„Whatever, put a chip in it.“

Sebastian Floss

Die sorglosen Tage im IoT sind vorbei

Der Autor:

Sebastian Floss

... schreibt über Elektronik, Design for Manufacturability, Embedded Software und ist auf einer immerwährenden Mission, Sicherheit in der Software-Entwicklung irgendwann selbstverständlich werden zu lassen. Sie können ihn über das Formular am Ende des Artikels erreichen.

Der geneigte Leser wird gemerkt haben: die Überschrift stammt vom berühmt-berüchtigten Twitter-Account @internetofshit. 

Mir gefällt der Halbsatz aus dem tragischen Grund, dass man, schaut man sich den wachsenden Markt der mit-dem-Internet-verbundenen Geräte an, schnell zu dem Schluss kommt: Es ist wirklich nicht die schlechteste Zusammenfassung dessen, was im IoT passiert. Nicht in dem Sinne, dass es bisher nur "dumme" oder alberne Ergänzungen zu bestehenden Produkten gibt. Ich denke eher an eine vereinfachte Beschreibung dessen, wie viele Unternehmen denken, wenn sie auf den IoT-Hype aufspringen.

Ein paar Zahlen dazu: Laut dem Cyber-Sicherheits-Eurobarometer 2017 der Europäischen Kommission haben 69% der Unternehmen kein oder nur ein grundlegendes Verständnis von möglichen Cyber-Risiken. Auf der anderen Seite sagt das Gartner Institut, dass wir mehr als 8 Milliarden IoT-Geräte in freier Wildbahn haben. Eine Studie von HP aus dem Jahr 2015 ergab, dass 70% der am häufigsten verwendeten IoT-Geräte mit unsicheren Standardeinstellung, fehlender Verschlüsselung usw. ausgeliefert werden. Auch wenn das vor drei Jahren war, Sie können sich ausrechnen, was ich meine.

Sicher, die Verbraucher fordern "Smarte Produkte, sofort!”, die Hersteller sind gezwungen, zu reagieren, und der einfachste Weg ist natürlich, zu nehmen was Sie bereits haben und "einen Chip einzubauen". Aber warum wird die Sicherheit ignoriert? Wird das nicht langsam aber sicher zu einem  Verkaufsargument?

Gleich vorweg: nein, wird es nicht. Die Cyber-Sicherheit wird von den meisten Menschen nur als abstrakte Gefahr gesehen, aber es gibt keine Benchmarks oder andere Mittel, um die Cyber-Sicherheit von Produkten zu vergleichen. Auf der anderen Seite können Features leicht verglichen werden, so dass es keinen Anreiz für die Anbieter gibt, Geld für Sicherheit auszugeben.

Obwohl es leicht ist, die Schuld für den Mangel an IoT-Sicherheit den Billigheimern unter den Herstellern zuzuschreiben, liegt das eigentliche Problem darin, die Verantwortung auf die Konsumenten abzuwälzen.

Es ist im Grunde ein Teufelskreis: Ein neues Produkt wird mit den Mindestanforderungen des Konsumenten und damit einer hohen technischen “Schuld” im Bereich Sicherheit auf den Markt gebracht. Der Anbieter möchte die Marktfähigkeit des Produkts ja zu den geringstmöglichen Kosten testen (was oft mißbräuchlich als “agile Entwicklung” bezeichnet wird). 

Später, wenn das Produkt den gewünschten Erfolg erzielt, wird es die Aufmerksamkeit von Sicherheitsforschern bekommen (oder es wird einfach gehackt). 

Um weiteren Schaden von seiner Marke abzuwenden, wird der Hersteller reagieren und die "technischen Schulden" begleichen. Aber das Gleiche kann und wird wieder passieren, sogar für das gleiche Produkt des gleichen Herstellers: Denken Sie mal an Intels katastrophales letztes Jahr: Zuerst die Management Engine, dann Spectre und Meltdown. Ja, das ist kein reines IoT Beispiel, aber das Prinzip identisch.

Auf lange Sicht könnte dieses Verhaltensmuster dazu führen, dass Verbraucher neuen "smarten" Produkten - insbesondere in Nischenmärkten - misstrauen, was es für Unternehmen wiederum schwierig macht, neue Produkte auf den Markt zu bringen, sofern sie nicht einen gewisse Reputation im Sicherheitsbereich haben.

Aber seien wir ehrlich: Es muss viel passieren, bevor die Mehrheit dort ankommt.

