![](https://marcel-waldvogel.ch/wp-content/uploads/2017/03/PlantIoT-208x300.jpeg)
Immer mehr Dinge des Alltags sind mit dem Internet verbunden und dementsprechend auch darüber steuerbar: Das Internet der Dinge ist überall. Unser Leben wird immer mehr geprägt von Aquariums- und Beleuchtungssteuerungen über elektronische Haustüren, Pflanzenfühler und -bewässerer, Spülmaschinen oder Thermostate bis hin zu Zoom-Überwachungskameras. Damit unser Leben aber nicht durch diese Geräte bestimmt wird, müssen wir sicher sein, dass sie nicht nur uns gehören, sondern auch gehorchen. Das ist nicht immer einfach.
Wenn diese Geräte mit dem Internet verbunden sind, sind sie häufig nicht ausreichend geschützt. So sind
- Miele-Geschirrspüler zu vertrauensselig,
- Herzschrittmacher lassen sich aus der Ferne umprogrammieren,
- Fahrern in Autos wird die Kontrolle weggenommen,
- Puppen verraten die Gespräche zwischen Kind und Eltern oder lassen Fremde Nachrichten an Ihre Kinder übermitteln, oder
- Sicherheitskameras werden für Internet-Angriffe verwendet,
um nur einige wenige Beispiele zu nennen, wie leicht ungenügende Sicherheit der Geräte zu Problemen oder Katastrophen führen können. Aber einige Funktionen sind auch Absicht: Fernseher petzen den Sendern, was wir wann schauen oder hören gar mit, Lautsprecher zeichnen unsere Wohnzimmergespräche auf und Vibratoren melden dem Hersteller, wann und wo Sie sich wie intensiv beglücken.
Trotzdem werden immer mehr Geräte mit vernetzten Funktionen ausgestattet. Häufig kostet die Zusatzfunktion nur wenige Rappen, schindet aber Eindruck. Der Hersteller will Ihnen schliesslich nicht nur die Version 1.0, sondern wenige Monate später auch die Version 1.1 und gleich darauf die 2.0 verkaufen: Dieselbe Wirkung wie geplante Obsoleszenz, aber viel edler und eleganter.
Überlegungen vor dem Kauf
Wenn Sie sich ein vernetztes Dingsda kaufen wollen, sollten Sie — schon bevor Sie sich über Produktfeatures und Herstellerauswahl Gedanken manchen — folgendes überlegen:
- Brauche ich das Gerät wirklich oder erfüllt es nur denselben Zweck, wie ein anderes Gerät, das ich schon habe (bzw. mir einfach ausleihen kann), sieht aber einfach besser aus? Ist gar der Hauptzweck des Gerätes nur anzugeben, cool zu scheinen oder dazu gehören zu wollen?
- Brauche ich die vernetzten Funktionen wirklich? Auch wenn das bedeutet, dass ein Bösewicht das Gerät möglicherweise vollständig fernsteuern kann? Stellen Sie sich dabei das Schlimmste vor und gehen Sie davon aus, dass der Bösewicht noch einmal um Einiges einfallsreicher ist als Sie. Sind die Zusatzfunktionen den Aufpreis und das erhöhte Risiko wert?
- Falls die vernetzte Funktion jemals aussteigt (der Hersteller stellt seinen Clouddienst ein) oder deaktiviert werden muss (Sicherheitsbedenken): Kann ich das Gerät dann noch weiter nutzen?
Die Produktauswahl
So, jetzt haben Sie sich entschieden, ein neumodisches Dingsda zu kaufen. Welcher Hersteller und welches Produkt darf es denn sein?
- Hat der Hersteller langjährige Erfahrung mit Softwareentwicklung, -pflege und IT-Sicherheit? Wenn nicht, sollten Sie die Finger davon lassen.
