/ Security / Kommentar: Das Internet (der Dinge) darf kein rechtsfreier Raum bleiben

Kommentar: Das Internet (der Dinge) darf kein rechtsfreier Raum bleiben

Moritz Rosenfeld on December 3, 2016 - 9:40 pm in Security

Das Internet der Dinge wird immer mehr zum Risiko. Ob Riesenbotnetze oder lahmgelegte Router – der Markt versagt in Sachen Sicherheit. Der Staat muss jetzt klare Regeln schaffen, findet Jürgen Schmidt.

Wenn ich ein Gerät ans Stromnetz anschließe, muss das ein CE-Prüfzeichen tragen. Das stellt sicher, dass es nicht nachts plötzlich Feuer fängt und das ganze Haus niederbrennt. Ans Internet hingegen darf man alles anschließen, was irgendwie IP spricht. Wenn es dann nebenbei andere Systeme abschießt oder die Internet-Infrastruktur ganzer Länder lahmlegt, ist das deren Problem. Das darf nicht so bleiben.

Das Mirai-Botnetz hat über eine Million Zombies unter seiner Kontrolle, darunter Kameras, Videorecorder und Drucker. Die haben bereits einen renommierten Blogger aus dem Netz geschossen und wichtige Internet-Dienste lahmgelegt. Der TR-069-Wurm hat fast eine Million Telekom-Router lahmgelegt. Und das ist erst der Anfang.

Security? Wen interessiert’s?

Der Grund: Der Markt für das Internet der Dinge – kurz IoT – funktioniert nicht. Jedenfalls nicht, wenn es um Sicherheit geht. Die wird von allen Beteiligten nur als störend empfunden. Die Hersteller interessieren sich nicht für Sicherheit; wichtig ist ihnen nur, möglichst schnell ein funktionsfähiges und billiges Produkt auf den sich gerade entwickelnden Markt zu bringen. Wer da zu spät dran oder gar zu teuer ist, den bestraft der Markt. Also kaufen sie irgendwelche Billigkomponenten in Fernost ein, deren Technik sie oft im Detail selber nicht verstehen und bauen ein schickes Gehäuse drumherum. Security? Wen interessiert’s?

Die Anwender wollen vor allem Dinge, die funktionieren. Die Glühbirne muss leuchten und der Videorekorder aufzeichnen. Was interessiert es mich, wenn mein digitaler Videorekorder nebenher noch Paypal lahmlegt oder einen missliebigen Blogger aus dem Netz schießt? Hauptsache, der nimmt das Champions-League-Spiel heute abend auf.

Der Markt versagt, der Staat muss ran

Anders als bei Computern, Smartphones und Tablets gibt es im IoT-Markt keine einzige Kraft, die für sicherere Geräte sorgen würde. Und wenn der Markt nicht funktioniert, muss der Staat eingreifen und reglementieren. Das tat er bereits beim Straßenverkehr und beim Stromnetz.

Die Reglementierung des Internet wird zwangsläufig kommen. Denn wir können die Schäden, die durch Amok-laufende IoT-Geräte auf uns zukommen, derzeit noch gar nicht richtig ermessen. Sicher ist: Wir reden da von mehrstelligen Millionenbeträgen und früher oder später auch von Menschenleben, die ein IoT-GAU kosten wird. Wenn wir warten, bis der eintritt, werden Politiker Handlungsfähigkeit beweisen müssen. Aber was dabei rauskommt, wollen wir alle nicht. Deshalb müssen wir jetzt aktiv werden.

Drei einfache Regeln

Das kann ganz einfach sein: Wenn ein Gerät in Deutschland beziehungsweise Europa verkauft werden soll, das ans Internet angeschlossen werden kann, muss es wenigstens drei einfache Sicherheitsregeln einhalten:

  1. Alle externen Zugänge zum Gerät müssen dokumentiert sein.
  2. Diese Zugänge müssen spätestens im Rahmen der Installation und Inbetriebnahme gegen Unberechtigte gesichert werden; dabei dürfen keine Default-Passwörter zum Einsatz kommen.
  3. Es muss eine dokumentierte Update-Möglichkeit geben, die insbesondere Zuständigkeiten klar dokumentiert.

Mit einem solchen IoT-Security-Siegel wären wir einen ganz großen Schritt weiter. Denn wenn wir das haben, reden wir über Haftung. (axk)

Read more on: Source

Comments are disabled