Ich bin der festen Überzeugung, dass die Sensibilisierung der Verbraucher ein eher sinnloses Unterfangen ist. Wenn Anbieter nicht gezwungen werden, Etiketten auf ihre Verpackung zu kleben, auf denen steht: "Das Gerät könnte versuchen, Ihre Regierung anzugreifen oder Bitcoins für das organisierte Verbrechen zu minen", werden wir die Aufmerksamkeit der der Menschen nicht bekommen.

Solange das Produkt wie beschrieben funktioniert, wie sollte der Durchschnittsbenutzer überhaupt wissen, dass gerade ein Schaden verursacht wird - vor allem wenn dieser ihn nicht selbt trifft!

Von keinem Käufer wird erwartet zu wissen, ob ein Gerät ein Sicherheitsrisiko darstellt, gefährliche Substanzen enthält oder das WLAN im gesamten Gebäude beeinträchtigt. 

Hier haben wir gelernt auf Normen und Gesetze zu vertrauen. Die beinhalten jedoch noch keine  Regeln zur Cyber-Sicherheit. Zumindest bis jetzt noch nicht.

WAS SOLL SCHON SCHIEFGEHEN?

Es wird Regulierungen geben. Die Frage ist, in welchem ​​Umfang.

Seit einiger Zeit werden die Stimmen, die regulatorische Maßnahmen zur IoT-Sicherheit fordern, lauter. Leider, aber nicht überraschend, ist keine einzelne Gesamtlösung in Sicht, da unterschiedliche Interessengruppen unterschiedliche Anforderungen haben. Bei den aktuellen Diskussionen in Wirtschaft und Politik werden drei wichtige Ansätze vorgeschlagen:

Verpflichtende Mindestanforderungen

Da Anforderungen bewertet werden müssen, ist es wahrscheinlich, dass es eine Liste von Spezifikationen gibt, die leicht erfüllt werden können, wie zum Beispiel die Notwendigkeit, einen bestimmten Verschlüsselungsstandard zu verwenden oder Standardpasswörter zu verbieten. Es wird jedoch nie möglich sein, die Sicherheit der gesamten Implementierung basierend auf solchen Standards zu beurteilen. Während Mindestanforderungen zwar den geringsten Aufwand für die Regulierungsbehörden und Hersteller bedeuten, bieten sie auch die geringste Sicherheit. 

Freiwillige Zertifizierungen

In ihrer Presseerklärung zur Lage der Union von 2017 erwähnt die EU Pläne für ein Cybersicherheits-Zertifizierungsprogramm: "[Anbieter] werden nur ein einziges Verfahren durchlaufen müssen, um ein europäisches Zertifikat zu erhalten, das dann in allen Mitgliedstaaten gilt.. [...] Es kann ferner von einer weltweit steigenden Nachfrage nach sichereren Lösungen ausgegangen werden, sodass Anbieter und Betreiber bei der Deckung dieses Bedarfs zudem einen Wettbewerbsvorteil haben werden". 

Es ist leider sehr wahrscheinlich, dass solche Zertifizierungen als Marketingvorteil nachlassen, zumal nicht jeder Anbieter sie sich leisten kann, so dass spezifische (Nischen-) Produkte nur "unzertifiziert" verfügbar sind. Aber was nützt es, in einer Festung zu leben, wenn einige Türen nicht richtig schließen?

Software-Herstellerhaftung

Der dritte wahrscheinliche Ansatz: Ausweitung der Herstellerhaftung, wie die Festlegung maximaler Reaktionszeiten, um nach einer Sicherheitslücke Updates zur Verfügung zu stellen, andernfalls: Geldstrafe. Das heißt, während der Lebensdauer eines Produkts entstehen Kosten für den Umgang mit Vorfällen. Ebenfalls für die Regierung leicht zu erlassen, da wir Produkthaftungsgesetze haben, die nur erweitert werden müssen.

HAT JEMAND LÖSUNGSVORSCHLÄGE ?

Da ich kein Anwalt bin und generell jegliche Annahmen über zukünftige Entwicklungen in der IT gefährlich sind, weiß ich nicht, was uns am Ende beschert wird. Aber komme, was wolle: es wird Staub aufwirbeln. 

Denken Sie nur daran, was die DSGVO derzeit den Unternehmen an Aufwand beschert. Ein perfektes Beispiel dafür, was passiert, wenn die Politik versucht, das zu lösen, was die Märkte versäumt haben.

