“Weapon of Mass Destruction”: Das Internet of Things als Sicherheitsproblem

Auf dem Weg in die Gigabit-Gesellschaft stellt sich der Branche zunehmend die Sicherheitsfrage. Inzwischen setzt sich die Erkenntnis durch, dass es mit den Netzen der nächsten Generation nicht nur mehr Bandbreite und Anwendungen geben wird, sondern auch neue Bedrohungsszenarien. Ronan Kelly, Präsident des FTTH Council Europe und CTO des Ausrüsters Adtran, hält die Bedrohungslage in einem Gigabit-IoT für durchaus ernst und spricht auf der Fachmesse Broadband World Forum (BBWF) in Berlin von einem potenziellen “Weapon of Mass Destruction”.

Ignorante Anwender

In der Branche herrscht weitgehend Einigkeit darüber, dass sie diese Herausforderung gemeinsam bewältigen muss – und es nicht nur Geräteherstellern und Endanwendern überlassen darf. "Der normale Anwender interessiert sich nicht dafür, er will nur, dass es funktioniert", meint Asher Besserglick vom israelischen Unternehmen Sam Seamless Network, das Sicherheitslösungen für zentrale Schnittstellen wie den Heimrouter anbietet, um das Smart Home abzusichern. "Wir wollen, dass sie diese Geräte benutzen, also müssen wir für Sicherheit sorgen."

Den Router im Smart Home abzusichern, wird aber wohl nicht reichen. Mit der nächsten Mobilfunkgeneration wächst die Zahl der Anwendungen – und der Clients. "Mit 5G wird es mehr Geräte geben, die sich direkt mit den Netzen verbinden und nicht über ein WLAN", sagt Mikko Hypponen, Forschungsleiter beim finnischen Sicherheitsanbieter F-Secure. Es dürfte eine Wunschvorstellung bleiben, alle diese Geräte und ihre Funktion kontrollieren zu können. Trotzdem meint Besserglick, “wir werden uns alles bis runter zum letzten Gerät angucken müssen”.

Lauter Zombies

Erschwerend kommt hinzu, dass sich viele Billigdinger mit dem IoT verbinden, die ab dem ersten IP-Paket schon ein Sicherheitsrisiko darstellen. "Viele IoT-Geräte sind Zombies ab dem Moment, an dem sie ans Netz gehen. Niemand wird ein Zwei-Dollar-Gerät patchen”, sagt Besserglick. “Also dürfen wir uns nicht darauf verlassen, dass die Hersteller das Problem lösen."

Auch die Zertifizierung der Geräte von bekannten Herstellern als vertrauenswürdig hat ihre Grenzen. Während das im Unternehmensumfeld noch sinnvoll sein mag, wird das Internet of Things auch von zahllosen Geräten unklarer Herkunft bevölkert, die Privatanwendern bei eBay oder Alibaba kaufen. "Das Konzept der trusted devices wird in Heimnetzen nicht funktionieren, deshalb brauchen wir eine netzseitige Lösung", meint Marcio Avillez, dessen Unternehmen Cujo AI so eine Lösung anbietet. Die Herausforderung wird sein, "unerwünschtes Verhalten zu erkennen und unterbinden, ohne alles vom Netz nehmen zu müssen."

Netzbetreiber, Ausrüster und Diensteanbieter müssen Sicherheitsvorkehrungen auf allen Ebenen treffen – und ihre Organisation entsprechend anpassen. “Bei integrierter Sicherheit geht es nicht nur um Produkte, sondern auch um Prozesse", meint Torsten Jüngling vom britischen Netzbetreiber BT. Er sieht die Branche um so mehr in der Verantwortung, weil “Verbraucher heutzutage sehr offen mit ihren Daten umgehen”.

Bei der Abwehr von Cyberbedrohungen setzt die Branche große Hoffnungen auf Machine Learning und Künstliche Intelligenz (KI). Thomas Kallstenius vom belgischen Forschungszentrum für Nano- und Mikroelektronik (Imec) warnt vor gezielten Angriffen auf diese lernenden Systeme, um ihre Schutzfunktion zu unterwandern – Kelly nennt das “die KI fehlunterrichten”. Hypponen sieht dennoch mehr Nutzen als Risiko: "Angriffsszenarien entwickeln sich weiter, gerade deshalb brauchen wir lernende Systeme." Der finnische Experte ist bei allem Risikobewusstsein auch ein bisschen optimistisch. “Es ist nicht alles schlecht”, meint Hypponen. “Wir werden besser." (vbr)