IoT-Sicherheit: Ein holistischer Ansatz ist notwendig
Gastbeitrag für den Smart Systems Hub von unserem Gruppenleiter Dr. Stefan Köpsell.
„Black Hat 2020: Assistenzroboter Temi hat schwere Sicherheitslücken“, „Def Con 2020: Millionen von IoT-Geräten im Handumdrehen hackbar“, „Angriffswarnung: Massive IT-Sicherheitslücken in Berliner Wasserbetrieben“ — das sind nur einige der Nachrichten der letzten Wochen mit Bezug zu IT-Sicherheitsproblemen im Bereich des Internets der Dinge (IoT).
Die Notwendigkeit von starken IT-Sicherheitsmaßnahmen (nicht nur) im IoT-Bereich ist auf politischer und technischer Ebene durchaus bewusst. Daher werden aktuell auch viele (Forschungs)gelder in die Entwicklung innovativer IoT-Sicherheitslösungen investiert. Zukünftig soll dabei sogar die neu gegründete „Agentur für Innovation in der Cybersicherheit“ unterstützen.
Es stellt sich also die Frage, warum es bis jetzt trotz all der Anstrengungen nicht gelungen ist, die Sicherheitsprobleme im IoT-Bereich in den Griff zu bekommen. Wo stehen wir aktuell im Bereich von Forschung und Entwicklung? Was sind aktuell noch ungelöste Herausforderungen? Dieser Beitrag will diese Fragestellungen beleuchten — ohne dabei den Anspruch zu haben, abschließende Antworten zu geben.
Betrachtet man allgemein das Problembewusstsein für IT-Sicherheit und die in den letzten Jahrzehnten entwickelten Lösungen in diesem Bereich, so kann man feststellen, dass beides ein starkes Wachstum erfahren hat. Trotzdem hat es bei Weitem noch keinen zufriedenstellenden Stand erreicht.
Im Bereich des Problembewusstseins ist aktuell ein Stand erreicht, wie er vielleicht vor 20 oder 30 Jahren in Bereichen wie „Umweltschutz“ oder „Gesunde Ernährung“ herrschte: Es gibt eine grobe, abstrakte Vorstellung davon, dass IT-Sicherheit wichtig ist — jedoch steht das Handeln nicht im Einklang mit dem rationalen Wissen bezüglich der Notwendigkeit. Eventuell fehlt neben dem Rationalen noch die emotionale Seite, etwas wie ein „schlechtes Gefühl“ bzw. „schlechtes Gewissen“, wenn IT-Sicherheit vernachlässigt wird. Dabei ist dies nicht nur bezüglich der Entwickler von IoT-Systemen wichtig, um so sicherzustellen, dass IT-Sicherheit von Anfang an mitgedacht wird — getreu dem Motto: „security/privacy by design“. Vielmehr kommt es darauf an, dass ein (wirklich überzeugend gefühltes) Bewusstsein bei den verantwortlichen Leitern besteht. Der mittlerweile verstorbene Andreas Pfitzmann, Professor für Datenschutz und Datensicherheit, hat schon vor mehr als 20 Jahren betont, dass eine der größten Bedrohungen für die IT-Sicherheit vom Management in den jeweiligen Firmen ausgeht. Daran hat sich bis heute wenig geändert: So lange Funktionalität als deutlich wichtiger bewertet wird als IT-Sicherheit, so lange es Anerkennung für Entwickler gibt, die es ermöglichen, mittels eines verborgenen „Wartungszugangs“ unbemerkt Softwareupdates zur Fehlerbeseitigung einzuspielen oder Kunden bei Problemen aus der Ferne zu helfen, so lange wird das Problem unzureichender IT-Sicherheit bestehen. Nur wenn IT-Sicherheit von Seiten des Managements wirklich als wichtig angesehen wird und die ehrliche Bereitschaft besteht, die damit verbundenen Kosten — nicht nur im monetären Sinne — in Kauf zu nehmen, nur dann besteht die Chance für eine Verbesserung der Situation.
