Wie sicher ist unsere IoT-Welt eigentlich, wie schaut es mit unserer Privatsphäre aus und gibt es eigentlich einen Standard der uns schützt? Wie groß ist die Gefahr der Angriffe, wie sie auf Dyn oder OVH mit Hilfe von IoT Geräten passiert sind?
Über all diese Themen haben wir exklusiv mit Pierre Noel, Chief Security & Privacy Officer Huawei Enterprise, unterhalten. Kernthese des Interviews war, dass es effektiv zu wenig Experten gibt und vor allem aber, dass es bei vielen Unternehmen im Bereich der IoT-Sicherheit noch Nachholbedarf gibt. Aber auch die Regierungen sollten ein größeres Augenmerk auf die Sicherheit von IoT-Geräte legen. Besonders wichtig ist dies, um zum einen die Chance auf einen noch größeren Angriff zu minimieren, zum anderen aber auch, dass es endlich Regulationen gibt, welche nicht nur den Firmen zu einem Standard verhilft, sondern auch für die Nutzer ein gewisses Maß an Sicherheit bringt. Sicherheit um z.B. solche Cyberangriffe wie auf die Firma Dyn, welche teilweise die halbe US-Ostküste für einen gewissen Zeitraum vom Internet getrennt hat. Die Wirtschaft muss handeln, ohne Sicherheitsmechanismen wird der Eingriff in die Systeme und der Aufbau von Bot-Netzen weiter so einfach bleiben. Doch die Wirtschaft wird nur handeln, wenn es eine Nachfrage nach dieser Sicherheit gibt, denn diese kostet eine ganze Stange Geld.
Auch wir wünschen uns diesen Standard, die Möglichkeit mehr Sicherheit in den sich noch entwickelnden IoT-Bereich zu bekommen. So haben wir eine Online-Petition „Mehr Sicherheit bei IoT-Geräten durch Kennzeichnung von Sicherheitsverfahren“ gestartet, wo ihr Teil dieser Verbesserung werden könnt. Helft uns allen die moderne Welt ein Stück sicherer zu machen. Das Ergebnis der Petition reichen wir bei Huawei in Deutschland ein. Diese, eure, Stimme wird Huawei vielleicht dabei helfen, dass die Regierung eingreift und ein Ergebnis erbringt, eines mit mehr Sicherheit. Ein Land, welches den technologischen Vorreiter macht, erzeugt eine Kettenreaktion, welche andere Länder nachziehen lässt, mit Blick auf Deutschland als Pionier-Land.
Wie bereits erwähnt gibt es leider aktuell noch keinen Sicherheitsstandard, welcher explizit für IoT-Geräte gilt. Mit dem SDL (Security Development Lifetimecycle) gibt es aus dem Hause Microsoft allerdings einen guten Standard in der Entwicklung, welcher laut Pierre Noel auf IoT anpassbar ist. 
Laut Noel ist dies besonders problematisch bei Glühbirnen, die über WLAN mit dem Netzwerk/Internet verbunden sind. Diese haben oftmals nicht einmal einen Mechanismus, welcher ein Update der Software ermöglicht. Was den „Hack“ der Philips Hue durch Wissenschaftler betrifft, haben wir dabei leider keinerlei Informationen vorliegen.
Resultierend ist es wichtig zu wissen, dass sich etwas ändern muss. Ein Angriff wie auf Dyn in der US-Ostküste war ebenfalls laut Noel nur ein Test von etwas Größerem. Er reiht sich damit in die gegenwärtigen Aussagen ein, die davon sprechen, dass mit Hilfe von Mirai (der Malware, welche genutzt wurde um die IoT-Geräte in das Botnetz zu integrieren) ganze Länder vom Internet abgeschnitten werden können.
Interview Pierre Noel Huawei
Dieses Interview ist aus dem Englischen ins Deutsche übersetzt. Der Sinn der Aussage ist dabei erhalten worden.
- Gibt es ein Sicherheitskonzept, um im Zeitalter des IoT den Schutz vor Cyberkriminalität zu gewährleistet?
