Bruce Schneier
Bruce Schneier analysiert in seinem Artikel “Security and the Internet of Things” die Probleme und Gefahren des “Internets der Dinge” und kommt zu einigen bemerkenswerten Schlussfolgerungen.
(Anmerkung: dies ist eine sehr kurze Zusammenfassung der wichtigsten Punkte des Artikels und keine wörtliche Übersetzung)
Das Internet ist nicht länger nur ein Netzwerk, in das wir uns einklinken. Es ist eine Digitale Welt, in der wir immer mehr leben. Und wir nehmen immer mehr Geräte mit in diese Digitale Welt und machen sie so zum “Internet of Things” (IoT).
Das IoT besteht aus drei Klassen von Geräten. Es gibt Datensammler, Sensoren, die die Temperatur oder Verkehrsdichte messen, die Bewegungen wahrnehmen und unsere Position bestimmen. Dann gibt es die Datenverarbeiter, die “intelligenten” Gerätschaften, die die Daten verwenden um daraus Schlüsse zu ziehen und Entscheidungen zu treffen. Und dann gibt es die Aktoren, die diese Entscheidungen in der realen Welt umsetzen. Die die Heizung an und aus schalten oder die Ampelphasen anders einstellen. Die für uns auf die Bremse treten wenn ein Hindernis auf der Straße auftaucht.
Die Sensoren sind die Augen und Ohren (und Nasen und und und) des “Internet of Things”, die Altoren sind die Hände und Füße und das dazwischen ist das Gehirn. Wir bauen ein Internet, das fühlt, denkt und agiert. Das ist die Definition eines Roboters. Wir erschaffen mit dem IoT einen weltumspannenden Roboter ohne dass es uns auffällt.
Natürlich ist es kein Roboter im klassischen Sinn. Der Welt-Roboter ist verteilt, er hat keinen einzelnen Körper, kein zentrales Gehirn. Seine Teile werden von verschiedenen Menschen gesteuert. Er hat keine einheitlichen Ziele. Er ist nicht besonders intelligent. Aber er wird immer intelligenter. Er kann immer mehr. Und er wird immer gefährlicher.
Sicherheit
Sicherheit ist ein Wettrüsten zwischen Angreifer und Verteidiger. Und die sich weiterentwickelnde Technologie verschiebt laufend das Kräfteverhältnis. Es ist essenziell zu verstehen, wie sich dieses Wettrüsten im Internet entwickelt hat und sich weiterentwickelt. Erst dann versteht man auch, warum der Welt-Roboter so unsicher ist und wie wir ihn sicherer machen können.
Schneier hat dazu fünf Wahrheiten aus der bisherigen technologischen Evolution herausdestilliert, die großen Einfluss auf dieses Wettrüsten haben.
Wahrheit Nr. 1: Im Internet ist Angriff leichter als Verteidigung.
Das liegt hauptsächlich an der Komplexität der Systeme. Es ist schwer, alle Unsicherheiten zu finden, da die Systeme eine sehr große “Oberfläche” für Angriffe bieten. Angreifer sind kleiner und auch agiler.
Wahrheit Nr. 2: Die meiste Software ist schlecht gebaut und unsicher.
Gute Software, z.B. solche in sicherheitskritischen Systemen wie Flugzeugen ist zeitaufwändig in der Herstellung und daher teuer. Schlechte Software ist oft gut genug. Wen stört es schon, wenn man ab und zu das Gerät aus- und wieder einschalten muss, weil es sich aufgehängt hat. Hauptsache billig.
Wahrheit Nr. 3: Wenn jedes mit jedem übers Internet verbunden wird, ergeben sich neue Sicherheitslücken.
Am 21. Oktober 2016 startete ein Botnet aus vielen tausend (Haushalts-)Geräten einen verteilten Angriff auf einen kritischen Teil der Internet-Infrastruktur, was zu großflächigen Ausfällen führte. Jedes Gerät war für sich genommen “sicher genug”, jedenfalls für den Besitzer. Zusammen genommen jedoch konnte großer Schaden angerichtet werden.