Während das Problembewusstsein in der Wirtschaft noch ausbaufähig ist, hat sich insbesondere im Bereich der Ausbildung die Situation in den letzten Jahren verbessert. Zwar gehört IT-Sicherheit noch nicht überall zum Pflichtteil der (universitären) Informatik-Ausbildungsprogramme — entsprechende Lehrinhalte sind heute jedoch deutlich weniger „exotisch“ als dies noch vor 20 Jahren der Fall war. Allerdings ist einschränkend zu berücksichtigen, dass IoT-Systeme nicht primär von Informatikern entwickelt werden. Vielmehr geschieht hier vieles auch im Bereich der Elektrotechnik. Insofern ist es wichtig, dass auch bei diesen Studien- und Ausbildungsgängen IT-Sicherheit einen größeren Stellenwert erhält. Dahinter steht nicht das Ziel, Elektrotechniker zu IT-Sicherheitsexperten auszubilden. Hilfreich wäre es schon, wenn auch hier ein „Gefühl“ für Sicherheitsprobleme geschaffen werden könnte, so dass im Zweifelsfall IT-Sicherheitsexperten bei der Entwicklung von IoT-Systemen hinzugezogen werden.
Es ist zu vermuten, dass bei der jungen Generation von Entwicklern tatsächlich so etwas wie ein „natürliches Problembewusstsein“ existiert — schließlich ist ein Großteil von ihnen mit Internet, Rechner und Smartphone aufgewachsen und der ein oder andere hat dabei leidvolle Erfahrungen mit ungenügender IT-Sicherheit machen müssen.
Bis diese Generation allerdings in großer Zahl in leitenden Positionen aktiv ist, wird noch einige Zeit vergehen. Dies ist sicher ein Grund dafür, dass man von politischer Seite versucht, den Prozess des Umdenkens durch „sanften Druck“ (sprich Regulierung) zu beschleunigen. Zwar befindet sich das neue „IT-Sicherheitsgesetz 2.0“ noch immer im Entwurfsstadium — ausgehend von den aktuellen Entwürfen ist aber eine deutliche Ausweitung der Regulierung zu erkennen: Betreiber und Hersteller von IT-technischen Systemen werden vermehrt in die Pflicht genommen. Wirklich konsequentes Vorgehen lässt der Gesetzesentwurf allerdings vermissen: So soll die Kennzeichnung von Produkten bezüglich IT-Sicherheit freiwillig erfolgen. Noch gravierender ist das Fehlen von klaren Haftungsregelungen im Falle von IT-Sicherheitsverletzungen. Gerade letzteres wäre wichtig, da die üblichen Marktmechanismen bezüglich IT-Sicherheit im IoT-Bereich nur schlecht funktionieren. Dies liegt unter anderem daran, dass üblicherweise weder der Hersteller noch der Kunde (Betreiber) von unsicheren IoT-Systemen von den damit verbunden Auswirkungen — im Sinne eines Schadens — unmittelbar betroffen ist.
Betrachtet man beispielsweise den gesamten Smart Home-Bereich, so ist dies bezüglich des Herstellers offensichtlich: Er erleidet schlimmstenfalls einen Imageschaden. Jedoch relativiert sich der damit verbundene Schaden, solange alle Hersteller im Wesentlichen gleich schlecht sind. Aber auch der Kunde ist aktuell nur selten unmittelbar betroffen. Vielmehr werden Sicherheitslücken im Smart Home-Bereich aktuell vor allem für sogenannte Verfügbarkeits-Angriffe (Denial-of-Service) ausgenutzt. Die unsicheren IoT-Geräte werden also missbraucht, um unbeteiligte Dritte zu schädigen. Es stellt sich also die Frage, wie realistisch es ist, dass Menschen in großer Zahl zu sicheren — und damit üblicherweise auch teureren — IoT-Produkten greifen, nur um Andere besser zu schützen.
Klare Haftungsregelungen — etwa ein pauschaler Schadensersatzanspruch pro bekanntgewordener grob-fahrlässiger Sicherheitslücke ohne Notwendigkeit eines Schadensnachweises im Einzelfall — könnten nicht nur allgemein dazu führen, die Motivation zur Herstellung sicherer IoT-Produkte zu steigern. Verantwortliche für IT-Sicherheit hätten gegenüber dem Management auch deutlich schlagkräftigere Argumente bezüglich einer Kosten-Nutzen-Rechnung.
