IT & Telekommunikation

RSS Feeds  | Alle Branchen IT & Telekommunikation-Visual-101543282
27.08.2013, 07:00 Uhr | 0 |

IT-Sicherheit Im "Internet of Everything" ist Datenschutz eher Glückssache

Gestern noch war vom Internet der Dinge die Rede, inzwischen geht es ums "Internet of Everything", in das Menschen, Daten, Prozesse und Systeme umfassend eingebunden sein sollen. Doch was bedeutet das für Datenschutz und Datensicherheit?

Internet of everything
Á

Cisco wirbt für das Internet of Everything.

Foto: Cisco

Das Internet frisst sich immer tiefer in alle Lebenszusammenhänge. Getrieben durch die Hoffnung auf wachstumserzeugende Synergien und Beschleunigungseffekte, verkündet die IT-Branche inzwischen den Aufbruch ins "Internet of Everything" (IoE).

Abgesehen von den durch eine solche Infrastruktur ins Gigantische wachsenden Netzbelastungen – frohe Kunde für die Hersteller von Infrastrukturkomponenten –, stellen sich schon beim Vorläufer des IoE, dem Internet der Dinge (Internet of Things, IoT), erhebliche ungeklärte Sicherheitsfragen rechtlicher und technischer Art. Für sie gibt es bisher noch keine umfassenden Lösungen.

Von Standardisierung noch meilenweit entfernt

Wie viele Fragen hinsichtlich der Sicherheit des IoT noch offen sind, offenbart beispielsweise ein im März im Internet veröffentlichtes 40-seitiges Papier der IETF (Internet Engineering Task Force) unter dem Titel "Security Considerations in the IP-based Internet of Things", das minutiös auflistet, welche konzeptionellen Probleme die Absicherung ausgedehnter und vielfältiger IoT-Systeme macht und wie diese gegebenenfalls zu lösen wären. Von einer Standardisierung entsprechender Protokolle ist man aber noch meilenweit entfernt.

Internetpionier Vint Cerf, inzwischen "Chief Internet Evangelist" bei Google, verkündete auf der weltweiten RSA-Konferenz seine Sicherheitsvision: Er setzt auf eine Lösung mit einem wirklich einmaligen Schlüsselpaar aus privatem und öffentlichem Schlüssel. Dabei sollen die Anwender anonym bleiben. Es wird nur so viel persönliche Information in den Prozess eingebracht, dass dieser funktioniert, aber nicht ausreicht, um eine Person zu identifizieren ("Pseudonymisierung"). Jedes Gerät soll Chips enthalten, die eine entsprechende sichere Kommunikation initiieren.

Notwendig sind neue Sicherheitsmechanismen in jedem Fall. Denn die Bestrebungen, IoT- respektive IoE-Systeme zu realisieren, werden nichtsdestotrotz vorangetrieben. Man braucht sie z. B. für komfortablere Autos, innovative Verkehrsleitsysteme, intelligente Stromnetze, das Gebäudemanagement, die Steuerung von Maschinenparks, Ambient-Assisted Living, also Lösungen, die älteren oder behinderten Menschen durch technische Unterstützung ermöglichen, länger in ihren Wohnungen zu bleiben, aber auch für Sabotage, Spionage und (Cyber-)Kriegsführung.

Mehrere Hundertausend Viren

Häufig werden hier Geräte verwendet, deren Software auf eigens angepassten Linux- oder Android-Varianten beruht. Diese lassen sich wegen ihrer Vielfalt kaum noch patchen, sehr wohl aber hacken. Für das stark expandierende Android gibt es inzwischen mehrere Hunderttausend Viren, und es werden täglich mehr. Eingebettete digitale Systeme lassen sich knacken: Trend Micro, einem japanischen Sicherheitssoftwarespezialisten, gelang es bei Versuchen, remote in die Kommunikationssysteme von Pkw vorzudringen und etwa die Sitze vor- oder zurückzustellen oder die Tachoanzeige zu manipulieren. Was bei Autos funktioniert, geht zumindest prinzipiell auch bei Insulinpumpen, Herzschrittmachern, Zugweichen oder der Steuerung von Stromnetzen und Kernkraftwerken.

Bedenklich stimmt, dass, wie die Nachrichtenagentur Reuters im Mai meldete, die US-Regierung inzwischen zum weltweit größten Käufer von Schadsoftware geworden ist. Die erworbenen Informationen über Sicherheitslücken in Betriebssystemen und anderer Software gibt sie nur ans Department of Homeland Security und einige wenige Firmen, hauptsächlich aus der Rüstungsindustrie, weiter.

Hersteller von Betriebssystemen oder Sicherheitssoftware dagegen werden nicht informiert und könnten die Lücken so auch nicht reparieren. Werden Angriffe und Schädlinge auf Basis dieses Wissens konzipiert, um sie anschließend für Cyberattacken zu verwenden, besteht das Risiko, dass die Schädlinge sich verselbstständigen und große Kollateralschäden anrichten oder dass sie in die falschen Hände geraten. "Im Gefolge von Stuxnet gab es mehrere Cyberangriffe, die teilweise den Code von Stuxnet nutzten, aber eindeutig von Kriminellen ausgingen", sagt Raimund Genes, CTO von Trend Micro. Stuxnet wurde vom israelischen und US-Geheimdienst in jahrelanger Arbeit entwickelt, um das iranische Atomprogramm zu verzögern. Derartige Angriffswerkzeuge sind hoch professionell gestaltet und sehr wirksam.

Breite Diskussion nötig

Und wie sieht es mit Schutzmöglichkeiten auf eigene Faust aus? Wer beispielsweise versucht, das gern empfohlene Anonymisierungsnetz TOR zu nutzen, um seine Surfziele zu verschleiern, erfährt auf dessen Webseite, dass TOR von der amerikanischen Marine entwickelt und auch heute noch verwendet wird. Das macht nachdenklich. Die meisten Spezialisten für Sicherheits- und Verschlüsselungssoftware stehen ihren Regierungen eher näher als ferner, da sie massiv an Staatsaufträgen verdienen. Angesichts der jüngsten Erkenntnisse um das Spionagesystem Prism hebt das nicht gerade das Vertrauen in ihre Produkte.

Wenn Bundesinnenminister Hans-Peter Friedrich die Bürger auffordert, selbst stärker für den Schutz ihrer Daten zu sorgen, klingt das angesichts dieser Sachlage wie Ironie. "Was viel mehr nötig ist, ist eine breite Diskussion über die Risiken für unsere Daten und darüber, welche Art von Sicherheits- und Risikokonzept wir insgesamt wollen", meint Sicherheitsspezialist Raimund Genes. 

Anzeige
Von Ariane Rüdiger | Präsentiert von VDI Logo
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden