Stand: 14.07.2014 14:35 Uhr  | Archiv

Was bringt uns das Internet der Dinge?

Theoretisch könnten alle diese Geräte von Hackern manipuliert werden. Wie schätzen Sie das Gefahrenpotenzial ein?

Bild vergrößern
Hacker könnten versuche, über eine Smartphone-App, die die Waschmaschine steuer, die Haustür zu öffnen.

Zimmermann: Grundsätzlich ist es ja so, dass jede Technologie eine gewisse Versagenswahrscheinlichkeit hat. Und die Frage ist da: Mit wie viel Qualität wurde ein Produkt designt? Die Sicherheitslücken sind nur ein Grundproblem. Ein weiteres ist, dass durch die Koppelung  von Geräten mit dem Netz auch eine sogenannte Vertrauenskette entsteht. Bei Waschmaschinen, die über eine Smartphone-App fernbedient werden, könnte ein Angreifer einerseits versuchen, direkt die Waschmaschine zu steuern, andererseits könnte er aber auch versuchen, Kontrolle über das Smartphone zu erlangen. Damit könnte er dann nicht nur die Waschmaschine fernsteuern, sondern im schlimmeren Fall auch versuchen, die Haustür zu öffnen.

Ein weiteres Beispiel: Mein Smart TV holt sich automatisch Software-Updates vom Hersteller. Das Gerät vertraut damit den Servern des Herstellers. Ein Angreifer kann also wiederum direkt versuchen, meinen Fernseher oder die Serversysteme des Herstellers anzugreifen.

Je vernetzter die Geräte sind, mit denen wir uns umgeben, desto mehr Einfallstore gibt es also für Angreifer um auch weitere Geräte im privaten Netzwerk anzusteuern?

Zimmermann: Richtig. Und es zeigt sich ja gerade auch, dass das Smartphone sich immer mehr zu einer Kommandozentrale entwickelt. Man macht heutzutage sehr viel über das Smartphone. Deswegen ist es auch sehr wichtig, dass gerade sie gut geschützt sind. Wenn ich mir eine beliebige App aufspiele, aus dubiosen Quellen vielleicht, gehe ich damit ein Risiko ein, weil ich die Zusammenhänge vielleicht nicht sofort sehe.

Was sind denn Technologiebereiche im "Internet der Dinge", die in punkto Sicherheit noch nicht so durchdacht sind?

Zimmermann: Auch dafür sind die Funksteckdosen ein gutes Beispiel. Viele preiswertere Produkte sehen nämlich keine Verschlüsselung vor und damit keinen Schutz. Das heißt: Im Zweifelsfall kann der Nachbar oder jemand ganz Fremdes, die Steckdose ausschalten. Man muss so etwas natürlich auch immer anhand der wirklichen Bedrohung beurteilen. Es gibt zum Beispiel eine Kaffeemaschine, die auch über das Internet ansteuerbar war. Es könnte also jemand in die Kaffeemaschine eindringen und dafür sorgen, dass der Kaffee schlecht schmeckt. Das sollte nicht passieren, aber es ist eben auch nicht dramatisch. Teurer kann es bei den DSL-Routern werden, die man zu Hause hat. Weil die auch in der Regel eine Verbindung zur Telefonleitung haben. Angreifer können darüber zum Beispiel teure Telefonnummern anwählen.

Was die Sicherheit solcher Geräte angeht: Sehen Sie da die Hersteller oder die Kunden mehr gefordert? Oder muss die Politik strengere Regeln einführen?

Zimmermann: Auf jeden Fall ist der Hersteller gefordert. Der muss seine Produkte so designen, dass sie sicher sind. Und er muss den Kunden schnell entsprechende Updates anbieten. Das ist leider nicht immer der Fall. Auf der anderen Seite sehe ich aber auch den Käufer in der Pflicht. Dieser muss sich Gedanken darüber machen, was er da kauft. Eine wichtige Frage ist immer: Kann ich den Hersteller ansprechen? Das ist bei No-Name-Produkten häufig nicht der Fall. Gleichzeitig kann aber auch der Gesetzgeber tätig werden. Da gibt es in der Elektroinstallation schon entsprechende Vorschriften.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft zurzeit die sogenannten Smart Meter, also intelligente Zähler für Strom oder Gas. Bei den Geräten sieht das BSI Gefahrenpotential. Sie auch?

