo für diesen DRECK abschliessen?

    Ja, Geld verdienen müssen Unternehmen, aber seltsamer Weise wird NIE einer in die Haftung genommen wenn dann doch (üblicher Weise) ein Datenleck dazu führt das pers. Daten
    dann im Internet wieder zu finden sind - und das obwohl viele für diesen "Service" auch noch bezahlen!

    Mir kommt so ein MÜLL nicht ins Haus.

    PS.: Möglicher Weise sind Datenlecks auch ein "Service" der anbietenden Unternehmen?!?
    Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren. (Benjamin Franklin)
    Die zwei häufigsten Elemente im Universum sind Wasserstoff und Blödheit. (Yonathan Simcha Bamberger)
    Wer schweigt, stimmt nicht immer zu. Er hat nur manchmal keine Lust mit Idioten zu diskutieren. (Albert Einstein)
    Der Weg zur Hölle ist mit guten Vorsätzen gepflastert. (Dante)
    Es gibt Besserwisser, die niemals begreifen, dass man recht haben und ein Idiot sein kann. (Martin Kessel)
    Doofheit ist keine Entschuldigung.

  3. The Following User Says Thank You to Darkfield For This Useful Post:

    DMW007 (20.10.2022)

  4. #3
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.081
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Sicherheitsrisiken im "Internet der Dinge" (IoT): Das "S" steht für sicher

    Im August 2022 wurde eine Sicherheitslücke im Funk-Türschloss Abus HomeTec Pro CFA3000 bekannt. Dadurch können Unbefugte das Schloss öffnen. Anfangs äußerst sich der Hersteller nur vage, gibt nicht bekannt, wie er damit umgehen möchte. Zudem sei der Aufwand hoch und ein Angriff damit unwahrscheinlich. Betroffene sollen sich per E-Mail melden. Aber nicht um es ersetzt oder zumindest das Geld erstattet zu bekommen: Kunden bekommen nur einen Textbaustein, das Produkt könne auch in Zukunft "mit einem guten Gefühl der Sicherheit" genutzt werden. Das BSI sieht das ganz anders: Die sehen einen Angriff als durchaus wahrscheinlich an. Die Stiftung Warentest hat sich mal erkundigt, wer denn im Falle eines Einbruchs haftet. Bei unbekannten Sicherheitslücken sehen sie den Hersteller verantwortlich. Doch nachdem diese bekannt sind, können Versicherungen die Zahlung verweigern - nach dem Motto: Der Kunde ist selbst schuld, wenn er ein unsicheres Produkt nutzt, obwohl das längst öffentlich bekannt ist.

    Für Abus scheinen all das nur nervige Details zu sein. Stiftung Warentest hat noch mal nachgefragt. Abus bleibt dabei, dass das Produkt trotz Schwachstelle weiterhin sicher sein soll. Es gibt keine Rückrufaktion, keinen Ersatz oder eine Rückerstattung. Auf der Produktseite des Herstellers wird es weiterhin beworben, man findet Shops, die es verkaufen. Dort gibt es nicht nur keinen Hinweis auf die Schwachstelle. Es wird sogar die Verschlüsselung mit "maximaler Sicherheit" beworben:



    Da kommt der Super-GAU und statt nun wenigstens den Schaden zu begrenzen, stellen die sich hin "Welche Sicherheitsmängel? Also wir sehen keine". Mehr als schwach für ein Unternehmen, dass sich selbst als "Sicherheitsunternehmen" schimpft. Nebenbei ziehen die auch noch "Made in Germany" durch den Kakao. Mit solchen Freunden brauchst du keine Feinde mehr!


Ähnliche Themen

  1. Antworten: 5
    Letzter Beitrag: 25.04.2018, 19:13
  2. MTV.ca Serien "Ridiculousness" und "Fantasy Factory" schauen?
    Von phorris im Forum Internet und Technik
    Antworten: 2
    Letzter Beitrag: 27.12.2014, 16:33
  3. Antworten: 1
    Letzter Beitrag: 29.12.2013, 14:31
  4. Antworten: 2
    Letzter Beitrag: 29.09.2012, 15:24
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.