Internet der Dinge: Alles ist hackbar

» Von Jens Stark , 22.05.2014 06:00.

weitere Artikel

Nichts gelernt

Was die Sicherheitsexperten in Bezug auf das Internet der Dinge auf die Palme treibt, ist die Tatsache, dass man aus vergangenen Fehlern wieder einmal nichts gelernt hat. Die Industrie hätte die einmalige Chance, sich dieses neue Gebiet von Anfang an mit der Sicherheits­problematik im Hinterkopf zu erschliessen. Aber das Gegenteil scheint der Fall zu sein. In einem kürzlich erschienen Artikel für das US-Magazin «Wired» bringt IT-Security-Guru Bruce Schneier schwere Sicherheitsbedenken gegen sogenannte Embedded Systems – die Bausteine des Internets der Dinge – aufs Tapet. Diese Systeme «sind mit Schwachstellen nur so übersät», meint er. Und das Schlimmste: «Es gibt keinen guten Weg, diese Sicherheitslöcher zu stopfen.»

Ähnliches habe man in den 1990er-Jahren in der PC-Industrie beobachten können. Bei den eingebetteten Systemen sei die Situation aber schlimmer, weil es noch schwieriger sei, allfällige Schwachstellen zu flicken. Das hat laut Schneier systemimmanente Gründe. Denn diese eingebetteten Systeme bestehen aus Komponenten, die kaum eine Gewinnmarge abwerfen und in die folglich sehr wenig Engineering fliesst. «Das Problem ist, dass keiner der Beteiligten einen Anreiz, die Expertise oder die Möglichkeit hat, die Software in den Komponenten zu patchen, wenn sie einmal aus­geliefert ist», kritisiert Schneier. Zudem sei die Software meist veraltet, selbst wenn das Gerät frisch aus dem Laden kommt. Eine Unter­suchung gängiger Heim-Router hat laut Schneier ergeben, dass dort bis zu sechs Jahre alte Software laufe. Ob diese Oldies jeweils alle Security-Patches erhalten haben, sei zumindest zweifelhaft, mutmasst Schneier.

Laut dem Security-Guru ist es teilweise gar nicht möglich, Patches auszuliefern, weil die ursprünglichen Open-Source-Software-Kom­ponenten oft durch binäre Blobs (geschlossene Zusätze) ergänzt wurden. «Selbst wenn ein Patch möglich ist, wird er selten ausgeliefert und eingespielt», bekrittelt Schneier. «Das Resultat: Hunderte Millionen Geräte bevölkern das Internet – ungepatcht, unsicher und zwar schon seit zehn Jahren», resümiert er. Das Internet der Dinge wird diese Situation noch verschlimmern, ist Schneier überzeugt.

Ist also «Security by Design» bei der Erschliessung des brandneuen Internets der Dinge mit all seinen eingebetteten Systemen ein Fremdwort? Die von Computerworld befragte helvetische Expertenrunde stimmt dieser These zu. «Im Moment ist das so», erklärt Peter Brandt. «Die Anzahl der Features und Time-to-Market zählen mehr als Security – im Consumer-Bereich ist dies besonders aus­geprägt.» So werde kaum jemand einen «smarten» Fernseher kaufen, der weniger kann als das Konkurrenzmodell vom Vorjahr, aber wegen zusätzlich eingebauter Sicherheitsmechanismen um die Hälfte mehr kostet.

Nächste Seite: Kein Anreiz für Security

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.