Warum smarte Technik nicht automatisch vertrauenswürdig ist

Massive Attack

Warum smarte Technik nicht automatisch vertrauenswürdig ist

Helferlein, die intelligente Glühbirne des Comic-Antihelden Daniel Düsentrieb, saß auf seiner Schulter und hatte keinerlei Verbindung in die Cloud. Eine risikolose Beziehung. Heute vernetzt sich Lichttechnik online, schickt Datenpakete um die Welt und bietet Cyberkriminellen Raum für Attacken. Normen und Sicherheitsstandards für Dinge im Internet suchen Gebäudeplaner und Lenker digitaler Transformation nahezu vergeblich. Smart Buildings brauchen, um sich dem entgegenzustemmen, Security-by-Design-Konzepte, Privacy by Default und einen Dreiklang an Sicherheitsmaßnahmen – ein Kommentar des Security-Experten Pierre Gronau.

 (Bild: Lukas Liebhold, Gronau IT Cloud Computing GmbH)

(Bild: Lukas Liebhold, Gronau IT Cloud Computing GmbH)

Bis 2020 wird es weltweit über 20 Milliarden Geräte geben, die mit dem Internet verbunden sind.1 Ein beträchtlicher Teil dieser technischen Komponenten existiert als Teil gebäudeinterner Sicherheitssysteme, z.B. in Form von Überwachungskameras, ferngesteuerten Heizungs- oder Lichtanlagen. Während der Markt für Smart-Building-Technik boomt, befindet sich das dazugehörende branchenspezifische Feld der IoT-Sicherheit noch in den Kinderschuhen. Konkret bedeutet dies, dass Gebäude und ihre smarten Infrastrukturen bis dato nicht dafür geplant und ausgelegt sind, Teil eines vernetzten IoT-Universums zu sein. Der asynchrone Stand der Technik von intelligenten Geräten und ihren oft rudimentären Sicherheitsfunktionen öffnet Hackern Tür und Tor. Bei Attacken auf IT-Systeme via Brandmeldeanlage oder Videokamera erlangen Angreifer Fernzugriff auf sensible Daten sowie Manipulationsfreiraum. Hacker nehmen erfahrungsgemäß stets den leichtesten Weg und dieser führt auch über smarte Geräte an das schadenbringende Ziel. Bezieht man bei diesen Gedankenspielen Gebäude mit kritischen Infrastrukturen, also Krankenhäuser, Kraftwerke oder Flughäfen, mit ein, zeigt sich die Brisanz umso deutlicher.

Wissen ist Mangelware

Das Dilemma liegt darin begründet, dass die meisten Hersteller von Smart-Home-bzw. Smart-Building-Technik Sicherheitsaspekte nicht von Anfang an einbeziehen. Sie verwenden gering geschützte, cloudbasierte Basis-Plattformen zur technischen Umsetzung und Steuerung ihrer Produkte. Wer diese Strukturen analysiert, stößt auf eklatante Sicherheitsmängel, die schon konzeptionell begründet sind und weite Angriffsflächen für Hacker bieten. Auch der Chaos Communication Congress 2018 beschäftigte sich in mehreren Vorträgen mit den Sicherheitslücken von internetfähigen Dingen und bot Lösungsvorschläge an.² In begleitenden Tests deckten Kongressteilnehmer auf, dass Glühbirnen und Steckdosen verschiedener Hersteller das gleiche Wi-Fi-Modul und die gleiche Basis-App verwenden. Diese stark verbreitete Basis-Plattform folgt selbst einfachsten Sicherheitsregeln nicht und weist gravierende systematische Mängel auf, die Anwender unnötig gefährden. Herstellerspezifische Expertisen zu IoT- und IT-Sicherheit, die an Gebäudeplaner und Sicherheitspersonal weitergetragen werden können, fehlen. Die Leichtigkeit des Kaufs und der Installation solcher leuchtenden oder heizenden Sicherheitsrisiken bietet Cyberkriminellen fruchtbaren Boden. Erschwerend kommt hinzu, dass Hersteller die Mündigkeit sicherheitssensibler Anwender aushebeln, indem sie Passwörter zur Steuerung der smarten Geräte in die firmeneigene Software festschreiben. Eine Änderung hin zu einem sicheren Passwort sieht der Anbieter nicht vor und entsprechende Anwendungen zum Deaktivieren der Voreinstellung fehlen.