Ein Höchstmaß an Sicherheit ist unser aller Ziel. Das IoT ist aber so breitgefächert, dass man bei dieser Frage unterscheiden muss: IoT kann beispielsweise ein „Smartmeter“ auf einem Parkplatz sein, der Informationen darüber gibt, ob ein Parkplatz belegt oder frei ist. Dieser Smartmeter sammelt nicht wirklich viele Informationen über die Nutzer. Bei einer Smartwatch hingegen sieht das anders aus. Die Smartwatch zeigt nicht nur den Aufenthaltsort an, sondern sammelt sehr private Informationen, wie den Puls oder ggf. Nachrichten. Diese sensiblen Daten müssen besonders geschützt werden, um zu vermeiden, dass Cyberkriminelle ein leichtes Spiel haben. Der Schutz von privaten Daten vor Übergriffen von außen muss zu einem entscheidenden Faktor werden.
- Ist ein Sicherheitsstandard für das Internet der Dinge auf dem Weg?
Gute Frage. Wir befinden uns in einem permanenten Lernprozess. Wenn wir in 6 Monaten wieder sprechen, sehen wir vielleicht neue Standards. Wir werden es sehen.
- Gibt es eine Möglichkeit die IoT-Geräte sicherer als jetzt zu machen?
Ich arbeite schon eine Weile daran. Ich bin der Meinung, dass es notwendig ist, die Sicherheit im IoT insgesamt zu erhöhen. Führende Unternehmen haben nicht ausreichend Sicherheitskomponenten in ihren Geräten, dabei gibt es mit SDL einen fantastischen Standard von Microsoft, welcher an IoT angepasst werden kann.
- Wenn es mit SDL doch so einfach ist, ist das Problem nicht eventuell bei den Firmen zu suchen, die die Sicherheit von IoT nicht als Hauptaugenmerk sehen?
Leider gilt bei vielen Firmen, dass Sicherheit nicht das zentralste Thema ist, wenn man Programme oder Geräte entwickelt, sondern andere Eigenschaften wie beispielsweise Schnelligkeit stehen im Vordergrund. Bei Huawei haben wir den Anspruch, dass Sicherheit in der Entwicklung von Anfang an ganz zentral ist und hier keine für die Sicherheit schlechten Kompromisse gemacht werden dürfen. Zudem ist es schwierig, wirklich gute Sicherheitsexperten zu finden. Ein Regierungsbeamter in Singapur sagte mir kürzlich in einem Gespräch, dass alleine dort ca. 30.000 Spezialisten fehlen. Daran wird das globale Ausmaß deutlich. Ich bin damals Sicherheitsexperte geworden, weil mir jemand sagte, dass Sicherheitsexperten in der Entwicklung anders denken.
- Ist es nicht einfach, automatisierte Tests zu fahren, für Standard-Passwörter und anderes?
Vielleicht beseitigt man so das Passwort-Problem, doch dann hat man andere Probleme bzw. Schwächen. Es gibt einfach eine Notwendigkeit für einen Sicherheits- Architekten. Glühbirnen beispielsweise, welche an das Internet angeschlossen sind, haben üblicherweise keinen Mechanismus, um ein Update zu empfangen. Wenn sie einen Fehler haben, muss man sie wegwerfen.
- Gibt es eine Möglichkeit um das Problem mit den Sicherheits Officers (CSO) zu ändern?
Es ist eine Frage der Qualität. Firmen brauchen die Überzeugung, dass Sicherheit nützlich für den Verkauf ist. Das wird am Beispiel smarter Kameras deutlich: Du als Experte kaufst sie, ich kaufe sie, aber ein normaler Kunde würde nicht nach der Sicherheit fragen. Jede Firma sollte einen CSO haben. Allerdings haben nur ca. 40% der größten 10.000 Firmen einen CSO.
- Wäre es nicht möglich die Sicherheit über ein Label zu unterstützen und es präsenter zu machen?
Ich versuche seit Jahren genau das zu vermitteln, aber der Markt nimmt es nicht an. Ich war bei einigen Regierungsvertretern und viele sagen, dass ein Label hilfreich sein könnte. Bis jetzt ist es aber nicht eingeführt worden. Sie warten auf die große Masse. Wenn ein einflussreiches Organ wie z.B. die Bundesregierung entscheiden würde, dass keine IoT-Geräte mehr verkauft werden dürften, die das kleine grüne Label nicht haben, würde sich die Situation schlagartig verändern. Firmen würden in einer sehr kurzen Zeit darauf reagieren und nur noch IoT-Geräte auf den Markt bringen, die das Label und eine SDL-Unterstützung besitzen.