Ok, damit ist ihr Einkauf schon gescheitert, das hat die Anzahl möglicher Firmen wohl auf Null schrumpfen lassen. Aber genau dies zeigt, wie schwierig dieses Geschäft ist. Der Hersteller hat jahrzehntelang gezeigt, dass er komplizierte, einbruchssichere Türschlösser aus gehärtetem Spezialstahl herstellen kann? Grossartige Leistung, gratuliere! Aber wieso genau befähigt diese Erfahrung in Sicherheitsstahlt den Hersteller bei IT-Sicherheit? Kann er damit automatisch Millionen von Webservern sicher im Internet betreiben, einen in jedem verkauften Produkt, auch bei Ihnen daheim oder in der Firma? Nein, nicht automatisch. Aber vielleicht hat er sich die Expertise ja zugekauft. Das können Sie mit folgenden Fragen feststellen:
- Sind die Geräte von Anfang an sicher konfiguriert? Wird für die Konfiguration ein einmaliges, nicht erratbares Administratorkennwort genutzt?
- Können Sie das Passwort ändern? Können Sie es zurücksetzen, falls Sie es vergessen haben? Wie wird ein Unbefugter daran gehindert?
- Kann sich jeder ohne Anmeldung mit dem Gerät verbinden? (Bei Bluetooth-Lautsprechern kann das OK sein, bei den meisten anderen Geräten nicht.)
- Sind die Verbindungen zum Gerät verschlüsselt und vertrauenswürdig?
- Wie lange wollen Sie das Gerät betreiben? Wird es dann den Hersteller noch geben?
- Werden Sicherheitsupdates geliefert? Wie häufig? Wie lange? Wollen Sie das Gerät länger betreiben?
- Müssen Sie die Sicherheitsupdates manuell installieren? Werden Sie das auch wirklich regelmässig tun? Bestehen Sie lieber auf automatische Updates!
- Erfasst, speichert und übermittelt das Gerät auch nur Daten, so lange sie benötigt werden? Diese Datensparsamkeit zeugt vom bewussten Umgang mit Risiken.
- Welche Daten erfährt der Hersteller und wie genau nutzt er diese? Informiert er Sie aktiv vor einer Nutzungsänderung? Können Sie dem widersprechen und das Gerät trotzdem wie bis anhin nutzen?
- Bietet das Gerät nur wenige Funktionen an, die Sie nicht wirklich benötigen? Jede zusätzliche Funktion ist ein potenzielles Einfallstor.
Falls Sie die Geräte nicht nur als Privatperson einsetzen möchten, sondern als wichtige Komponente Ihrer Firma („Industrie 4.0“), sollten Sie noch folgende Fragen klären:
- Nutzen das Entwicklungsteam definierte Prozesse für die Softwareentwicklung, Qualitätssicherung und Tests? Nutzen sie mindestens Werkzeuge wie Versionsverwaltung und Bugtracker? Was machen ihre Software-Zulieferer? Wie gewährleisten sie die Sicherheit?
Bei der Installation
- Wählen Sie ein neues, sicheres Passwort. Speichern Sie es in Ihrem Passwortmanager (evt. integriert in den Webbrowser) und legen Sie es in Papierform bei Ihren wichtigen Dokumenten ab, so dass Sie es wiederfinden können.
- Muss das Gerät wirklich Internetzugang haben? Oder reicht der Zugang innerhalb Ihres Heimnetzwerks? Oder sollte es meist ganz ohne Netz funktionieren? Richten Sie das Gerät und Ihren Heimrouter (Stichworte: Freigaben, Filter, Kindersicherung) entsprechend ein.
Nach dem Kauf
Stellen Sie sicher, dass sich der Hersteller auch nach dem Verkauf noch um Sie und Ihr Gerät kümmert.
- Sie haben von einem Sicherheitsproblem gehört oder glauben, eines gefunden zu haben? Nehmen Sie sofort mit dem Hersteller Kontakt auf. Insbesondere in der Garantiezeit verlangen Sie schriftlich eine Lösung des Problems in angemessener Zeit (wenige Wochen).
- Ist Ihnen durch in das Gerät eingedrungene Bösewichte Schaden entstanden? Reden Sie mit dem Juristen Ihres Vertrauens, ob eine Schadenersatzforderung Sinn macht.
Viel Spass mit Ihrem neuen Produkt, möge es Ihnen lange Freude bereiten!