Gronau setzt bei der Forderung an, dass internetfähige Dinge für ihre Anwender klare Datensicherheits-Kategorien benötigen. Dazu gehört auch ein einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Device laufenden Software. (Bild: Gronau IT Cloud Computing GmbH)

Gronau setzt bei der Forderung an, dass internetfähige Dinge für ihre Anwender klare Datensicherheits-Kategorien benötigen. Dazu gehört auch ein einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Device laufenden Software. (Bild: Gronau IT Cloud Computing GmbH)

Sicherheits-MHD für die Glühlampe

Softwarehersteller müssen klarstellen, wie lange sie für ein bestimmtes Produkt Support und Updates anbieten. Und wenn Endkunden eine Waschmaschine kaufen, klärt eine simple Ampeldarstellung darüber auf, wie viel Strom das Gerät verbraucht. TÜV, GS und DIN-Normen: Ein europäischer Konsument hat so einige Leitplanken, die ihm Kaufentscheidungen erleichtern „Doch bei Geräten, mit denen man ‚das halbe Internet lahmlegen‘ kann, werden den Käufern wichtige Differenzierungskriterien vorenthalten“, so Mirko Vogt vom Chaos Computer Club.³ Mit dieser Aussage, die sich ursprünglich auf Sicherheitsrichtlinien von Routern bezieht, bringt es der IT-Experte auf den Punkt. Es gibt aktuell keine Sicherheitsstandards und Normen für Smart-Home- und Smart- Building-Module. Um Anwender von vernetzten Geräten in Gebäuden aufzuklären, müssen sich Anbieter auf ein leicht einsehbares, klar kommuniziertes Datum festlegen, bis zu dem die Software für die Geräte mit Sicherheits-Updates versorgt werden. Darüber hinaus sollte dem Nutzer freigestellt werden, ob er alternativ eine freie Open-Source-Software einspielen möchte. Dies garantiert ihm eine Autarkie von nicht steuerbarer Firmware und die Wahl eines eigenen Sicherheitslevels.

Seiten: 1 2Auf einer Seite lesen

Gronau IT Cloud Computing GmbH
www.gronau-it-cloud-computing.de

Das könnte Sie auch Interessieren

Massive Attack

Warum smarte Technik nicht automatisch vertrauenswürdig ist

Helferlein, die intelligente Glühbirne des Comic-Antihelden Daniel Düsentrieb, saß auf seiner Schulter und hatte keinerlei Verbindung in die Cloud. Eine risikolose Beziehung. Heute vernetzt sich Lichttechnik online, schickt Datenpakete um die Welt und bietet Cyberkriminellen Raum für Attacken. Normen und Sicherheitsstandards für Dinge im Internet suchen Gebäudeplaner und Lenker digitaler Transformation nahezu vergeblich. Smart Buildings brauchen, um sich dem entgegenzustemmen, Security-by-Design-Konzepte, Privacy by Default und einen Dreiklang an Sicherheitsmaßnahmen – ein Kommentar des Security-Experten Pierre Gronau.

 (Bild: Lukas Liebhold, Gronau IT Cloud Computing GmbH)

(Bild: Lukas Liebhold, Gronau IT Cloud Computing GmbH)

Bis 2020 wird es weltweit über 20 Milliarden Geräte geben, die mit dem Internet verbunden sind.1 Ein beträchtlicher Teil dieser technischen Komponenten existiert als Teil gebäudeinterner Sicherheitssysteme, z.B. in Form von Überwachungskameras, ferngesteuerten Heizungs- oder Lichtanlagen. Während der Markt für Smart-Building-Technik boomt, befindet sich das dazugehörende branchenspezifische Feld der IoT-Sicherheit noch in den Kinderschuhen. Konkret bedeutet dies, dass Gebäude und ihre smarten Infrastrukturen bis dato nicht dafür geplant und ausgelegt sind, Teil eines vernetzten IoT-Universums zu sein. Der asynchrone Stand der Technik von intelligenten Geräten und ihren oft rudimentären Sicherheitsfunktionen öffnet Hackern Tür und Tor. Bei Attacken auf IT-Systeme via Brandmeldeanlage oder Videokamera erlangen Angreifer Fernzugriff auf sensible Daten sowie Manipulationsfreiraum. Hacker nehmen erfahrungsgemäß stets den leichtesten Weg und dieser führt auch über smarte Geräte an das schadenbringende Ziel. Bezieht man bei diesen Gedankenspielen Gebäude mit kritischen Infrastrukturen, also Krankenhäuser, Kraftwerke oder Flughäfen, mit ein, zeigt sich die Brisanz umso deutlicher.

