Entwicklermanifeste für das Internet der Dinge

Inhaltsverzeichnis

Ein funkelnder Jeep, eine Trutzburg von einem Auto, Ausdruck von Stärke und menschlicher Erfindungskraft, fährt einen Highway entlang. Plötzlich, gegen den Willen des Fahrers, geht die Lüftung an, dann schaltet sich das Radio ein und beschallt den Innenraum mit ohrenbetäubender Lautstärke. Die Konzentrationsfähigkeit des Fahrers nimmt ab, da versperren ihm auch noch die Scheibenwischer die Sicht. Zu guter Letzt schaltet sich der Motor einfach aus -- das Auto wird zum stehenden Hindernis für die mit hoher Geschwindigkeit nachkommenden Fahrzeuge.

Was nach dem Plot eines Agentenfilms klingt, ist das Werk der amerikanischen Entwickler Charlie Miller und Chris Valasek. Der Hack, den ein Journalist des Magazins Wired begleitete, schaffte es im Sommer 2015 in die wichtigsten Nachrichtensendungen weltweit. Autofahrer waren alarmiert, aber auch Nutzer anderer vernetzter Geräte begannen sich zu fragen, wie sicher sie sich in einer digitalisierten Welt bewegen können.

Dabei gibt es unter Entwicklern bereits seit einigen Jahren Initiativen, die vor unausgereiften und unsicheren Produkten warnen. 2013 stellte der Programmierer und Sicherheitsexperte Joshua Corman in seinem TEDx Talk "Swimming with the sharks" fest, dass die Abhängigkeit der Menschen von der IT schneller wüchse, als ihre Fähigkeit, sich vor ihr zu schützen. Die Analogie zum Schwimmen mit dem Raubtier ist geschickt gewählt: "Wir schwimmen in einem Meer aus Technik, jeder Aspekt unseres Lebens hat das Potenzial, sich mit anderen Bereichen zu vernetzen." Im Gegensatz zum Schwimmen mit Haien haben aber die wenigsten einen Sicherheitskäfig, wenn sie sich in die digitale See begeben – häufig wissen sie nicht einmal, welchen Gefahren sie sich aussetzen.

Grund genug für Corman, gemeinsam mit Gleichgesinnten das Sicherheitsnetzwerk I am the Cavalry zu gründen. Der Name lässt sich auf die Erfahrungen zurückführen, die Corman machte, als er mit seinen Erkenntnissen über offensichtliche Schwachstellen bei vernetzten Produkten auf die Stellen zuging, die er für zuständig hielt. Doch weder die Strafverfolgung noch andere angesprochene Organisationen oder Verbände kamen ihm zu Hilfe. Das Ausbleiben der Unterstützung führte Corman und seine Kollegen also zu dem Credo: "Ich bin die Kavallerie".

Seither kümmert sich der Zusammenschluss aus Entwicklern, Hackern und anderen Experten um die Schwachstellen der digitalisierten Welt und will aufrütteln, um ein Bewusstsein für mehr Sicherheit im Umgang mit vernetzten Produkten schaffen, Anfang 2016 veröffentlichte die Gruppe gar den Entwurf eines hypokratischen Eids für vernetzte, medizinische Geräte. Die generelle Frage in der Entwicklung sei inzwischen immer weniger, was realisierbar ist, sondern mehr, was man tatsächlich umsetzen sollte. Jeder müsse sich damit beschäftigen, ob tatsächlich Produkte entstehen sollen, deren Sicherheit der Anbieter nicht 100-prozentig garantieren kann. Zudem ist zu überlegen, ob es lohnt, auf Kundenwünsche einzugehen, wenn sie dem Nutzer am Ende schaden könnten.

Psychologisch geht I am the Cavalry gern subtiler vor, als die Köpfe hinter dem medienwirksamen Jeep-Hack. Auf der diesjährigen BSides-Konferenz in Las Vegas machte Corman klar, dass die Bewegung eine andere Strategie verfolge. Statt Konzerne mit ihren Sicherheitslücken bloßzustellen, möchte sie enger mit der Industrie zusammenarbeiten, damit diese geeignete Gegenmaßnahmen ergreifen könne. "Wir müssen ihnen auf ihrem Level begegnen" sagt Corman. Von Sicherheitsfragen betroffen ist nicht nur das vernetzte Auto: Das Netzwerk sieht außerdem Handlungsbedarf in den Bereichen Medizin, Smart Homes und Infrastruktur.