- Wie sieht die Zukunft für Huawei in den nächsten Jahren der IoT-Welt aus?
Sicherheit und Privatsphäre sind die Schlüsselthemen. Ich als Huawei CSO berichte nicht wie sonst in den Firmen an den CTO, sondern direkt an den CEO von Huawei. Bei uns wird zu jeder Ebene kommuniziert. Wann immer ein Entwicklungsteam eine neue Technologie vorstellt, gibt Huawei diese zu einer anderen Abteilung mit dem Auftrag, die Technologie zu hacken, um Sicherheitslücken so früh wie möglich zu schließen. Wenn Huawei eine IoT-Software oder ein IoT-Gerät erstellt, wird es mit SDL designed. Nicht nur deshalb ist Huawei eine der Leitfiguren im Bereich von IoT- und Cloud-Security.
- Was ist Ihre Meinung über die Malware Mirai, die selbst gehackt werden kann?
Das überrascht mich nicht. Wenn man sich den Sourcecode anschaut, wird man erkennen, dass dieser nicht sehr sicher ist. Cyber-Kriminelle sind nur gut darin, den Code anderer zu knacken, aber nicht zwingend gut darin, eigene sichere Systeme aufzusetzen.
- Wenn sich die Überzeugung der Firmen nicht ändert, ist der Angriff auf Dyn oder OVH erst der Start von einer Odyssee?
Ja, diese Art von Angriffen ist nur dafür da, um das Internet eines Landes zu beeinträchtigen. Ich persönlich und auch Freunde von mir denken dass dies eine Nachricht war, eine Art Denkzettel. Deutschland allerdings ist nicht so sehr gefährdet, da es ein sehr gut konzeptioniertes Internet hat. Aber ein Angriff auf Brüssel, dem Zentrum von Europa, würde ebenfalls einen Effekt auf Deutschland haben.
Danke an Pierre Noel für dieses interessante Gespräch. Wir hoffen, dass unsere Petition erfolgreich sein wird und dass wir so in Zukunft ein wenig sicherer leben können.
Sorry das ich nach dem ersten Dritte aufgehört habe weiterzulesen….
Das blabla um die Sicherheit ist ja ein schlechter Witz – naja, eigentlich nicht!
Aber sich hier hinzustellen und etwas über Sicherheit zu erzählen und dabei mit dem Finger auf andere zeigen…. Sorry, aber da bekomme ich im Bezug auf das Mate 9 ein feuchtes Höschen.
Da liefern die das aktuelle Flaggschiff OHNE IRGENDEINE VERSCHLÜSSELUNG aus und sprechen hier von Sicherheit. Da verstehe ich die Welt nicht mehr… Aber wichtiger ist ja die Daten der SmartWatch oder eines Parksensors zu schützen…. Da treibt es mir wirklich ein Lächeln ins Gesicht.
Gruß
Roland
Hey Roland,
zunächst vielen Dank für deinen Kommentar, doch du vergleichst gerade zwei komplett verschiedene Bereiche. IoT, was ja das Kernprodukt des im Artikel genannten Interviews ist, zählt voll und ganz zur Enterprise sparte. Das von dir erwähnte Mate 9 ist ein Consumer Gerät. Genauer gesagt sind es zwei verschiedene Bereiche bei Huawei, welche hier verglichen werden. Die oben genannten Beispiele sind auch alle aus dem Bereich IoT oder Smart-Technologies. Ein Smartphone ist hier nicht erwähnt. Natürlich ist jeder, besonders hier in Deutschland, mehr auf Sicherheit bedacht, doch die kann nicht global geschehen. Wir gehen hier in dem Artikel eben genau auf den IoT-Markt ein, der der nun sehr schnell wächst, da er viele Interessenten hat und deshalb schneller entwickelt wird. Nichts desto trotz sollten auch Smartphones sicher sein, dabei ist es ja, im Gegensatz zu vielen IoT-Geräten, dem User überlassen, ob er das wünscht. Z.B. bei den im Artikel erwähnten Glühbirnen kann keine neue Software aufgespielt werden, und es obliegt so dem Hersteller gleich Sicherheitsmechanismen einzubauen.
Hallo Sascha, danke für die Klarstellung
Gruß
Roland