Wissen ist Mangelware

Das Dilemma liegt darin begründet, dass die meisten Hersteller von Smart-Home-bzw. Smart-Building-Technik Sicherheitsaspekte nicht von Anfang an einbeziehen. Sie verwenden gering geschützte, cloudbasierte Basis-Plattformen zur technischen Umsetzung und Steuerung ihrer Produkte. Wer diese Strukturen analysiert, stößt auf eklatante Sicherheitsmängel, die schon konzeptionell begründet sind und weite Angriffsflächen für Hacker bieten. Auch der Chaos Communication Congress 2018 beschäftigte sich in mehreren Vorträgen mit den Sicherheitslücken von internetfähigen Dingen und bot Lösungsvorschläge an.² In begleitenden Tests deckten Kongressteilnehmer auf, dass Glühbirnen und Steckdosen verschiedener Hersteller das gleiche Wi-Fi-Modul und die gleiche Basis-App verwenden. Diese stark verbreitete Basis-Plattform folgt selbst einfachsten Sicherheitsregeln nicht und weist gravierende systematische Mängel auf, die Anwender unnötig gefährden. Herstellerspezifische Expertisen zu IoT- und IT-Sicherheit, die an Gebäudeplaner und Sicherheitspersonal weitergetragen werden können, fehlen. Die Leichtigkeit des Kaufs und der Installation solcher leuchtenden oder heizenden Sicherheitsrisiken bietet Cyberkriminellen fruchtbaren Boden. Erschwerend kommt hinzu, dass Hersteller die Mündigkeit sicherheitssensibler Anwender aushebeln, indem sie Passwörter zur Steuerung der smarten Geräte in die firmeneigene Software festschreiben. Eine Änderung hin zu einem sicheren Passwort sieht der Anbieter nicht vor und entsprechende Anwendungen zum Deaktivieren der Voreinstellung fehlen.

Gronau setzt bei der Forderung an, dass internetfähige Dinge für ihre Anwender klare Datensicherheits-Kategorien benötigen. Dazu gehört auch ein einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Device laufenden Software. (Bild: Gronau IT Cloud Computing GmbH)

Gronau setzt bei der Forderung an, dass internetfähige Dinge für ihre Anwender klare Datensicherheits-Kategorien benötigen. Dazu gehört auch ein einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Device laufenden Software. (Bild: Gronau IT Cloud Computing GmbH)

Sicherheits-MHD für die Glühlampe

Softwarehersteller müssen klarstellen, wie lange sie für ein bestimmtes Produkt Support und Updates anbieten. Und wenn Endkunden eine Waschmaschine kaufen, klärt eine simple Ampeldarstellung darüber auf, wie viel Strom das Gerät verbraucht. TÜV, GS und DIN-Normen: Ein europäischer Konsument hat so einige Leitplanken, die ihm Kaufentscheidungen erleichtern „Doch bei Geräten, mit denen man ‚das halbe Internet lahmlegen‘ kann, werden den Käufern wichtige Differenzierungskriterien vorenthalten“, so Mirko Vogt vom Chaos Computer Club.³ Mit dieser Aussage, die sich ursprünglich auf Sicherheitsrichtlinien von Routern bezieht, bringt es der IT-Experte auf den Punkt. Es gibt aktuell keine Sicherheitsstandards und Normen für Smart-Home- und Smart- Building-Module. Um Anwender von vernetzten Geräten in Gebäuden aufzuklären, müssen sich Anbieter auf ein leicht einsehbares, klar kommuniziertes Datum festlegen, bis zu dem die Software für die Geräte mit Sicherheits-Updates versorgt werden. Darüber hinaus sollte dem Nutzer freigestellt werden, ob er alternativ eine freie Open-Source-Software einspielen möchte. Dies garantiert ihm eine Autarkie von nicht steuerbarer Firmware und die Wahl eines eigenen Sicherheitslevels.