Es ist schwierig, solche Möglichkeiten vorherzusehen. Auch ist möglicherweise kein einzelnes der Geräte schuld, die Sicherheitslücke ergibt sich möglicherweise erst durch die Interaktion von zwei oder mehreren Geräten.
Wahrheit Nr. 4: Wir müssen uns gegen die besten Angreifer der Welt verteidigen.
Das Internet funktioniert als Verstärker und potenziert die Angriffsmöglichkeiten in einer Weise, die ohne Computer und Netzwerke nicht möglich wäre. Und im Internet gibt es keine Entfernungen. Für die Sicherheit meiner Wohungstür brauche ich nur Vorkehrungen gegen durchschnittliche Einbrecher zu ergreifen, weil es unwahrscheinlich ist, dass die wenigen Super-Einbrecher bei mir physisch vorbeischauen. Im Internet muss ich damit rechnen, dass die besten und stärksten Einbrecher gleich nebenan wohnen und ihre Super-Einbruchswerkzeuge an alle anderen Einbrecher weitergeben, sodass diese ebenfalls zu Super-Einbrechern werden.
Wahrheit Nr. 5: Gesetze verhindern Sicherheitssforschung.
In den meisten Ländern gibt es bereits Gesetze, die es unter Strafe stellen, Sicherheitsmechanismen zum Schutz des Urheberrechts zu umgehen. Dazu genügt schon das Analysieren, das “Reverse Engineering” der verwendeten Software zu Zwecken der Sicherheitsanalyse, das unter anderen Umständen vollkommen legal wäre. Dieser Schutz wird von Firmen teilweise dazu missbraucht um Forschende zu bedrohen, um die oftmals wenig schmeichelhaften Einsichten in die schlecht designte Software zu unterdrücken.
Zwei grundlegenden Sicherheitsstrategien
Sicherheitsstrategien lassen sich grob in zwei Klassen einteilen: entweder macht man das Gerät von anfang an so sicher wie möglich, oder man bleibt sicherheitstechnisch agil und bessert laufend nach.
In der ersten Klasse finden sich die klassischen “gefährlichen” Dinge: Flugzeuge, Züge, medizinische Geräte, Gebäude. Hier finden sich die entsprechenden Techniken für sicheres Design, Sicherheitstests und Prüfplaketten, komplexe Zulassungsverfahren uvam. In diesen Bereichen ist es wichtig, von anfang an sicher zu sein, da sonst Menschenleben auf dem Spiel stehen.
Die zweite Klasse beinhaltet die immer schnellerwerdende Softwareentwicklung für Produkte, die schnell auf den sich rasch verändernden Markt müssen. Hier passieren immer wieder Fehler, hier werden immer wieder Sicherheitslücken entdeckt und hier zählt Reaktionsgeschwindigkeit, Anpassungsfähigkeit und die Fähigkeit, sich “durchzuwursteln”. In dieser Welt ist es OK, Fehelr Fehler zu machen, solange man sie schnell genug beheben kann. Wir haben in Ihrem Virenscanner einen Trojaner vergessen? Kein Problem, die Virenliste wird jede Nacht neu geladen.
Diese zwei Klassen überlappen immer mehr. Elektronische, von Software getriebene Geräte werden nach der zweiten Methode entwickelt, übernehmen aber zunehmend Aufgaben, die in die erste Klasse fallen. Ein Fehler im Autoradio kann dazu führen dass jemand mein Auto fernsteuert. Herzschrittmacher lassen sich über das Smartphone konfigurieren. Ampelanlagen hängen im Internet. Wählen per Wahlcomputer.
Wir haben es bisher nicht geschafft, diese beiden Strategien gut zu kombinieren. Es ist kaum möglich, Sicherheitsupdates in medizinische Geräte einzuspielen, weil sonst diese ihre Zulassung verlieren. Und es ist kaum möglich festzustellen ob und nach welchen Sicherheitskriterien ein Haushaltsgerät entwickelt wurde.
Lösungen?
Der Markt allein kann das Problem nicht lösen, will es auch nicht lösen, das zeigen die vielen Virenscanner und anderen Sicherheitssoftwarepakete.