Die Beschränkung auf „grob-fahrlässig“ ist aktuell übrigens keine starke Beschränkung. Zwar gibt es — wie eingangs erwähnt — im Bereich der Forschung viele innovative Sicherheitslösungen für die unterschiedlichsten Anwendungsfälle. Schaut man sich allerdings die immer wieder in der Praxis auftretenden Sicherheitsprobleme an, wie etwa die Verwendung von Standardpasswörtern bzw. gar kein Zugriffsschutz, unverschlüsselte Übertragung von Geheimnissen, fehlende Zugriffskontrolle bzw. Integritätsprüfungen etc. so stellt man fest, dass die gelebte Praxis weiter hinter dem Stand von Wissenschaft und Technik liegt. Fehler, die seit Jahrzehnten bekannt sind und die zudem ohne große Kostensteigerung vermieden werden könnten, werden trotzdem wieder und wieder begangen. Um es etwas anschaulicher auszudrücken: Während die Forschung daran arbeitet, wie man am besten einen Einbruchsschutz gemäß der höchsten Widerstandsklasse umsetzen kann, geht es in Praxis meistens darum zu überzeugen, dass wenigstens ein Vorhang vor die Türöffnung gehängt werden sollte.
Nichtsdestotrotz gibt es auch im Bereich der Forschung noch viel zu tun. Hier ist es insbesondere wichtig, die Kosten für die Nutzung bekannter Sicherheitsmaßnahmen sowohl für die Entwickler als auch die Nutzer drastisch zu reduzieren. Mit Kosten sind hier nicht nur Kosten im monetären Sinne gemeint, sondern vielmehr allgemein die Kosten, die mit dem Einsatz von IT-Sicherheitslösungen einhergehen. Auf Seiten der Entwickler sind dies insbesondere Aufwände für die Einarbeitung in und die Anwendung von Sicherheitsmaßnahmen. Für einige ausgewählte Bereiche, wie beispielsweise die gesicherte Datenübertragung mit Hilfe von Verschlüsselung (Stichwort: TLS) existieren zwar mittlerweile leicht zu benutzende Frameworks und Bibliotheken. Allerdings gilt dies bei Weitem nicht im Allgemeinen, d. h., wenn es darum geht, ein zu entwickelndes IT-System im Sinne der IT-Sicherheit abzusichern. Hier sind immer noch sehr viel Expertenwissen und aufwendige Entwicklungsarbeiten notwendig.
Aus Sicht der Nutzer kommt es darauf an, Sicherheitslösungen zu entwickeln, die nicht zu einer Einschränkung der Servicequalität führen. Und dies betrifft nicht nur primär die Benutzungsschnittstelle. Vielmehr sollte die aktuelle Situation überwunden werden, bei der eine Verbesserung der IT-Sicherheit oftmals mit einer Beschränkung der Funktionalität bzw. des Nutzungsverhaltens einhergeht. Es gibt zumindest keinen Grund dafür, warum ein Nutzer nicht überall draufklicken können sollte, ohne Angst haben zu müssen, dass er für sein Handeln ein Lösegeld zahlen muss.
Eine Herausforderung im IoT-Bereich, für die bisher keine wirklich überzeugenden Lösungsansätze existieren, ist die vergleichsweise lange Lebenszeit vieler IoT-Produkte verbunden mit einem starken Kostendruck. Betrachtet man vergleichend etwa den Smartphone-Bereich, so sieht man, dass auch hier die Hersteller oftmals schon nach wenigen Jahren keine Sicherheitsupdates mehr bereitstellen. Aus Sicht der IT-Sicherheit ist das nicht ganz so dramatisch, da Smartphones insgesamt keine sehr lange Lebenszeit haben (ökologische Aspekte seien hier bewusst ignoriert). Ein funktionierendes smartes Heizungsventil dürfte aber üblicherweise zehn Jahre und länger im Einsatz sein. Es scheint aus heutiger Sicht schwer vorstellbar, dass viele Hersteller Sicherheitsupdates über einen derart langen Zeitraum bereitstellen werden — gerade in dem sich noch sehr dynamisch entwickelnden IoT-Bereich, bei dem in kurzen Zyklen neue Produkte auf den Markt gebracht werden und eine Standarisierung noch nicht wirklich erfolgt ist. Wie also lässt sich dieses Problem lösen? Wo können Sicherheitsupdates herkommen, wenn der Hersteller nicht mehr existiert oder nicht bereit ist, Updates zur Verfügung zu stellen?
