Bist du ein Mensch? 7   +   4   =  

Bei Kritikern des Internet of Things stehen Sicherheitsfragen ganz oben auf der Problemliste. Je mehr Dinge miteinander vernetzt werden, desto mehr Angriffsflächen bieten sich Hackern oder sogar Terroristen. Hier ist auch die Politik gefragt. Eine der wichtigsten US-Behörden hat jetzt ein Strategiepaper für mehr IoT-Sicherheit vorgelegt.

Das amerikanische Heimatschutzministerium kennen TV-Fans vor allem aus der Serie „Homeland“, in der die labile Agentin Carrie Mathison auf der Jagd nach Terroristen ist. Das United States Department of Homeland Security (DHS), so der vollständige Name, wurde als Reaktion auf die Anschläge vom 11. September 2001 gegründet. Wenn sich so eine Institution mit der Sicherheit im Internet of Things beschäftigt, wird deutlich, wie ernst viele das Thema nehmen. Eine vom DHS herausgegebene  Publikation nennt folgende sechs Grundsätze:

Sicherheit schon während der Designphase berücksichtigen

Das DHS empfiehlt die Verwendung von komplexen voreingestellten Usernamen und Passwörtern. Die späteren Anwender behalten diese Einstiegscodes oft bei, worauf Hacker spekulieren. Sind die Voreinstellung hinreichend individuell und unvorhersehbar, sinkt die Gefahr, dass die Codes geknackt werden. Für mehr Sicherheit sorgen auch die Verwendung des neuesten Betriebssystems, bei dem bekannte Schwachstellen eliminiert sind, und von Hardware, bei der Sicherheitsaspekte etwa bei den Computerchips berücksichtigt wurden. Grundsätzlich sollte bei der Auswahl der Soft- wie Hardware die Möglichkeit eines Hackerangriffs und wie man diesem begegnet im Hinterkopf sein.

Updates fördern und Schwachstellen aufdecken

Idealerweise sollten Updates, die die Sicherheit erhöhen, automatisch durchgeführt werden. Für die Aufdeckung und Behandlung von Schwachstellen sollte ein Automatismus vorhanden sein. Werden Schwachstellen erkannt, sollte ein Mechanismus greifen, der diese schnellstmöglich allgemein bekannt macht und behebt. Und zu jedem  IoT-Produkt sollte von Beginn an ein Verfallsdatum kommuniziert werden, nach dem Updates und Korrekturen nicht mehr sinnvoll und praktikabel sind.

Auf bewährte Sicheheitspraktiken bauen

Vieles, was in der traditionellen IT-Welt funktioniert, lässt sich auch im Internet of Things anwenden. Das verweist dabei auf Handlungsempfehlungen aus Bereichen wie der Medizin oder selbstfahrenden Autos. Salopp ausgedrückt: Nicht jeder IoT-Teilnehmer muss das Raf neu erfinden. Schlauer ist es, Netzwerke aufzubauen und darüber Erfahrungen auszutauschen, die branchenübergreifend hilfreich sein können.

Verwendungszweck kennen und Prioritäten setzen

Nicht in allen Bereichen sind die Sicherheitsrisiken gleich hoch. Wer ein Kernkraftwerk betreibt, muss andere Vorkehrungen treffen als ein Einzelhändler. Daher ist es bei der Entwicklung von Geräten wichtig zu wissen, wo diese später eingesetzt werden und von wem. Ist das bekannt, lassen sich die Geräte im Vorfeld auch besser auf ihre Schwachstellen testen und optimieren.

Transparenz fördern

Das Internet of Things besteht aus vielen Komponenten, Soft- wie Hardware, von zahlreichen Anbietern. Das gilt selbst für einzelne Anwendungsprozesse. Umso wichtiger, dass bei diesen größtmögliche Transparenz besteht und alle Glieder der Lieferkette zu kennen. Idealerweise stehen alle an dieser Kette beteiligten Parteien in Verbindung, tauschen sich aus und unterstützen sich gegenseitig, sollten Sicherheitslücken auftreten. Hilfreich sind auch Crowdsourcing-Plattformen, auf denen Betroffene ihre Erfahrungen teilen und damit auch anderen Unternehmen helfen können. Das DHS schlägt sogar vor, öffentliche Listen mit den verwendeten Komponenten und den damit verbundenen Sicherheitsfragen zu veröffentlichen, damit das IoT-Ökosystem im Ernstfall schneller reagieren kann.

Sich bewusst und achtsam vernetzten

Zu lange im Internet unterwegs sein ist nicht gut – das gilt nicht nur für exzessive Websurfer, sondern eventuell auch für das Internet of Things. Darum gilt es zu prüfen, ob eine permanente Anbindung an das Internet überhaupt notwendig ist. Und im Umkehrschluss, was passiert, wenn ein ein IoT-Gerät einmal ofline gestellt wird, mutwillig oder wegen einer Panne. Über beides sollten Anwender unbedingt aufgeklärt werden. In manchen Fällen ist eine Internetanbindung gar nicht notwendig, ein lokales Netzwerk, ein Intranet, würde es auch tun und wäre weniger gefährdet.

Wie es sich für eine amerikanische Behörde gehört, beschließt das DHS den Leitfaden mit einem patriotischen Appell: „Unsere Nation kann sich keine Generation von IoT-Geräten leisten, bei der Sicherheitsfragen nur gering beachtet werden. Die Konsequenzen wären zu schwerwiegend, betrachtet man den Schaden, den unsere Infrastruktur, unsere Privatsphäre und unsere Wirtschaft nehmen könnten.“

Bild ganz oben: das Wappen des DHS