Schneier schlägt die Einrichtung einer Regulierungsbehörde vor, die sich um das Internet und besonders um das “Internet of Things” kümmern soll. Die Beispiele zeigen, dass die Bedrohungen Ausmaße erreicht haben, die einen solchen – für amerikanische Verhältnisse unglaublich schweren – Eingriff rechtfertigen.
Weiters stellt er die berechtigte Frage ob wirklich alle Geräte global vernetzt sein müssen oder ob eine lokalisierte Kommunikation nicht ausreicht.
Und es ist wichtig, darüber frühzeitig zu sprechen und frühzeitig zu planen. Es wird in Zukunft immer mehr Vorfälle geben, und sobald es einen wirklich katastrophalen Vorfall gibt, werden die Politiker handeln. Rasch handeln. Rasch und unüberlegt. Oder rasch und überlegt, wenn es bereits gut vorbereitete Konzepte gibt.
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.
Einige Anmerkungen dazu .
zu Wahrheit Nr.1 :
Das Problem der Unsicherheit von Systemen/Geräten wird ist primär durch die – im Sinne “maximaler” Sicherheit – unzulässige Annahme mitverursacht, dass diese Systeme/Geräte nur in vorgesehener (“widmungsgemäßer”) Weise verwendet werden und ist damit nicht nur beschränkt auf Geräte/Systeme die über Internet miteinander verbunden sind.
So hat es z.B. wenig Sinn die Türen eines Hauses besonders abzusichern, wenn es daneben aber Öffnungen gibt, die zwar nicht als Eingänge vorgesehen sind, aber zumeist fast ohne Probleme auch als Eingänge benutzt werden könnten – das können Kellerfenster sein, das könnten aber auch schliefbare Kamine oder Abwasserkanäle sein.
Bei technischen (und gerade auch komplexen) Systemen kommt das Problem der “Dynamik” – der Abhängigkeit der möglichen Reaktionen eines Systems vom aktuellen technische (Betriebs- / Einstellungs-)Zustand hinzu – für deren vollständige Beschreibung es für “Normalverbraucher” keine übersichtliche und auch verständliche Beschreibungssprache gibt. Man denke hier nur an die Ersteinstellmöglichkeiten eines Smart-Phones , eines Smart-TV oder – noch einfacher -einer Funkweckers (z.B. ohne verfügbarer Bedienungsanleitung). Umgekehrt versuchen auch viele Systembetreiber die Schwächen ihrer Systeme zu “vertuschen”, indem sie gleich gar keine Anleitungen publizieren , wie sich z.B. ein Kunde in Falle der Überschreitung der maximal zulässigen Eingabeversuche seines Pins an einem Bankomaten verhalten muss, um wieder auf sein Konto zugreifen zu können.
zu Wahrheit Nr 2 :
Es gibt ein Grundprinzip der Industrie das zumindest seit Bestehen des Kapitalismus gilt : “Das Schlechteste ist gerade gut genug”. Das ist übrigens keine Erfindung/Unterstellung von mir, sondern die Aussage eine Professors der Fertigungstechnik auf der Technischen Universität vor einigen Jahren. Im Gegensatz dazu soll es (angeblich) – vermutlich auch schon etwas länger her – einmal einen Handwerker-Codex gegeben haben, in dem Handwerkern “ans Herz gelegt” wurde, die beste Qualität zu liefern, die sie zu einem bestimmten Preis liefern konnten.
Im Gegensatz dazu ging’s (bzw. geht’s) offenbar (?) in der Industrie immer darum, die schlechtste (“billigste”) Qualität zu liefern, die für eine bestimmten Preis übehaupt noch ausreichend Käufer findet. Wenn hier nicht durch informierte/kritische/ausreichend gebildete Käufer und/oder gesetzliche Vorschriften ein entsprechendes Regulativ bebildet wird , um ein “Absacken” der gelieferten Qualiträt industrieller Produke möglichst zu verhindern, dann haben wir die Erscheinungen die heute immer häufiger (bzw. regelmäßig) zu beobachten sind : Ausfall von Geräten unmittelbar nach der Gewährleistungsfrist, zunehmende Belastung der Umwelt durch immer größere Sondermüllberge, verfehlen praktisch aller einzuhaltenden Klimaziele, weiterhin kritische Schadstoffe in der Ernährungskette, ….
