rC3: Das Internet der Dinge als Killer-App für die IT-Sicherheit
Verschlüsselungsexperte Bruce Schneier sieht dasjenige kaputte "Internet of Things" wie Durchbruch jener IT-Security, da sie hier mit physischer Sicherheit kollidiert.
Von
- Stefan Krempl
Mit dem Internet der Dinge steigt der Leidensdruck bei allen Nutzern vernetzter Geräte, sodass sich die triste Lage im Bereich der IT-Sicherheit doch noch zum Besseren wandeln könnte. Das "Internet of Things" (IoT) könne einen Paradigmenwechsel einläuten, erklärte der US-Verschlüsselungsexperte Bruce Schneier am Sonntag auf dem remote Chaos Communication Congress (rC3). Der Grund dafür sei, dass bei vernetzten Dingen "die Security mit der physischen Sicherheit kollidiert".
Software schlecht und zu komplex
Schon wenn jemand sein am Internet hängendes Thermostat hacke, "könnten die Leitungen einfrieren", brachte Schneier ein Beispiel. Mit vernetzten Heimen, Autos oder gar Fabriken multiplizierten sich die Angriffsflächen und drohenden Auswirkungen für das Wohlergehen von Menschen und ganzer Gesellschaftsgruppen. Dies könnte helfen, die bestehenden Fehler des Marktes über eine stärkere staatliche Regulierung auszubügeln.
Schlechte und zu komplexe Software, die der schlimmste Feind der Security sei, folgt laut dem Dozenten an der Harvard Kennedy School momentan genau den Gesetzen des Marktes. Diese belohnten bei Software etwa immer mehr Funktionalitäten, Effizienz und Geschwindigkeit, was zu aufgeblähten Programmen führe. Einfachheit und Sicherheit seien dagegen teuer. Die meisten Menschen wollten nicht extra dafür bezahlen, sondern ließen es bewusst auf Risiken ankommen.
Wenn der Toaster plötzlich E-Mails versendet
Solche kurzfristigen Vorteile gingen auf Dauer aber auf Kosten der Gesellschaft, betonte Schneier in dem von mehreren technischen Störungen unterbrochenen Online-Gespräch mit Frank Rieger vom Chaos Computer Club (CCC). Die Politik müsse daher einschreiten wie etwa bei Auflagen für die Lebensmittel- und Arzneimittelsicherheit. Dies gelte vor allem fürs IoT, da die Geräte und die zugehörige Software oft in Ländern wie China produziert würden von Firmen, die teils rasch wieder pleitegingen. Mit Updates sei es so nicht weit her.
Um trotzdem ein halbwegs sicheres Heimnetzwerk aufbauen zu können, sollten zunächst Router als Aufpasser fungieren, schlug der 57-Jährige vor. Sie müssten imstande sein, ein angeschlossenes Gerät zu erkennen sowie Informationen und Updates dazu abzurufen. Wenn der Toaster plötzlich E-Mails versende, sollte diese Funktion über die Zwischeninstanz abgeschaltet werden können.
Weniger Verbindungen nach außen
Rieger zweifelte daran, dass Hersteller von sich aus restriktiver als bisher verhalten und weniger Daten sammeln würden. Allein Microsoft Office 365 auf dem Mac kontaktiere 32 andere Server, die teils in China oder den USA stünden. Jeder unbefangene Beobachter müsse ein solches Programm als Malware einstufen. Schneier räumte ein, dass auf diesem Feld noch viel Überzeugungsarbeit nötig sei. Zumindest kenne Microsoft aber die Server. Der Softwareriese täte jedoch gut daran, die Verbindungen nach außen schrittweise zu reduzieren.
Einen raschen Neuaufbau von IT-Landschaften unter Sicherheitsaspekten hielt der Security-Experte nicht für realistisch. Software sollte aber mehr Audits durchlaufen, da jeder von solchen Prüfprozessen profitiere. So könnten auch Hintertüren rascher gefunden werden, wie sie sich gerade in der Orion-Software des US-Dienstleisters SolarWinds als massives Sicherheitsrisiko für staatliche und private Infrastrukturen sowie als Einfallstor für russische Hacker herausgestellt hätten. Es sollte Geld in Pools fließen, um Audits für Open-Source-Produkte zu organisieren.
Verschlüsselung ist kritische Infrastruktur
Die in den immer wieder aufflammenden Crypto Wars propagierte Idee, Verschlüsselung zu schwächen und Datenschutzregeln zu umgehen, bezeichnete Schneier als "unglaublich gefährlich". Gerade kryptografisch abgesicherte Mobiltelefone und darauf laufende Anwendungen wie Chats nutzten schier alle, also auch Regierungsvertreter und Polizisten. Es handle sich quasi um eine kritische Infrastruktur, die wichtig dafür sei, "dass unsere Gesellschaften und Demokratie funktioniert". Selbst wenn Verschlüsselung hier die Strafverfolgung etwas schwieriger mache, "ist das besser für uns alle".
Anfangs hätten vor allem Länder wie die USA, Großbritannien und Australien Zugang zu verschlüsselter Kommunikation im Klartext gefordert, berichtete der Forscher. "Down under" gebe es sogar ein einschlägiges Gesetz, das seines Wissens aber noch nie angewendet worden sei. Mittlerweile träten Deutschland und die EU mit ähnlichen Appellen an. Dagegen gebe es aber kein Patentrezept. Dass er trotzdem bei IT-Sicherheit auch nach dem Staat rufe, sei kein Schuss in den Ofen: "Wir sind die Regierung", verwies er auf die Grundzüge der Volksherrschaft. Sollte sich die Staatführung gegen "unsere Interessen" stellen, "brauchen wir eine bessere".
Quantenrechner: "Krypto-Apokalypse" abgeblasen
Verschlüsselung an sich bezeichnete der Kryptologe prinzipiell als sicheres mathematisches Verfahren. In der Praxis sei sie aber abhängig von Computern, Software, Netzwerken und ihren Anwendern. Wenn also etwa der Messenger-Dienst Signal auf einem Smartphone laufe, das eine kleine Schwachstelle habe und jeder lesen könne, was über einen entsperrten Bildschirm laufe, sei dies genauso problematisch wie Nutzer, die auf simple Passwörter schwören.
Die vielfach mit Quantenrechner bereits verknüpfte "Krypto-Apokalypse" blies Schneier ab. Zum einen seien für praktikable Quantencomputer noch viele weitere Durchbrüche und handhabbare Anwendungen nötig, bis sie etwa Verschlüsselungslösungen brechen könnten. Zum anderen habe die US-Normungsorganisation NIST bereits einen Wettbewerb für Quanten-resistente Algorithmen gestartet, bei dem einige heiße Kandidaten im Rennen seien. Bei symmetrischer Verschlüsselung könnten die Schlüssel zudem einfach verlängert werden. Für Public-Key-Kryptografie werde noch an Lösungen gearbeitet, viele Programme kämen aber schon ohne diesen Ansatz aus.
(tiw)
Quelle: www.heise.de