Zimmermann: Darauf kann man aus verschiedenen Perspektiven blicken: Zum einen sehen wir beim Smart Meter mögliche Gefahren für den Datenschutz des Nutzers. Es ist wichtig, dass Energieversorger und andere Unternehmen da nicht zu viele Daten über das persönliche Leben des Kunden sammeln können. Zum anderen besteht die Gefahr, dass die Energieversorgung eine kritische Infrastruktur ist. Es ist theoretisch denkbar, dass man über "Smart Grid", also intelligente Stromversorgung, auch Sabotageakte auf das Netz verüben kann.

Für wie realistisch halten Sie so ein Szenario?

Zimmermann: Man sollte das nicht unterschätzen. Diese Art von Sabotage wird ja schon durchgeführt. Wir kennen das Beispiel des Schadprogramms Stuxnet, das mutmaßlich in eine Urananreicherungsanlage in Natanz im Iran eingeschleust wurde, um dort die Zentrifugen zu zerstören. Das ist genau so ein Akt der Sabotage gewesen. Nur dass wir uns hier gerade auf der Seite der Guten wähnten und nicht selbst Opfer eines solchen Angriffs geworden sind. Aber das kann natürlich auch andersherum sein.

Die Dokumentation "Im Visier der Hacker" zeigt, wie es Hackern gelingt, etwa ein Garagentor zu öffnen, einen Herzschrittmacher zu manipulieren und sogar den Kurs eines Schiffes oder Flugzeugs. Für wie bedenkenswert halten Sie so etwas zurzeit?

Zimmermann: Das Garagentor halte ich für sehr realistisch. Es gibt ja die sogenannten Replay-Attacken. Das heißt, dass das Signal zur Öffnung des Tores einmal aufzeichnet wird, wenn der Inhaber es ausgelöst hat. Dann lässt es sich wieder abspielen und damit das Tor öffnen.. Der Hersteller solcher Tore kann Replay-Attacken aber mit gutem Sicherheitsdesign verhindern.

Über Herzschrittmacher weiß ich wenig, kann mir aber vorstellen, dass sie angreifbar sind. Bei Schiffen und Flugzeugen kann ich es mir zurzeit nicht vorstellen. Die eigentliche Flug- beziehungsweise Kurssteuerung ist von den anderen Systemen an Bord weitgehend entkoppelt. Da ist der Wechsel vom einen ins andere System nicht einfach. Zu hundert Prozent ausschließen kann man es allerdings nicht.

In jedem Fall ist offenbar Sachverstand nötig, um Chancen und Risiken hier richtig abzuwägen. Da ist als Ordnungsinstanz auch der Staat gefragt. Macht der genug?

Zimmermann: Ich würde sagen nein. Wir erleben zum Beispiel oft, dass in den Ausschüssen im Bundestag vernünftige Argumente ausgetauscht werden, aber dass hinterher - wenn es um die tatsächliche Gesetzgebung geht - nicht mehr auf die Fachleute gehört wird. Grundsätzlich ist es zwar gut, dass es so eine Einrichtung wie das Bundesamt für Sicherheit in der Informationstechnik gibt. Wir beim CCC kritisieren, dass das BSI nicht unabhängig ist. Aktuell ist es beim Innenministerium angesiedelt. Dadurch unterliegt es auch gewissen Interessen. Wir wollen, dass eine neue Institution geschaffen wird, die einerseits die ausreichenden Mittel hat, um gute Fachleute zu beschäftigen, die aber vor allem unabhängig ist.

Wenn Sie jetzt science-fiction-mäßig in die Zukunft schauen. Nehmen Sie dann eher an, dass das "Internet der Dinge" unsere Alltagswelt besser, angenehmer, moderner macht? Oder ist Ihre Vorstellung düsterer und sieht eher die Gefahren?

Zimmermann: Wir im CCC sind neuen Technologien gegenüber grundsätzlich positiv eingestellt und sehen die vielen Chancen. Wichtig beim "Internet of Things" ist aber, dass man aus Fehlern lernt. Zum Beispiel aus Fehlern, die man bei der Entwicklung des klassischen Internets gemacht hat. Außerdem sollten Verbraucher wissen, dass Sicherheit auch einen Preis hat, und dass dies Produkte teurer machen kann. Bei alledem halte ich es auch für extrem wichtig, dass jeder die Möglichkeit hat, sich einer Technik auch zu entziehen, wenn er sie nicht will. Man darf nicht gezwungen werden, eine gewisse Technik einzusetzen, die man nicht einsetzen möchte.

Das Gespräch führte Christian Schepsmeier, NDR.de.

NDR Logo
Dieser Artikel wurde ausgedruckt unter der Adresse: http://www.ndr.de/nachrichten/netzwelt/Internet-der-Dinge,hacker224.html