Dipl.-Inform. Carsten Eilers

Sowohl McAfee ("2014 Threats Predictions: The Internet of Things Offers Handy Gadget Control, Yet Could Unlock More Than We Expect") als auch Trend Micro ("Is the Internet of Everything Under Attack?") haben Blog-Artikel zum "Internet der Dinge" veröffentlicht, und auch Bruce Schneier hat ein Essay ("Security Risks of Embedded Systems") zum Thema geschrieben.

Zum "Internet der Dinge" habe ich bereits am 26. Februar 2007 etwas im "Standpunkt Sicherheit" auf entwickler.de geschrieben. Und da das immer noch gültig ist, zitiere ich es hier komplett (der Originaltext ist nach einem Server-Crash bei Software&Support Media im Frühjahr 2013 nicht mehr online, so dass es nur noch die Kopie in der Wayback Machine des Internet Archive gibt).

"[Viren für Handys] Kommen wir zu anderen möglichen Zielen, nicht dass am Ende wieder alle erstaunt aufwachen und feststellen, dass sich die Bösewichte wieder neue Opfer für ihr digitales Ungeziefer gesucht haben. Also, wo könnten sich die virtuelle Krabbelviecher noch ausbreiten? Prinzipiell überall, wo ein Betriebsystem und ein Zugang von außen vorhanden ist. Und wenn man dann überlegt, dass unsere Häuser intelligent werden und alle Geräte eine eigene IPv6-Adresse bekommen sollen, ergibt das doch einige mögliche Zielen.

Wenn ich meiner Phantasie freien Lauf lasse, fällt mir einiges ein, was man da mit Viren oder Würmern anrichten könnte. Mal ein paar Beispiele: Waschmaschinen sind inzwischen oft mit mehr Rechenleistung ausgerüstet als ein Homecomputer in den 80ern. Bisher haben die keine Schnittstellen nach außen, aber das wird sich sicher ändern. Und sei es nur ein RFID-Leser zur Erkennung des richtigen Waschprogramms. Wahrscheinlicher ist aber ein vollwertiger Netzwerkanschluss an das automatisierte Haus, um den Waschvorgang vom zentralen Rechner zu starten oder "Wäsche ist fertig" zurückmelden zu können. So, und jetzt kommt ein Wurm und macht aus dem Schonwaschgang die Kochwäsche. Witzig? Haha. Blöde Idee? Auch nicht blöder als ein Wurm, der einfach nur den befallenen Rechner zu einem bestimmten Termin ausschaltet, Dateien löscht etc. Und davon gibt es ja einige. Und vielleicht ist so ein Kochwasch-Wurm brauchbarer als es auf den ersten Blick aussieht. Was würde wohl der Hersteller der betroffenen Waschmaschinen zahlen, damit der nicht auf seine Maschinen losgelassen wird? Oder im Gegenzug die Konkurrenz beglückt wird? Da ergeben sich für Schutzgelderpresser ganz neue Möglichkeiten.

Die RFID-Industrie fände es toll, wenn demnächst die Kühlschränke ihren Inhalt kontrollieren und selbst nachbestellen, wenn z.B. die Milch zur Neige geht. Und die bösen Buben? Wie wäre es mit einem Wurm, der bei jeder Bestellung irgendeinen virtuellen Pfennigartikel (eigentlich inzwischen wohl "Centartikel") mitbestellt? Der wird nie ausgeliefert, der Betrag dafür aber immer mit auf die Rechnung gesetzt. Viele Cent ergeben in der Summe viele Euro - ohne dass es auffällt, wenn die Kunden nur eine wöchentliche Sammelrechnung bekommen, auf der die paar Cent in der Masse der Bestellungen untergehen.

Oder wie wäre es mit einem Wurm, der quasi im Vorbeifahren in die Alarmanlagen der intelligenten Häuser eingeschleust wird und dann überall zugleich oder auch zeitlich gestaffelt den Alarm auslöst? Während Wachdienste und Polizei die Flut an falschen Alarmen abarbeiten, können sich Einbrecher gezielt die paar Häuser raussuchen, deren Bewohner gerade Urlaub machen und deren Alarmanlagen sich auf Wurmbefehl hin statt loszugehen abgeschaltet haben. Dass da keiner zu Hause ist, hat ihnen der vor einigen Monaten eingeschleuste Virus im intelligenten Kühlschrank verraten: Keine Bestandsänderung seit einigen Tagen. Da nutzt es gar nichts, dass die Hausautomation ein bewohntes Haus vortäuscht und Lampen, Rollläden etc. genauso wie im bewohnten Zustand einsetzt.

Also: Wenn schon intelligente Geräte, dann bitte so intelligent, dass sie auch einem möglichen Angriff widerstehen. Oder so dumm, dass ein Angriff an mangelnder Flexibilität des Opfers scheitert. Auf jeden Fall aber immer dran denken, dass beim Einsatz eines Computers auch dessen Schutz berücksichtigt werden muss!"