Neben dem „anwendbar“ machen von existierenden Sicherheitslösungen, gibt es aber gerade im IoT-Bereich auch noch eine ganze Reihe von offenen Grundlagenfragen. Diese drehen sich vor allem um den Bereich Datenschutz — also den Schutz personenbeziehbarer Daten. Dabei ergeben sich gerade im IoT-Umfeld besondere Herausforderungen: Ein wesentliches Merkmal vieler IoT-Lösungen ist, dass sie sich in geeigneter Weise „intelligent“ verhalten und entsprechend auf ihre Umwelt reagieren. Um dieses „intelligente“ Verhalten zu ermöglichen, ist es üblicherweise notwendig, eine Vielzahl von personenbeziehbaren Daten mit Hilfe von Algorithmen aus dem Bereich des maschinellen Lernens (ML) bzw. der künstlichen Intelligenz (KI) auszuwerten.
Es ist aktuell eine offene Forschungsfrage, inwiefern die üblichen technischen Ansätze im Bereich des Datenschutzes, die im Wesentlichen auf Datenminimierung basieren, sinnvoll angewendet werden können. Für ein sinnvolles Trainieren und Anwenden von KI- bzw. ML-Algorithmen werden auf der einen Seite viele Daten benötigt, was auf der anderen Seite ein Datenschutzproblem darstellt, welches beispielsweise durch Anonymisierung (also letztlich Datenreduktion) gelöst werden soll. Hauptproblem ist daher, einen hilfreichen Kompromiss zwischen Nützlichkeit (utility) und Datenschutz (privacy) zu erzielen.
Dies gestaltet sich zurzeit insbesondere auch deshalb schwierig, da vielfach noch Methoden fehlen, um überhaupt einzuschätzen, wie der Einfluss bestimmter Eingabedaten auf das Ergebnis der ML/KI-Algorithmen aussieht. Das zugehörige Forschungsgebiet der „erklärbaren KI“ (explainable AI) steht noch ziemlich am Anfang. Doch ohne entsprechendes Wissen darüber, welche (personenbeziehbaren) Daten eigentlich wirklich gebraucht werden, ist es natürlich schwierig, eine sinnvolle Datenminimierung bezüglich personenbeziehbarer Daten zu betreiben.
Und selbst wenn es im Einzelfall gelingt, passende Lösungen zu erarbeiten, so stellt sich die nächste große Herausforderung: Wie kann man diese Einzelfalllösungen so verallgemeinern und aus Entwicklersicht zugänglich machen, dass ein Entwickler, der kein Sicherheits- bzw. Datenschutzexperte ist, seine IoT-Lösung ohne große zusätzliche Kosten sicher und datenschutzfreundlich gestalten kann.
Gleichzeitig ist jedoch anzumerken, dass es aus heutiger Sicht unwahrscheinlich ist, dass auf die Verarbeitung von personenbeziehbaren Daten im IoT-Bereich komplett verzichtet werden kann bzw. dass es ausreichend ist, anonymisierte Daten zu verarbeiten. Dabei ist zu beachten, dass hier von tatsächlich „anonymisierten“ Daten die Rede ist — und nicht von den in Praxis vielfach anzutreffenden scheinbar anonymen Daten, d. h. Daten bei denen lediglich der offensichtliche Personenbezug entfernt wurde (Name, Anschrift etc.). Viel zu oft hat sich bei derartigen Daten gezeigt, dass eine Deanonymisierung mit zusätzlichem Wissen (gewonnen beispielsweise aus sozialen Netzen oder öffentlich zugänglichen Statistiken) leicht möglich ist.
