Immer mehr Dinge des Alltags sind mit dem Internet verbunden und dementsprechend auch darüber steuerbar: Das Internet der Dinge ist überall. Unser Leben wird immer mehr geprägt von Aquariums- und Beleuchtungssteuerungen über elektronische Haustüren, Pflanzenfühler und -bewässerer, Spülmaschinen oder Thermostate bis hin zu Zoom-Überwachungskameras. Damit unser Leben aber nicht durch diese Geräte bestimmt wird, müssen wir sicher sein, dass sie nicht nur uns gehören, sondern auch gehorchen. Das ist nicht immer einfach.
Wenn diese Geräte mit dem Internet verbunden sind, sind sie häufig nicht ausreichend geschützt. So sind
- Miele-Geschirrspüler zu vertrauensselig,
- Herzschrittmacher lassen sich aus der Ferne umprogrammieren,
- Fahrern in Autos wird die Kontrolle weggenommen,
- Puppen verraten die Gespräche zwischen Kind und Eltern oder lassen Fremde Nachrichten an Ihre Kinder übermitteln, oder
- Sicherheitskameras werden für Internet-Angriffe verwendet,
um nur einige wenige Beispiele zu nennen, wie leicht ungenügende Sicherheit der Geräte zu Problemen oder Katastrophen führen können. Aber einige Funktionen sind auch Absicht: Fernseher petzen den Sendern, was wir wann schauen oder hören gar mit, Lautsprecher zeichnen unsere Wohnzimmergespräche auf und Vibratoren melden dem Hersteller, wann und wo Sie sich wie intensiv beglücken.
Trotzdem werden immer mehr Geräte mit vernetzten Funktionen ausgestattet. Häufig kostet die Zusatzfunktion nur wenige Rappen, schindet aber Eindruck. Der Hersteller will Ihnen schliesslich nicht nur die Version 1.0, sondern wenige Monate später auch die Version 1.1 und gleich darauf die 2.0 verkaufen: Dieselbe Wirkung wie geplante Obsoleszenz, aber viel edler und eleganter.
Überlegungen vor dem Kauf
Wenn Sie sich ein vernetztes Dingsda kaufen wollen, sollten Sie — schon bevor Sie sich über Produktfeatures und Herstellerauswahl Gedanken manchen — folgendes überlegen:
- Brauche ich das Gerät wirklich oder erfüllt es nur denselben Zweck, wie ein anderes Gerät, das ich schon habe (bzw. mir einfach ausleihen kann), sieht aber einfach besser aus? Ist gar der Hauptzweck des Gerätes nur anzugeben, cool zu scheinen oder dazu gehören zu wollen?
- Brauche ich die vernetzten Funktionen wirklich? Auch wenn das bedeutet, dass ein Bösewicht das Gerät möglicherweise vollständig fernsteuern kann? Stellen Sie sich dabei das Schlimmste vor und gehen Sie davon aus, dass der Bösewicht noch einmal um Einiges einfallsreicher ist als Sie. Sind die Zusatzfunktionen den Aufpreis und das erhöhte Risiko wert?
- Falls die vernetzte Funktion jemals aussteigt (der Hersteller stellt seinen Clouddienst ein) oder deaktiviert werden muss (Sicherheitsbedenken): Kann ich das Gerät dann noch weiter nutzen?
Die Produktauswahl
So, jetzt haben Sie sich entschieden, ein neumodisches Dingsda zu kaufen. Welcher Hersteller und welches Produkt darf es denn sein?
- Hat der Hersteller langjährige Erfahrung mit Softwareentwicklung, -pflege und IT-Sicherheit? Wenn nicht, sollten Sie die Finger davon lassen.
Ok, damit ist ihr Einkauf schon gescheitert, das hat die Anzahl möglicher Firmen wohl auf Null schrumpfen lassen. Aber genau dies zeigt, wie schwierig dieses Geschäft ist. Der Hersteller hat jahrzehntelang gezeigt, dass er komplizierte, einbruchssichere Türschlösser aus gehärtetem Spezialstahl herstellen kann? Grossartige Leistung, gratuliere! Aber wieso genau befähigt diese Erfahrung in Sicherheitsstahlt den Hersteller bei IT-Sicherheit? Kann er damit automatisch Millionen von Webservern sicher im Internet betreiben, einen in jedem verkauften Produkt, auch bei Ihnen daheim oder in der Firma? Nein, nicht automatisch. Aber vielleicht hat er sich die Expertise ja zugekauft. Das können Sie mit folgenden Fragen feststellen:
- Sind die Geräte von Anfang an sicher konfiguriert? Wird für die Konfiguration ein einmaliges, nicht erratbares Administratorkennwort genutzt?
- Können Sie das Passwort ändern? Können Sie es zurücksetzen, falls Sie es vergessen haben? Wie wird ein Unbefugter daran gehindert?
- Kann sich jeder ohne Anmeldung mit dem Gerät verbinden? (Bei Bluetooth-Lautsprechern kann das OK sein, bei den meisten anderen Geräten nicht.)
- Sind die Verbindungen zum Gerät verschlüsselt und vertrauenswürdig?
- Wie lange wollen Sie das Gerät betreiben? Wird es dann den Hersteller noch geben?
- Werden Sicherheitsupdates geliefert? Wie häufig? Wie lange? Wollen Sie das Gerät länger betreiben?
- Müssen Sie die Sicherheitsupdates manuell installieren? Werden Sie das auch wirklich regelmässig tun? Bestehen Sie lieber auf automatische Updates!
- Erfasst, speichert und übermittelt das Gerät auch nur Daten, so lange sie benötigt werden? Diese Datensparsamkeit zeugt vom bewussten Umgang mit Risiken.
