Lebensgefährliches Internet der Dinge?

Erste Zwischenfälle durch schlecht gesicherte Technik mit Internet-Anschluss zeigen die Risiken dieser neuen Technologie. US-Sicherheitsexperten raten jetzt dringend zu mehr staatlichem Eingreifen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Mike Orcutt

Eine wachsende Zahl von schlecht gesicherten Geräten im Internet der Dinge bringt bedeutende Gefahren für Leben und Eigentum mit sich, und die Regierung muss etwas dagegen unternehmen. Das ist die Kernbotschaft, die wichtige Experten für Computersicherheit vor kurzem dem US-Kongress übermittelt haben.

Im Oktober hatte es einen massiven Denial-of-Service-Angriff gegeben, der die Infrastruktur des Providers Dyn lahmlegte und das Web für viele Nutzer beeinträchtigte. Doch diese Attacke war noch „harmlos“, sagte Bruce Schneier, ein angesehener Sicherheitsforscher und Dozent an der Harvard University, jetzt bei einer Anhörung vor dem Ausschuss für Energie und Handel des US-Repräsentantenhaus. Durch den Angriff, der von einem Botnet aus gehackten Webcams, Camcordern, Babyphonen und anderen Geräten ausging, kam niemand ums Leben. Doch laut Schneier zeigte er, welche „katastrophalen Risiken“ durch die Verbreitung von unsicherer Technik im Internet entstehen.

Denn dieselben Sicherheitslücken, so sagten Schneier und andere Experten, seien auch in Geräten zu finden, die derzeit Einzug in Krankenhäuser halten, beispielsweise zur Steuerung von Aufzügen oder Lüftungssystemen. Eine Katastrophe mit tödlichen Folgen sei hier leicht vorstellbar, so dass die Regierung laut Schneier auf jeden Fall einschreiten müsse, um das „Marktversagen“ zu beheben.

Die Probleme mit IoT-Geräten wie vernetzten Thermostaten nehmen zu, weil es ihren Herstellern an Anreizen mangelt, Sicherheit eine hohe Priorität zu geben. Selbst wenn die Käufer Interesse an Informationen darüber hätten, gibt es noch keinerlei etablierten Bewertungsverfahren dafür.

Schneier argumentiert, die USA bräuchten eine neue Behörde mit der Aufgabe, Regeln zur Cybersicherheit festzulegen. Angesichts der Wahlkampf-Versprechen des designierten Präsidenten Donald Trump, Regulierung zurückzufahren, und der allgemeinen Zurückhaltung von Republikanern gegenüber mehr Staat ist damit eher nicht zu rechnen. Wenn es jedoch zu einer echten Katastrophe kommen sollte, würde die erschrockene Öffentlichkeit wahrscheinlich nach Taten rufen. Darauf sollte die Regierung vorbereitet sein, riet Schneier den Ausschussmitgliedern.

Wie groß ist die Gefahr? Riesig, und sie wächst immer weiter, warnt Kevin Fu, ein auf Cybersicherheit spezialisierter Informatik-Professor an der University of Michigan. Nicht nur würden IoT-Geräte zunehmend an „sensiblen Orten mit hohem Gefahrenpotenzial wie Krankenhäusern“ aufgestellt, sagte er vor dem Ausschuss. Millionen davon seien leicht zu hacken und könnten zu riesigen Botnets zusammengefasst werden, also Armeen von Zombie-Computern, die sich für Angriffe benutzen lassen.

Ohne „bedeutende Veränderungen bei der Cyber-Hygiene“ kann man sich laut Fu zur Unterstützung von kritischen Systemen nicht auf das Internet verlassen. Seine Empfehlung: Die Regierung solle eine unabhängige Einheit für Tests der Sicherheit von IoT-Geräten einrichten. Diese Tests sollen vor der Markteinführung stattfinden, wie bei den Crashtests der National Highway Traffic Safety Administration, und darüber hinaus nach Angriffen wie bei den Unfall-Analysen des National Transportation Safety Board. Ebenfalls nötig seien „Überlebens- und Zerstörungstests“, um festzustellen, wie gut Geräte mit Angriffen zurechtkommen, sagte Fu.

Ob die Trump-Regierung oder der nächste US-Kongress die Risiken in Zusammenhang mit dem Internet der Dinge entschlossen angehen werden, ist noch nicht abzusehen. Was kann die US-Regierung in der Zwischenzeit tun? Im November hat das Heimatschutzministerium "strategische Grundsätze für die Sicherung des Internet of Things“ veröffentlicht; der Staat solle Hersteller verklagen, wenn sie „Sicherheit nicht schon beim Design berücksichtigen“, heißt es darin. Auch das National Institute of Standards and Technology, das Branchenstandards für viele Technologien definiert, gab freiwillige Richtlinien für die Entwicklung von „leichter zu verteidigenden und überlebensfähigeren“ vernetzten Systemen heraus.

In der Zwischenzeit aber vergrößert jeder neue vernetzte Computer – ob bei Autos, Drohnen, Medizintechnik oder aus irgendeinem anderen Bereich – das Risiko. Genau aus diesem Grund ist laut Schneier eine zentrale regulatorische Kontrolle erforderlich: „Wir brauchen immer dieselben Regeln, egal ob der Computer Räder hat oder Propeller oder ob man damit telefonieren kann oder er sich im Körper befindet.“ ()