Seiten: 1 2Auf einer Seite lesen

Bild: Fluke Deutschland GmbH
Bild: Fluke Deutschland GmbH
Messung der Netzqualität bei Solaranlagen

Messung der Netzqualität bei Solaranlagen

Der Markt für erneuerbare Energien wächst rasant und stellt neue Herausforderungen an qualifizierte Techniker, die die Solaranlagen und Windparks der Zukunft in Betrieb nehmen und warten sollen. Mark Bakker, Field Application Engineer bei Fluke, geht auf die Bedeutung der Netzqualitätsmessung für Solaranlagen näher ein und erklärt die Fallstricke und korrekten Herangehensweisen im Interview.

Bild: ABB Stotz-Kontakt GmbH
Bild: ABB Stotz-Kontakt GmbH
Premiere für Cylon

Premiere für Cylon

Bauer Elektroanlagen realisiert über alle elektrotechnischen Leistungsbereiche hinweg Anlagentechnik aus einer Hand. Das Unternehmen demonstriert an seiner Berliner Niederlassung, was mit moderner Gebäudeautomation heute alles möglich ist: Der Neubau auf dem Firmengelände im Stadtteil Adlershof ist energieautark konzipiert und speist überschüssigen Photovoltaikstrom automatisch in Ladesäulen für Elektrofahrzeuge ein. Sämtliche Steuerungssysteme basieren auf offenen Standards zur intelligenten Gebäudevernetzung. Als technologisches Novum sorgen dabei erstmals Lösungen von ABB Cylon.

Bild: Gifas Electric GmbH
Bild: Gifas Electric GmbH
Beleuchteter LED-Handlauf für mehr Sicherheit

Beleuchteter LED-Handlauf für mehr Sicherheit

Für die Modernisierung einer Notfalltreppe im Außenbereich eines Gebäudes der Universität Trier wurde eine effiziente und redundante Lichtlösung gesucht, die alle Normen für Treppen im öffentlichen Bereich gemäß DIN EN12464-1 und DGUV Information 208-055 erfüllt. Die Wahl fiel auf das modulare Handlaufsystem LaneLED Inox48 von Gifas, das den Anforderungen an Lichtleistung, Design und Sicherheit gerecht wurde.

Bild: ©Blue Planet Studio/stock.adobe.com
Bild: ©Blue Planet Studio/stock.adobe.com
Long Range Wide Area Network für Smart Cities

Long Range Wide Area Network für Smart Cities

Ursprünglich für das Internet of Things (IoT) entwickelt, wird die Funktechnologie Lorawan – kurz für Long Range Wide Area Network – zunehmend auch von Städten, Kommunen, Liegenschaftsverwaltern und Energieversorgern vorangetrieben. Auch in Smart Cities spielt sie eine wichtige Rolle. Als Alternative zu anderen Funksystemen bietet sich Lorawan vor allem dort als leistungsstarke Lösung an, wo große Reichweiten und hohe Wirtschaftlichkeit wesentlich sind.

Bild: Softing IT Networks GmbH
Bild: Softing IT Networks GmbH
Durchblick im Taschenformat

Durchblick im Taschenformat

Nach der Zertifizierung ist vor der Inbetriebnahme: Moderne Highend-Verdrahtungstester erreichen heute ganz neue Möglichkeiten. Konnten frühere Geräte sich nur über Kupferanschlüsse mit einem aktiven Netzwerk verbinden, deckt die neueste Generation von Testern alle drei Medien (Kupfer-, Glasfaser und WLAN) zum Verbindungsaufbau und Testen der Konnektivität ab. Aber auch die PoE (Power-over-Ethernet)-Leistung einer Verbindung kann mit Geräten der neusten Generation getestet werden.

Bild: Faruk Pinjo
Bild: Faruk Pinjo
Effiziente Beleuchtung für mehr Sicherheit

Effiziente Beleuchtung für mehr Sicherheit

Mit einem zeitgemäßen Beleuchtungskonzept wirken Parkhäuser einladend und sicher. Darüber hinaus soll Beleuchtung bei möglichst geringem Stromverbrauch für komfortable Orientierung sorgen. Diese Aspekte hat Zumtobel im Rahmen eines Modernisierungsprojekts im Parkhaus des Gundeli-Parks in Basel vereint. Nachhaltigkeit war bei diesem Projekt das Credo – sowohl bei der Geschäftsbeziehung als auch bei der Installation.