- Welche Daten erfährt der Hersteller und wie genau nutzt er diese? Informiert er Sie aktiv vor einer Nutzungsänderung? Können Sie dem widersprechen und das Gerät trotzdem wie bis anhin nutzen?
- Bietet das Gerät nur wenige Funktionen an, die Sie nicht wirklich benötigen? Jede zusätzliche Funktion ist ein potenzielles Einfallstor.
Falls Sie die Geräte nicht nur als Privatperson einsetzen möchten, sondern als wichtige Komponente Ihrer Firma („Industrie 4.0“), sollten Sie noch folgende Fragen klären:
- Nutzen das Entwicklungsteam definierte Prozesse für die Softwareentwicklung, Qualitätssicherung und Tests? Nutzen sie mindestens Werkzeuge wie Versionsverwaltung und Bugtracker? Was machen ihre Software-Zulieferer? Wie gewährleisten sie die Sicherheit?
Bei der Installation
- Wählen Sie ein neues, sicheres Passwort. Speichern Sie es in Ihrem Passwortmanager (evt. integriert in den Webbrowser) und legen Sie es in Papierform bei Ihren wichtigen Dokumenten ab, so dass Sie es wiederfinden können.
- Muss das Gerät wirklich Internetzugang haben? Oder reicht der Zugang innerhalb Ihres Heimnetzwerks? Oder sollte es meist ganz ohne Netz funktionieren? Richten Sie das Gerät und Ihren Heimrouter (Stichworte: Freigaben, Filter, Kindersicherung) entsprechend ein.
Nach dem Kauf
Stellen Sie sicher, dass sich der Hersteller auch nach dem Verkauf noch um Sie und Ihr Gerät kümmert.
- Sie haben von einem Sicherheitsproblem gehört oder glauben, eines gefunden zu haben? Nehmen Sie sofort mit dem Hersteller Kontakt auf. Insbesondere in der Garantiezeit verlangen Sie schriftlich eine Lösung des Problems in angemessener Zeit (wenige Wochen).
- Ist Ihnen durch in das Gerät eingedrungene Bösewichte Schaden entstanden? Reden Sie mit dem Juristen Ihres Vertrauens, ob eine Schadenersatzforderung Sinn macht.
Viel Spass mit Ihrem neuen Produkt, möge es Ihnen lange Freude bereiten!
Die Tipps in diesem Artikel basieren auf meinem englischen, inzwischen ein halbes Jahr veralteten, technischeren Artikel über DDoS-Schutz und IoT, der auch Aufgaben für Systemadministratoren, Provider und Forscher auflistet. In unserer Forschung versuchen wir, einfache Lösungen für einige dieser Probleme zu erarbeiten. Einige Resultate zu IT-Sicherheit im Allgemeinen oder zum Internet der Dinge im Speziellen sind online.
Weitere Informationen, z.B. auch zum Umgang nach einer Infektion bietet MELANI (jetzt NCSC).
Bildquelle: Hackaday.io-Projekt „Plant Friends“ von dickson.
Aktuelles zu Sicherheit
- Was verraten KI-Chatbots?«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was… Was verraten KI-Chatbots? weiterlesen
- Sicherheit versteckt sich gerneWieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung.
- Chatkontrolle: Schöner als FiktionWir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung… Chatkontrolle: Schöner als Fiktion weiterlesen
- Chatkontrolle, die Schweiz und unsere FreiheitIn der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat… Chatkontrolle, die Schweiz und unsere Freiheit weiterlesen
- Cloudspeicher sind nicht (immer) für die EwigkeitWieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten.
- IT sind nicht nur KostenOft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu… IT sind nicht nur Kosten weiterlesen
- CrowdStrike, die DritteIn den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die… CrowdStrike, die Dritte weiterlesen
- Unnützes Wissen zu CrowdStrikeIch habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP… Unnützes Wissen zu CrowdStrike weiterlesen
- Marcel pendelt zwischem Spam und ScamBeim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus… Marcel pendelt zwischem Spam und Scam weiterlesen
- Die NZZ liefert Daten an Microsoft — und Nein sagen ist nichtDie andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
- «CrowdStrike»: Ausfälle verstehen und vermeidenAm Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
- Auch du, mein Sohn FirefoxIch habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen… Auch du, mein Sohn Firefox weiterlesen
- «Voting Village»-TranskriptLetzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche… «Voting Village»-Transkript weiterlesen
- «QualityLand» sagt die Gegenwart voraus und erklärt sieIch habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat… «QualityLand» sagt die Gegenwart voraus und erklärt sie weiterlesen
- 50 Jahre «unentdeckbare Sicherheitslücke»Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
- Stimmbeteiligung erhöhen ohne eVotingEines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
- 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
- Mutmassungen über «Jia Tan»: Spuren eines HackersIch habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden,… Mutmassungen über «Jia Tan»: Spuren eines Hackers weiterlesen
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen SpamwelleAktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch… Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle weiterlesen
- Wie die Open-Source-Community an Ostern die (IT-)Welt retteteHuch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte… Wie die Open-Source-Community an Ostern die (IT-)Welt rettete weiterlesen
- Endet die Zeit im Jahr 2038?Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut… Endet die Zeit im Jahr 2038? weiterlesen
- Wie zählt ein Computer?Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit… Wie zählt ein Computer? weiterlesen
- Spamwelle zu Weihnachten?Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die… Spamwelle zu Weihnachten? weiterlesen
- «5 Minuten für mehr Datenschutz»: Tracking vermeiden«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz… «5 Minuten für mehr Datenschutz»: Tracking vermeiden weiterlesen
Schreibe einen Kommentar