Die Tipps in diesem Artikel basieren auf meinem englischen, inzwischen ein halbes Jahr veralteten, technischeren Artikel über DDoS-Schutz und IoT, der auch Aufgaben für Systemadministratoren, Provider und Forscher auflistet. In unserer Forschung versuchen wir, einfache Lösungen für einige dieser Probleme zu erarbeiten. Einige Resultate zu IT-Sicherheit im Allgemeinen oder zum Internet der Dinge im Speziellen sind online.
Weitere Informationen, z.B. auch zum Umgang nach einer Infektion bietet MELANI (jetzt NCSC).
Bildquelle: Hackaday.io-Projekt „Plant Friends“ von dickson.
Aktuelles zu Sicherheit
- Auch du, mein Sohn FirefoxIch habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen… Auch du, mein Sohn Firefox weiterlesen
- «Voting Village»-TranskriptLetzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche… «Voting Village»-Transkript weiterlesen
- «QualityLand» sagt die Gegenwart voraus und erklärt sieIch habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat… «QualityLand» sagt die Gegenwart voraus und erklärt sie weiterlesen
- 50 Jahre «unentdeckbare Sicherheitslücke»Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
- Stimmbeteiligung erhöhen ohne eVotingEines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
- 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
- Mutmassungen über «Jia Tan»: Spuren eines HackersIch habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden,… Mutmassungen über «Jia Tan»: Spuren eines Hackers weiterlesen
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen SpamwelleAktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch… Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle weiterlesen
- Wie die Open-Source-Community an Ostern die (IT-)Welt retteteHuch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte… Wie die Open-Source-Community an Ostern die (IT-)Welt rettete weiterlesen
- Endet die Zeit im Jahr 2038?Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut… Endet die Zeit im Jahr 2038? weiterlesen
- Wie zählt ein Computer?Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit… Wie zählt ein Computer? weiterlesen
- Spamwelle zu Weihnachten?Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die… Spamwelle zu Weihnachten? weiterlesen
- «5 Minuten für mehr Datenschutz»: Tracking vermeiden«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz… «5 Minuten für mehr Datenschutz»: Tracking vermeiden weiterlesen
- 2FA verschwindet in der CloudZwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch… 2FA verschwindet in der Cloud weiterlesen
- IT-Sicherheit ≠ BürostuhlDer Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir… IT-Sicherheit ≠ Bürostuhl weiterlesen
- 📹 Cloud: Technologie für Datenschutz?Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe… 📹 Cloud: Technologie für Datenschutz? weiterlesen
- SBB-Kundentracking: Offene FragenSeit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem… SBB-Kundentracking: Offene Fragen weiterlesen
- Cloud-Sicherheit am WinterkongressAm Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat… Cloud-Sicherheit am Winterkongress weiterlesen
- Jugendschutzgesetz: Ein kleiner Medien-FaktencheckIn der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen… Jugendschutzgesetz: Ein kleiner Medien-Faktencheck weiterlesen
- Rechteausweitung von Google mit MapsGoogle Maps ändert seine URL von maps.google.com auf google.com/maps. Eigentlich sollte das keine Schlagzeile wert sein müssen. Wieso doch, darüber diskutieren… Rechteausweitung von Google mit Maps weiterlesen
- Was uns Ransomware zu Datenschutz und Datensicherheit lehrtWinterzeit ist Viruszeit. Neben Menschen erkranken aktuell aber auch wieder vermehrt Computer, aktuell an Ransomware. In der Cloud ist ein grosser… Was uns Ransomware zu Datenschutz und Datensicherheit lehrt weiterlesen
- Hinter den Kulissen der VerschlüsselungVerschlüsselung nutzen wir täglich: Kaum mehr eine Webseite, Nachricht oder Mail nutzt nicht mindestens ein bisschen Verschlüsselung. Und trotzdem wissen viele… Hinter den Kulissen der Verschlüsselung weiterlesen
- Erklärt: Das Kleingedruckte bei Cyber-VersicherungRisiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen… Erklärt: Das Kleingedruckte bei Cyber-Versicherung weiterlesen
- Digitales Offline-Geld?Immer wieder taucht die Frage nach dem Einsatz von digitalem Geld bei Netzausfall auf. Hier eine Übersicht über die Möglichkeiten und… Digitales Offline-Geld? weiterlesen
Schreibe einen Kommentar