Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoTGeräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Die Rechtslage zur IT-Sicherheit ist aktuell nur fragmentarisch ausgestaltet. Bestimmte Bereiche wie kritische Infrastrukturen haben detaillierte Vorgaben, andere Bereiche wie zum Beispiel IoT-Geräte haben allenfalls Vorgaben aus dem Datenschutzrecht. Zudem sind beispielsweise bei den Datenschutz-Aufsichtsbehörden kaum Ressourcen vorhanden, um die Einhaltung dieser Vorgaben zu kontrollieren. Das Einführen einer einheitlichen ITSicherheitsregulierung mit Gewährleistungs- und Haftungsregeln für Hard- und Software, die nicht dem Stand der Technik entsprechen, wäre beispielsweise eine wünschenswerte Maßnahme.
Unsichere IoT-Geräte schaden nicht nur dem Eigentümer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Ich denke, wir brauchen hier eine gesellschaftliche Diskussion, ob eine Haftungsregelung allein zum gewünschten Ergebnis führen kann. Vorstellbar wäre, dass Verkäufer und ggf. Hersteller für einen bestimmten Zeitraum – beispielsweise den gesetzlichen Gewährleistungszeitraum von zwei Jahren – dazu verpflichtet würden, regelmäßig Sicherheitsupdates für bekannte Lücken und Angriffe bereitzustellen. Doch auch durch diese Regelung könnte das Problem unsicherer Geräte nicht gelöst werden, wenn Nutzer beispielsweise diese Updates nicht installieren oder ihre Geräte auch über den Update- Zeitraum hinaus weiternutzen. Investitionen in bessere Schulung und ein Schärfen des Sicherheitsbewusstseins der Nutzer sind hier unerlässlich.
Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Betriebssysteme oder Apps, die nicht auf dem neusten Stand sind, stellen in der Tat immer ein hohes Sicherheitsrisiko dar, insbesondere bei Android-Geräten besteht hier ein Defizit. Die Hersteller haben das Problem aber erkannt und hier bereits Schritte in die richtige Richtung unternommen: Google hat mit Android 8 (Oreo) das „Project Treble“ eingeführt, das die Verantwortlichkeiten für Updates aufteilt, so dass Android-Geräte schneller, einfacher und günstiger aktualisiert werden können. Auf lange Sicht wäre es spannend, die Ergebnisse der Forschungsarbeiten an modularen Betriebssystemen zu sehen. Google Fuchsia OS ist etwa ein Beispiel für einen vielversprechenden Ansatz. Studien unserer CISPA-Forscher haben gezeigt, dass Applikationen i.d.R. häufig und zeitnah aktualisiert werden, wenn diese Updates durch einen Markt wie „Google Play“ oder den „App Store“ verteilt werden. Problematisch sind hingegen insbesondere Abhängigkeiten von Dritten, wie beispielsweise Bibliotheken in Apps, die leider von den App-Entwicklern nur unzureichend aktualisiert werden. Hier gibt es dringenden Handlungsbedarf. Abhilfe würden beispielsweise neue Erweiterungen für Integrierte Entwicklungsumgebungen (IDE, integrated development environment) schaffen, die Entwicklern bei der Aktualisierung solcher Abhängigkeiten helfen. Eine solche Erweiterung wird beispielsweise derzeit am CISPA entwickelt. Eine weitere Hilfe könnten aber auch regelmäßige Scans seitens der Marktbetreiber sein, die gezielt nach veralteten Bibliotheken suchen.
Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Ein großes Problem bei drahtlosen Netzwerken besteht aktuell darin, dass nur zwei Optionen zur Wahl stehen: WLANs sind entweder nicht verschlüsselt, also komplett offen, oder aber gesichert, erfordern dann aber eine obligatorische Authentifizierung, etwa über einen Benutzernamen und ein Passwort. Beide Optionen sind für öffentliche Netze äußerst ungünstig. Entweder opfert man die Sicherheit oder man muss eine Infrastruktur aufbauen, um die notwendigen Passwörter verteilen zu können. Der Nachfolger des aktuellen WPA2 sollte also idealerweise ermöglichen, eine gesicherte Verbindung zum Router aufzubauen, ohne eine Authentifizierung via Passwörter o.Ä. durchführen zu müssen. Die Funktionsweise erinnert hier etwas an TLS/SSL, bei denen man ebenfalls ohne Authentifizierung eine sichere Verbindung zum Server herstellen kann, wobei im WLAN Szenario der „Server“ der WLANRouter wäre. Der Standard IEEE 802.1X, eine generelle Methode zur Authentifizierung, entkoppelt bereits die Authentifizierung von der Assoziation, aber im aktuellen WPA2 kann dies nicht genutzt werden. Dies wäre also eine wünschenswerte Weiterentwicklung, die das WPA3 künftig bieten könnte.