Werden allerdings personenbeziehbare Daten verarbeitet, so stehen den Betroffen gemäß der Datenschutzgrundverordnung eine Reihe von Betroffenenrechten zu. Dies betrifft etwa mindestens eine Informiertheit bezüglich der Datenverarbeitung und kann darüber hinaus Rechte wie etwa eine explizite Zustimmung zur Datenverarbeitung bzw. ein Recht auf Löschung und Berichtigung umfassen. Gerade im IoT-Bereich stellen sich dabei eine Reihe von Herausforderungen, will man diese Betroffenenrechte sinnvoll umsetzen.
Solange das IoT-System Möglichkeiten für die Realisierung einer entsprechenden Benutzungsschnittstelle besitzt, ist eine Umsetzung zumindest vorstellbar — wobei Benutzbarkeitsaspekte dies in vielen Fällen zu einer nicht trivialen Aufgabe machen. Was aber, wenn die IoT-Lösung selbst derartige Möglichkeiten der Benutzerinteraktion gar nicht zwingend erfordert? Man stelle sich beispielsweise ein kleines medizinisches Gerät für Menschen mit wenig IT-Affinität vor, dass mit Hilfe verschiedener Sensoren eine Cloud-basierte, KI-gestützte Auswertung und Überwachung der Körperfunktionen durchführt und im Fall eines notwendigen Arztbesuches entsprechende optische und akustische Hinweissignale ausgibt.
Ein weiteres aktuell ungelöstes, d.h. im Wesentlichen ignoriertes Problem, ist die Frage, inwiefern unbeteiligte Dritte ihre Rechte ausüben können. Eine IoT-Welt bedeutet insbesondere eine Welt voller Sensoren, die die verschiedensten personenbeziehbaren Daten aufzeichnen, etwa Audiosignale (Sprache), Video, Bewegung, Objekterkennung etc. Beispielhaft sei dies anhand von Sprachassistenten erläutert: Der Betreiber der Geräte sollte sich der Benutzung und der damit anfallenden Datenerfassung durchaus bewusst sein. Was aber ist mit Dritten, die einen mit Sprachassistenzsystemen ausgestatteten Raum betreten? Inwiefern sollten sie informiert werden — ähnlich wie dies aktuell im Falle von Videoaufzeichnungen erforderlich ist? Sollten sie neben der reinen Information auch die Möglichkeit zum Eingreifen haben, etwa indem sie zum Ausdruck bringen, dass sie keine Sprachaufzeichnung wünschen? Wie ließe sich so etwas technisch umsetzen?
Dieses Beispiel ist im Übrigen auch gut dafür geeignet zu verdeutlichen, dass weder technische noch regulatorische Maßnahmen allein das Datenschutz- und Datensicherheitsproblem lösen können. Vielmehr bedarf es eines holistischen Lösungsansatzes, der regulatorische, technische, ökonomische und Benutzbarkeitsaspekte sinnvoll kombiniert. Spracheingabe liegt aktuell im Trend — immer mehr Geräte werden damit ausgestattet, so dass es für Unbeteiligte unmöglich wird zu erkennen, ob eine Aufzeichnung stattfindet, wenn sie einen Raum betreten. Gleichzeitig erfolgt die Sprachaufzeichnung (wie auch die Erfassung vieler anderer Sensorwerte) ohne aktive Beteiligung der Betroffenen und ist zudem technisch schwer bis unmöglich detektierbar. Insofern bedarf es regulatorischer Maßnahmen bezüglich einer geeigneten Kennzeichnungspflicht. Allerdings ist ein reines Kennzeichnen wenig hilfreich. Es bedarf vielmehr unterstützender technischer Systeme, die die Datenschutzwünsche der Einzelnen automatisiert umsetzen, ohne dass die Betroffenen jedes Mal aktiv werden müssen.
Es lässt sich insgesamt feststellen, dass es bezüglich des Datenschutzes und der Datensicherheit im IoT-Bereich noch zahlreiche ungelöste Fragen gibt. Aus technischer Sicht kann man zunächst viele existierende Sicherheitslösungen des allgemeinen IT-Bereiches übernehmen, um zumindest eine Grundsicherung zu erreichen. Hierbei stellt sich im Wesentlichen die Frage, wie man die richtigen Anreize setzt, damit dies tatsächlich geschieht. Darüber hinaus gibt es aber auch aus technischer Sicht noch viele ungelöste Herausforderungen, für die Lösungen gefunden werden müssen.