Internet Of Things: Sorgenkind Sicherheit

Posted on Posted in Hacker News

Das Geschäft mit smarten Devices und vernetzten Produktionsanlagen brummt, doch die Sicherheit ist oft nur Nebensache. Auf einer Konferenz in Köln zeichneten Branchenvertreter ein düsteres Bild.

Während viele Hersteller bereits heute auf vernetzte Produktion und den Verkauf von Smart-Home-Produkten setzen, sind viele grundlegende Fragen immer noch ungeklärt. In einer Roundtable-Diskussion der Kölner Medienakademie am Mittwoch setzten die Vertreter eher auf verbindliche Standards denn auf die Einsicht der Produzenten.

20 Jahre alt, keine Patches

Michael Jochem von Robert Bosch und Mitglied der Arbeitsgruppe um die von der Bundesregierung gegründete Plattform Industrie 4.0, berichtete von den grundlegenden Problemen der Arbeit. So seien die Produktwelten in den Betrieben immer noch zu verschieden. Während Büro- Computer in der Verwaltung in der Regel eine Lebenszeit von drei bis fünf Jahren hätten, seien die Produktionssysteme auf Lebenszeiten von 20 Jahren angelegt.

Ein Patch-Management gebe es in der Produktions-IT meist nicht, erklärte Jochem. Verbesserte Software werde gewöhnlich nur bei Wartungsintervallen eingespielt – falls überhaupt. So müsse oft neu zertifiziert werden, wenn in sicherheitsrelevanten Anlagen Sicherheitslücken abgedichtet werden. Das koste nicht nur Geld, sondern könne auch zu Produktionsstillständen führen.

Standards statt Bewusstsein

Als Abhilfe empfehlen die Experten, die Produktionsstandards zu überarbeiten. Neben den Anforderungen an die Hard- und Software müssten dabei auch die Anforderungen an die Betriebsorganisation thematisiert werden. “Was nützt eine Zwei-Faktor-Authentifizierung, wenn sie niemand im Betrieb wirklich beherrscht?”, fragte Jochem in Köln.

Ähnliche Erfahrung machen auch andere Dienstleister: “Kein Kunde ist freiwillig gekommen und hat gesagt: Ich will mehr Sicherheit”, berichtete Olaf Mischkovsky von Symantec Deutschland. Stattdessen seien viele Produzenten allenfalls darauf bedacht, Zertifikats-Standards zu erfüllen, die beispielsweise die Automobil-Industrie von ihren Zulieferern verlangt.

Dringend gebraucht: Zertifikate

Selbst wer sich um Sicherheit bemühen will, steht vor zahlreichen ungelösten Problemen. Die Zertifikatsinfrastrukturen innerhalb der Produktionsanlagen müssten dringend verbessert werden, erklärte Jochem. So sei es oftmals nicht möglich, verschiedene Rollen zu definieren – wer Zugang zu den Anlagen habe, könne sie komplett übernehmen. Zuweilen stehen dann ganze Produktionsanlagen still, weil Mitarbeiter mit Malware versuchte USB- Sticks in den Betrieb gebracht hatten.

Andere Teilnehmer berichteten in Köln von dem Kosten- und Zeitdruck bei der Einführung neuer Endkunden-Produkte, der Sicherheitsbedenken einfach wegfege. Die Sorglosigkeit sorgt mittlerweile auch außerhalb der Betriebe für enorme Schäden: So steckte hinter der DDOS-Attacke, die vor kurzem viele US-Dienste lahmlegte, ein Botnetz aus einer Million IoT-Geräten wie IP-Kameras.

Wem gehören die Daten? Und wer schreibt sie?

Auch bei den grundlegenden Fragen der Vernetzung über Betriebsgrenzen hinaus gibt es viel Nachholbedarf. So sei die Kommunikation oft nicht oder nur unzureichend verschlüsselt, erläuterte Jochem. Zudem sei unklar, mit welcher Rechtsposition Maschinen ausgestattet sein müssen, um beispielsweise Ersatzteile ohne menschliche Kontrolle zu bestellen.

Ebenfalls ungeklärt ist, wem der Inhalt einer solchen Kommunikation gehört – oder wer zu welchen Bedingungen darauf zugreifen kann. So erläuterte Fachanwalt Klaus Brisch, dass der von der EU-Kommission in Aussicht gestellte “Free flow of Data” in fundamentalem Gegensatz zum bisherigen Datenschutzrecht stehe, das die Nutzung personenbezogener Daten unter Erlaubnisvorbehalt stellt. Wie geschützte personenbezogene Daten trennschaft von ungeschützten maschinenproduzierten Daten getrennt werden sollen, ist keineswegs trivial. Denn selbst unkritische Daten könnten durch die Zusammenführung verschiedener Quellen oft wieder auf Personen bezogen werden, wenn zum Beispiel Produktionsdaten mit Personaldaten abgeglichen werden, oder die Sensorendaten eines Autos mit Versicherungsverträgen. “Ich bin gespannt, wie die EU-Kommission diesen Spagat bewältigen will”, erklärte der Anwalt.

Bisher klärten die beteiligten Unternehmen selbst die Rechte an den Daten. Dabei nutzten große Anbieter häufig ihre Marktposition, um sich den vollen Zugriff auf die Daten anzueignen, während der Käufer einer Anlage oder einer Dienstleistung nur beschränkte Rechte an den Daten bekomme, die im eigenen Betrieb anfallen. “Ohne gesetzliche Begelung wird diese Verhandlungsmacht zu einer Monopolisierung führen”, befürchtet der Anwalt.

Quelle: heise.de

Facebooktwittergoogle_plus