Hinter den Kulissen der europäischen und deutschen Behörden tobt derzeit ein Richtungsstreit und die Experten sind sich uneinig: Wie soll künftig die Sicherheit vernetzter Geräte garantiert werden? Reichen freiwillige Zertifizierungen? [...]
Mirko Ross, Geschäftsführer des Stuttgarter Software-Dienstleister digital worx: „Ohne verbindliche Anforderungen können Hersteller auch künftig digital vernetzte Produkte verkaufen, denen grundlegende Sicherheitsstandards fehlen. Dabei gibt es genügend Beispiele, wie einfach der Missbrauch im Internet der Dinge (IoT) sein kann“.
Das Internet der Dinge verfügt über einen hohen Grad an Komplexität – mit zahlreichen Fallstricken für Entwickler. Zudem erfordert die Fertigungstiefe der Produkte ein Zusammenspiel von vielen Fachexperten, Zulieferern und Dienstleistern. Fehler zu Lasten der Sicherheit und des Datenschutzes sind in dieser komplexen Disziplin geradezu vorprogrammiert. Nun ist die EU mit einer Initiative aktiv geworden, die eine Zertifizierung der Geräte ins Spiel bringt – allerdings auf freiwilliger Basis. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) geht deutlich weiter: Mit der „Secure Smart Home Devices“ Richtlinie beginnt nach Ansicht von vielen Experten die (Über-)Regulierung des IoT. Auch den Vorwurf, diese Richtlinie ohne die üblichen Anhörungen und Abstimmungen mit Expertenkreisen auf den Weg bringen zu wollen, muss sich das BSI gefallen lassen.
Mirko Ross, der im vergangenen Jahr durch die EU zum beratenden Experten für Sicherheit im Internet der Dinge berufen wurde und seitdem einem internationalen Gremium der European Union Agency for Network and Information Security (ENISA) angehört, beschreibt die Ausgangssituation so: „Wenn die Industrie nicht für Sicherheit sorgt, wird es der Gesetzgeber tun müssen“. Beispiele, die zu dringend notwendigem Handeln aufrufen, gibt es laut Ross genügend. Der Experte: „Die Palette spektakulärer Fälle reicht von ernsthaften Gefahren bis hin zu eher kuriosen Fallbeispielen.“
Millionen Datensätze und Sprachnachrichten gehackt
Denn Gefahren lauern auch dort, wo man sie kaum vermutet – zum Beispiel im Kinderzimmer. Die Kombination von App und Spielzeug ermöglicht heute vollkommen neue Spielwelten. Video-Gaming und physisches Spielen vereinen sich zu einem Spielerlebnis, das Mehrwerte schafft und Spielfreude bereitet. Deshalb finden sich im Kinderzimmer auch zunehmend smarte Spielzeuge. Zu den wesentlichen Ausstattungsmerkmalen dieser smarten Spielzeuge gehören eingebaute Kameras und Mikrophone, um eine audiovisuelle Interaktion über oder mit dem Spielzeug herzustellen. Damit kann beispielsweise die angesprochene Puppe auf Fragen antworten. Zusätzlich wird dabei auch auf mehr oder weniger ausgefeilte Sprachanalyse per Cloud-Dienste zurückgegriffen. Das bedeutet, dass das smarte Spielzeug im Hintergrund mit einer Vielzahl von verketteten Diensten in Datenaustausch tritt. Die verwendeten Protokolle und Schnittstellen basieren hier meist auf gängigen REST-Schnittstellen zu Cloud Stack-Architekturen, die wiederum eine Vielzahl von standardisierten Angriffsmöglichkeiten bieten.
Das smarte vernetzte Spielzeug wird so zu einer komplexen Anwendung mit zahlreichen Diensten, die abgesichert werden müssen. Eine Lücke oder fehlerhafte Implementierung in einem Teil der Kette führt zur Unsicherheit in der gesamten Anwendung. Da wir es hier mit Mikrophonen und Kameras im privaten Raum zu tun haben, besteht die Gefahr, dass das smarte Spielzeug durch unautorisierten Datenzugriff zur Abhörwanze wird und damit schwerwiegend die Privatsphäre verletzt. 2016 veröffentlichte die amerikanische Verbraucherschutzbehörde eine offizielle Warnung zu vernetzen Spielzeugen. Anlass dazu war eine Reihe von spektakulären Hacks von Spielzeugen und deren vernetzen Cloud-Diensten. So wurden Datensätze von über 6.4 Millionen Kindern und 4.8 Millionen Erwachsenen beim Eindringen in die Cloud-Datenbanken eines führenden Spielzeugherstellers aus Hong Kong erbeutet. Über zwei Millionen Sprachnachrichten zwischen Eltern und Kindern erbeuteten Hacker auf den Servern eines australischen Herstellers von Kuscheltieren. Auch hier wurden die sensiblen Daten unverschlüsselt in einer Clouddatenbank gespeichert, auf die ohne Authentifikation zugegriffen werden konnte. Für den Datenhack mussten die Angreifer lediglich die unverschlüsselte Kommunikation zwischen Smartphone-App und Cloud-Dienst per HTTP im Netzwerk analysieren. Mangelnde Verschlüsselung beim Umgang mit sensiblen Daten führt hier zu schweren Sicherheitslücken und Datenschutzverstößen.