Und zu Embedded Devices habe ich letztes Jahr einen Artikel für den Windows Developer 10.2013 geschrieben. Kurz zusammenfassen kann man das ganze so: "Auf Embedded Devices laufen oft Webserver mit Webanwendungen zur Steuerung und Konfiguration der Devices, und die können natürlich angegriffen werden". Denn ob auf einem herkömmlichen Webserver als Webanwendung ein Blog, ein Webshop oder ein Social Network läuft oder ob auf dem Webserver eines "Dings" im "Internet der Dinge" als Webanwendung eine Oberfläche für das "Ding" läuft ist für den Angreifer erst mal herzlich egal. Wenn es sich lohnt, die Anwendung anzugreifen, wird sie auch früher oder später angegriffen. Und lohnen tut sich so was fast immer in der einen oder anderen Weise.

Und was die Virenscanner und Co. betrifft: Viel wichtiger ist es, dass erstens nur die Geräte aus dem Internet erreichbar sind, die wirklich erreichbar sein müssen und das zweitens diese Geräte ebenso wie alle anderen auch keine Schwachstellen enthalten.

Das "Internet der Dinge" im "Internet der NSA"

Wobei das oben geschriebene ja nur die eine Seite der Medaille ist. Die andere ist das "Internet der Dinge" und dessen Drang, nach Hause zu telefonieren. Wenn man sich die aktuellen Berichte durchliest, drängt sich der Eindruck auf, die "Dinge" wären alle von E.T. entworfen worden, denn die wollen fast alle nach Hause telefonieren. Was geht es den Hersteller an, ob und wie ich meine elektrische Zahnbürste, Pillendose oder was auch immer benutze? Dem würde ich schon vor 2013 ein klares "Mit mir nicht!" entgegen geworfen haben. Und seitdem wir das "Internet der NSA" haben, gibt es garantiert keine Daten. Prinzipiell nicht und erst recht nicht an US-Unternehmen. Oder britische Unternehmen. Nicht zu vergessen chinesische. Oder welche aus irgend welchen anderen Staaten. Einschließlich Deutschland.

Wieso nicht, hat ein Ford-Manager sehr schön gezeigt, als er verraten hat, dass Ford durch die GPS-Daten genau weiß, wer wann wo zu schnell gefahren ist:

"We know everyone who breaks the law, we know when you're doing it. We have GPS in your car, so we know what you're doing. By the way, we don't supply that data to anyone,"

Der Manager ist dann schnell zurückgerudert und hat erklärt, dass das alles "Opt in" ist. Was anderes blieb ihm wohl kaum übrig, nachdem ihm klar geworden ist, dass er mit so einem Verkaufsargument wohl kaum mehr Autos verkauft sondern eher weniger, was für einen "Global VP/Marketing and Sales" für ziemlich schlechte Karrierechancen sorgen dürfte. Aber gut zu wissen, von welcher Marke mein nächstes Auto dann nicht sein wird. Und sollte sich, wenn es so weit ist, kein Auto mehr ohne GPS und gesteigerten Mitteilungsbedürfnis finden lassen, wird der entsprechenden Hardware ein bedauerlicher Unfall zustoßen.

Mac OS X Mavericks? Das ist mir viel zu wolkig!

Kommen wir noch kurz zu einem anderen Punkt, der aber sehr viel mit dem soeben geschriebenen zu tun hat: Chester Wisniewski von Sophos macht sich Gedanken über die Verbreitung von Mac OS X Mavericks: "82% of enterprise Mac users not getting security updates". Ich habe hier auch einen Mac, der ein OS-Update braucht, nachdem es für OS X 10.6 keine Sicherheitsupdates mehr gibt. Das wird er auch bekommen - auf OS X 10.8. OS X 10.9 / Mavericks kommt mir nicht auf den Rechner, das ist viel zu sehr iCloud-verseucht. Da hat man wohl bei Apple den virtuellen Schuss nicht gehört, mit dem die NSA die Cloud-Anbieter in den USA mit einem Blattschuss erlegt hat.

Nur um mal ein Beispiel zu nennen: Um Daten mit einem lokal angeschlossenen iPhone auszutauschen, muss man die iCloud nutzen? Also, Leute, tut mir leid, dazu fällt mir nichts halbwegs höfliches ein. Und auch der Rest des Systems ist mir viel zu sehr mit der iCloud verzahnt. Alle Daten in die iCloud? Ganz bestimmt nicht!

Entweder, OS X 10.10 wird wieder ein anständiges Desktop-System, dass seine Daten auf der lokalen Festplatte und nicht auf einem Apple-Server in den USA speichert, oder das war es dann für mich mit Mac OS X. Schon 10.8 war reichlich iCloud-Lastig, aber dem kann man den Blödsinn noch mit etwas Aufwand austreiben. Bei 10.9 sehe ich diese Möglichkeit gar nicht bzw. der Aufwand ist viel zu gross.

Mac OS X Mavericks ist in meinen Augen dermaßen unbrauchbar, dass ich es nicht mal geschenkt nehme. Und wenn man sich die Bewertungen von Mavericks im App Store ansieht, bin ich bei weitem nicht allein mit meiner Kritik. Ich bin ja mal gespannt, ob Apple irgendwann merkt, was die Stunde geschlagen hat.

Und um noch mal auf Chester Wisniewskis Sorgen zurück zu kommen: Die Unternehmen werde sich hüten, Mavericks zu installieren, sofern es nicht gerade US-Unternehmen sind. Wer will schon seine Geschäftsgeheimnisse in die USA entschwinden sehen?

Carsten Eilers