Auf dem Rückweg von einem Security-Vortrag auf dem Genfer Autosalon traf sich Alex Manea, Chief Security Officer von BlackBerry, mit LANline. Die Themen reichten von der Sicherheit „smarter“ Haushaltsgeräte über autonome Fahrzeuge bis hin zur Frage der gesetzlichen Regulierung der physischen und IT-Sicherheit im IoT (Internet of Things).

LANline: Herr Manea, welchen Einfluss hat die zunehmende Verbreitung von IoT-Equipment auf die IT-Sicherheit?

Alex Manea: Das Zusammenfließen von Security und Safety (also IT-Sicherheit und physischer Sicherheit, d.Red.) ist ein wichtiger Trend. Interessanterweise haben Sie im Deutschen für beide Aspekte das gleiche Wort: „Sicherheit“. Erforderlich wird dieses Zusammenfließen in zwei wesentlichen Risikobereichen: bei kritischer Infrastruktur sowie bei Consumer-IoT-Geräten, darunter vernetzte Fahrzeuge. Kritische Infrastruktur wie etwa Smart Grids sind sehr attraktive Ziele für Angreifer, nicht zuletzt auch für nationalstaatliche Akteure. Bei den Consumer-Geräten wiederum sehen wir heute hunderte neuer Gerätetypen – in aller Regel mit deutlich schlechterer IT-Sicherheit als Server oder PCs. Selbst viele Smartphones haben dieses Niveau noch nicht erreicht, aber bei IoT-Devices sieht es noch viel schlechter aus: In diesem Markt findet man hart codierte Passwörter ebenso wie das Fehlen jeglicher Update-Mechanismen. Viele Hersteller haben über solche Fragen noch nicht einmal nachgedacht.

LANline: Wie kann man diesen Missstand beheben?

Alex Manea: Wir brauchen Industriestandards. Diese vorgeschriebenen Standards müssen nicht perfekt sein, nur ein Schritt in die richtige Richtung. Und sie müssen nicht detailliert sein – die Ausarbeitung der Einzelheiten kann der Gesetzgeber den zuständigen Behörden überlassen. Außerdem müssen wir aufhören, immer nur von „sicher“ oder „unsicher“ zu reden. Es geht vielmehr um die Frage, wie sicher etwas ist, also um eine Abstufung. Ziel muss es sein, einen Angriff ökonomisch ineffizient zu machen. Die Angreifer denken ökonomisch, also müssen auch wir über die ökonomische Seite der Security nachdenken.

LANline: Wie weit sind wir in puncto Regulierung des Internet of Things?

Alex Manea: Bei den bisherigen Anstrengungen ging es oft um Compliance-Standards wie HIPAA oder SOX. Das ist ein guter Start. Bei IoT sind viele Regierungen aber noch damit beschäftigt, überhaupt zu verstehen, was IoT bedeutet und beinhaltet.

LANline: Wie kann hier der Einstieg gelingen?

Alex Manea: Autos zum Beispiel sind ein spezifischer IoT Use Case, der leicht verständlich ist. Bei Autos existieren solide Standards für physische Sicherheit, warum also nicht auch für IT-Sicherheit? Für physische Sicherheit gibt es das Crash-Test-Rating – etwas Ähnliches für Security wäre eine gute Idee.

LANline: Und wie ermittelt man dieses Security-Rating?

„Bei Autos existieren solide Standards für physische Sicherheit, warum also nicht auch für IT-Sicherheit? Für physische Sicherheit gibt es das Crash-Test-Rating – etwas Ähnliches für Security wäre eine gute Idee“, so BlackBerry-CSO Alex Manea. Bild: BlackBerry

„Bei Autos existieren solide Standards für physische Sicherheit, warum also nicht auch für IT-Sicherheit? Für physische Sicherheit gibt es das Crash-Test-Rating – etwas Ähnliches für Security wäre eine gute Idee“, so BlackBerry-CSO Alex Manea. Bild: BlackBerry

Alex Manea: Die Codequalität lässt sich feststellen. Zum Beispiel bietet BlackBerry mit Jarvis einen Code-Scanner, der Code auf bekannte Schwachstellen hin untersucht. Ein Zielmarkt für Jarvis ist die Automobilindustrie. Hier treffen wir auf reges Interesse an solchen Code-Scans, denn die Automobilhersteller sind sich der Gefahr bewusst. Ein Beispiel: Jedes Auto muss einen OBD-II-Port haben (OBD: On-Board Diagnostics, d.Red.). Das ist aber ein Risikofaktor, da OBD keinen Authentifizierungsmechanismus umfasst. Der ODB-II-Port erfordert aber wenigstens physischen Zugang. Bei einem Hack über das Internet, wie ihn Miller und Valasek schon vor Jahren demonstriert haben, ist das Risiko noch größer, da per Internet ein 1:n-Angriff möglich ist. Das bedeutet: Autohersteller sind heute IT-Firmen, ob sie das wollen oder nicht. Nötig sind deshalb Partnerschaften zwischen Automobilherstellern und IT-Anbietern, um gemeinsam die Sicherheit zu erhöhen.

LANline: Wie kann man IT-Sicherheit zu einem wichtigen Faktor bei IoT-Kaufentscheidungen machen?

Alex Manea: In der Zukunft wird es selbstfahrende Autos geben. Da muss der Fahrer die Hände vom Lenkrad nehmen, für viele eine Schreckensvorstellung. Da wird IT-Sicherheit ebenso wie physische Sicherheit sehr wohl ein wichtiger Faktor bei Kaufentscheidungen sein.

LANline: Autos sind ein Sonderfall. Wie bekommt man Verbraucher dazu, sich für die IT-Sicherheit alltäglicher „smarter“ Konsumgüter zu interessieren?

Alex Manea: Der Konsument geht davon aus, dass ein Produkt sicher ist, bis das Gegenteil feststeht. Es geht also um Awareness. Hier helfen Berichte darüber, wie Hacks den Alltag beeinträchtigen. Dass zum Beispiel WannaCry zahlreiche Krankenhäuser in Großbritannien lahmlegen konnte, hat dort die Öffentlichkeit aufgeschreckt. Zugleich bedrohen IoT-Geräte den Datenschutz in einem bislang nicht gekannten Maß. So gab es zum Beispiel Berichte über Babyphones, die es einem Wildfremden ermöglichten, über das Internet mit dem eigenen Kind zu sprechen. Solche Fällen finden zurecht große Aufmerksamkeit. Die Konsumenten sind heute gezwungen, sich mit Security zu beschäftigen – sie haben gar keine andere Wahl mehr.

LANline: Sobald die Gefahr erkannt ist, wie sollte es dann weitergehen?

Alex Manea: Das IoT bietet großen Mehrwert, aber wir müssen uns fragen: Müssen wir wirklich jedes Gerät mit dem Internet verbinden, nur weil es möglich ist? Zugleich müssen wir intelligenter vorgehen bei der Art und Weise, wie wir IoT-Geräte mit dem Internet verbinden. Aus der IT wissen wir, was erforderlich ist: Authentifizierung, Verschlüsselung, ein sicheres Netzwerk etc. Diese Erkenntnisse müssen wir nun auf IoT-Geräte anwenden. Autos liegen hier bereits recht gut im Schnitt, medizinische Gerätschaft hinkt noch hinterher.

LANline: Und wie kann man sicherstellen, dass hier tatsächlich etwas vorangeht?

Alex Manea: Hier sind wir wieder bei der Frage der Regulierung: Die Gesetzgeber müssen hier tätig werden und eine Baseline für IoT-Security schaffen. Sonst werden viele Hersteller Security nicht als wesentliche Geräteeigenschaft begreifen.

LANline: Herr Manea, vielen Dank für das Gespräch!

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.