Sex-Spielzeug klaut Mailadresse des Benutzers
Doch Sicherheitslücken reichen auch bis in die Intimsphäre. Grundsätzlich gibt es eine Nachfrage nach smarten Sexspielzeugen, die per App, alleine oder kollaborativ mit Partner angesteuert werden können. Die Hardware smarter Sexspielzeuge wird meist von Herstellern aus Fernost geliefert, von Unternehmen in Amerika mit Apps und Cloudservices angereichert und dann auch in Europa an Konsumenten ausgeliefert. Dabei treten zahlreiche Sicherheitsprobleme auf. Exemplarisch für einen laxen Umgang in Punkto Sicherheit steht hier der Fall eines „Butt Plugs“ – nennen wir das Produkt neutral „Stöpsel“ – eines chinesischen Herstellers, der diesen auch in Deutschland vertreibt. Dieses Sexspielzeug nutzt zum Datenaustausch eine Bluetooth-Verbindung zum Smartphone. Mit Hilfe einer App kann die Intensität der Vibration am Produkt eingestellt werden. Zudem können sich App und Benutzer über einen Chat Nachrichten austauschen. Der smarte Stöpsel soll so zum gemeinsamen Erlebnis werden. Pech, dass der Hersteller gleich an mehreren Stellen des Anwendungssystems erhebliche Sicherheitsprobleme hat.
Das Sexspielzeug lässt sich ohne Authentifizierung von beliebigen Endgeräten pairen, also verbinden. So verbindet sich die Hardware beispielsweise anstatt mit der Smartphone-App mit einem Rechner, der die Bluetooth-Verbindung aufbaut. Wer sich also mit einem Laptop in zehn bis fünfzehn Metern Reichweite befindet, kann eine Kommunikation zum Stöpsel herstellen. Das Bluetooth-Protokoll ist an dieser Stelle komplett unverschlüsselt. Mit dem Wissen der passenden Bluetooth-Klassen können so Befehle, beispielsweise zum Start oder zur Erhöhung der Vibration, gesendet werden. Angreifer können das Gerät von extern ansteuern. Die Sexchat-Funktion der App wiederum basiert auf einer ungesicherten Internet-Verbindung im Jabber-Protokoll und ist anfällig für Man-in-the-Middle-Angriffe. Angreifer können nicht nur im Klartext mitlesen, sondern erhalten auch Meta-Informationen wie Mail-Adressen und Produktnummern der Benutzer.
Mirko Ross: „IoT-Geräte in Risiko-Klassen einteilen“
Die logischen Konsequenzen liegen für IT-Experte Mirko Ross auf der Hand: „IoT-Geräte müssen, ähnlich wie Medizinprodukte, in Risiko-Klassen eingeteilt werden. Auf dieser Basis folgt die Pflicht der Industrie zur Sicherung des Produktes. Entweder per Richtlinie wie es das BSI fordert oder in etwas abgeschwächter Form durch freiwillige Zertifizierung mit Label, wie es die EU / ENISA vorschlägt“. Dies kann nach Ansicht des 45-Jährigen durch die Einteilung in drei Risiko-Klassen erfolgen. Risiko-Klasse I entspräche nicht potenziell gesundheitsgefährdenden, nicht tief in der Privatsphäre eindringenden Geräten wie konnektierten Zahnbürsten.
In Risikoklasse II befänden sich nicht potenziell gesundheitsgefährdende Produkte, die aber maßgeblich in die Privatsphäre des Nutzers eingreifen; beispielsweise Staubsauger-Roboter mit Microphon für Spracherkennung, vernetztes Spielzeug oder Vibratoren. Risikoklasse III würde für potenziell gesundheitsgefährdende und maßgeblich in die Privatsphäre eingreifende Produkte gelten – wie für ein autonom fahrendes Auto. Ross: „Wir stehen hier am Beginn einer spannenden, aber vor allem dringend notwendigen Diskussion, um die Sicherheit der Anwender und Verbraucher künftig besser zu schützen“.
Be the first to comment