Was ich allerdings weiß, ist, dass sich Unternehmen, die sich mit IoT beschäftigen, Anbieter wie Nutzer, vorbereiten sollten. Und vor allem müssen die Herteller jetzt anfangen, wenn sie sich nicht mit riesigen Kosten konfrontiert sehen wollen. FOMO - “fear or missing out”, also die "Angst etwas zu verpassen" - sollte von nun an nur noch gefürchtet werden, wenn es darum geht, sein Produkt rechtzeitig sicher zu machen. 

Es ist an der Zeit, die Sicherheit in die Köpfe aller an der Softwareentwicklung Beteiligten zu bekommen. Gegenwärtig bieten selbst Universitäten nur selten Kurse zum Thema "sichere  (lies 'sorgfältige') Softwareentwicklung" an. Wenn überhaupt, wird das als bloße Randnotiz behandelt. Machen wir doch das grundlegende Verständnis von Sicherheit zu einem Teil der Ausbildung eines jeden Software-Entwicklers und es wird zu einer Selbstverständlichkeit im Design-Prozess.

Ein Produkt, das von Grund auf auf Sicherheit ausgelegt ist, wird weniger Änderungen benötigen, sobald wir Gesetze oder Vorschriften haben, und es wird auch die Zertifizierung leichter machen.

ABER DIE KOSTEN, DENK DOCH MAL JEMAND AN DIE KOSTEN!

Die beste Möglichkeit, zusätzliche Kosten zu vermeiden, besteht darin, Softwareentwickler besser auszubilden

Um zu verdeutlichen, dass es wirklich nicht schwierig ist, mit sicherer Entwicklung anzufangen, hier ein kurzer (leicht modifizierter) Auszug aus unseren eigenen Entwicklungsrichtlinien bei ImagineOn: vier einfache Regeln, die kein Geld kosten, wenn sie “gelebt” werden. Verstehen Sie mich nicht falsch: Ich sage nicht, dass diese Liste auch nur annähernd vollständig ist. Ich behaupte aber, dass, wenn in der Vergangenheit jeder Hersteller nur ein paar grundlegende Regeln wie diese befolgt hätte, wir hier und jetzt nicht über IoT Sicherheit sprechen würden.

# 1: Schaffen Sie sichere Standardeinstellungen

Minimieren Sie Angriffsvektoren, indem Sie alles deaktivieren, was Sie nicht benötigen. Sorgen Sie für Sicherheit, indem Dinge wie Standardpasswörter oder -keys vermieden werden. Denken Sie jedoch daran: "Sicherheit auf Kosten der Benutzerfreundlichkeit geht auf Kosten der Sicherheit."

# 2: Sprich nicht mit Fremden

Vertrauen Sie nicht darauf, dass Ihre Nutzer auf die gewünschte Weise mit dem Gerät oder der Software interagieren und vertrauen Sie noch weniger auf den Cloud-Dienst, das Back-End oder sonst etwas, mit dem Sie sich verbinden. Alle zur Verfügung gestellten Daten könnten in böswilliger Absicht kommen.

# 3: Sicherheit ≠ Geheimhaltung

Vermeiden Sie “security through obscurity”. halten Sie die Dinge transparent. Der Black-Box-Ansatz zum Schutz geistigen Eigentums ist akzeptabel, aber machen Sie sich keine Illusionen: Die Daten eines jeden Chips können ausgelesen werden, jeder Code lässt sich rekonstruieren.

# 4: Akzeptieren Sie es von Anfang an: Ihr Produkt wird gehackt

Entwickeln Sie Ihre Software so, dass sie überall mit möglichen Fehlern rechnet und auf diese reagiert und seien Sie vorbereitet, im Falle einer offengelegten Sicherheitslücke Updates zu liefern. (Der geldsparende Teil ist hier “seien Sie vorbereitet”)

Zugegebenermaßen müssen Sie, um diesen Regeln zu folgen, wissen, was Sie tun. Mit der Einstellung “Whatever! Put a chip in it” werden Sie also gegen die Wand laufen.

Aber Unternehmen, die über keine Sicherheitsexpertise verfügen, sollten ohnehin keine eigene IoT-Hardware entwickeln. Suchen Sie sich Unterstützung oder kaufen Sie die Hard- und Software von Dritten, die sich damit wirklich auskennen.

(Und tun Sie es bald, die Zeit wird knapp…)

Ihre Fragen zum Thema IoT Security beantworten wir hier!


ImagineOn

ImagineOn GmbH
Neusser Str. 27-29
50670 Köln

@imagineoncgn

@AmyxIoT We probably won't find out before we actually start working on an Internet of Things. As of now, it looks… https://t.co/jKq4HGYj4D

+49 221 120 947-0

hi@imagineon.de