Dass diese Probleme (geringste noch verkaufbare Qualität) dann gerade auch bei – für viele so wenig greifbaren, aber wichtigen – Kriterien für die “Digitale Welt” , wie z.B. “Softwarequalität”, “Sicherheit in der IT” , “Sicherheit der Kommunikationsinfrastruktrur”, “Sicherheit der Energieversorgung” , ….- Relevanz haben , darf dann eigentlich nicht verwundern. Nur wenn in diesen Bereichen ein merkbarer Schaden eintritt, dann ist allein mit dem Austausch beschädigter/nicht mehr funktionsfähiger Geräte das jeweilige Problem aber noch lange nicht behoben.
zu Wahrheit Nr 3 :
Das ist aber kein besonderes Kennzeichen des Internet und daher als Problem nicht neu oder einmalig neu : Je mehr “Schwachstellen” es in einem System gibt, desto größer ist auch die Wahscheinlichkeit, dass das System gestört werden wird oder gar vollständig ausfällt oder auch “Einbrüche” in Systeme möglich sind.
Sicherheit ist mit “einfachen/übersichtlichen” Sytemen jedenfalls leichter erreichbar, als mit immer komplexer werdenden Systemen.
zu Wahrheit Nr 4 :
Da wir mit Sicherheit irgendwann von den besten Angreifern der Welt auch angegriffen werden werden, steht jedenfalls außer Zweifel. Das ist nur eine Frage des Zeitpunktes.
“Kleinere” Angriffe laufen ja praktisch täglich und zumeist von den Medien gar nicht wahrgenommen. Dass wir uns unter den derzeitigen Bedingungen des relativ sorglosen und oft geradezu “naiven” Einsatzes des Internet (selbst in höchst kritischen Bereichen unserer Infrastruktur) gegen einen “wirklich großen” Angriff wohl kaum wirksam schützen/verteidigen können, steht wohl auch außer Diskussion – wir hätten es ja sonst nicht mit den besten Angreifern der Welt zu tun.
zu Wahrheit Nr 5:
Dieser Umstand ( “Verbot der Sicherheitsforschung” ) sollte doch eigentlich schon Hinweis genug sein, dass alle (?) unsere IT und Kommunikationsysteme unsicher sind – obwohl uns von einschlägigen Lobbyisten immer vorgeschwärmt wird, wie einfach, bequem und sicher doch alle diese Methoden/Verfahren und Systeme der “Digitalen Welt ” doch wären.
Ein Fehler im Autoradio ist ja kaum der Mühe Wert hier überhaupt angeführt zu werden. Anders liegt das Problem aber bei möglichen Navigationsfehlern von selbstfahrenden Kraftfahrzeugen die vielleicht einen tödlichen Unfall verursachen könnten, nur weil ihr Kommunikationsystem vielleicht nicht die Verbindung zu einer zentralen “Navigationsintelligenz” in der Cloud halten konnte. Für selbstfahrende Fahrzeuge andere ( z.B. “schwächere”) Sicherheitsvorschriften bzw. Prüf- und Testvorschriften vorzusehen, als sie in ähnlicher Form für Flugzeuge und Bahnen gelten, wäre geradezu unverantwortlich.
Zur Erforschung bzw. Lösung/Regulierung dieser Probleme eine Regulierungsbehörde einzurichten hört sich zwar gut an, löst aber vermutlich nicht das Problem der “unbefangenen Objektivität” der dort Tätigen. Denn woher sollen diese Spezialisten dort kommen, wer soll sie zahlen, wie solllen sich die erforderlichen Forschungsinstitute finanzieren, wenn schon zahlreiche bestehende ähnlich “unabhängig” Institute auf nennenswertes Sponsoring und auf Auftragsforschung aus der Industrie wirtschaftlich angewiesen sind und die öffentliche Hand große Probleme hat , selbst bereits bestehende Unis und Fachhochschulen ausreichend auszustatten und zu finanzieren ?