Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.
Die Weltformel
2016 hatten wir die Gelegenheit, uns mit dem IoT-Penetrationstester Ken Munro zu unterhalten. Seinen Anmerkungen zu Entwicklungen wie funkgesteuerten Türklingeln, Kaffeemaschinen und Kameras kann man kaum widersprechen: "Dass Hersteller auch nur einen einzigen Gedanken an potenzielle Hackerangriffe verschwendet haben, halte ich für eine gewagte These. Eines der größten Probleme ist meiner Ansicht nach, dass viele Hersteller übereilt neue Produkte auf den Markt werfen ..." Privacy by Design (PbD) ist offensichtlich nicht gerade ein Grundprinzip von IoT-Geräten im Consumer-Umfeld.
Gerade in den letzten Monaten konnten Verbraucher am eigenen Leib erfahren wie anfällig solche Geräte selbst für einfach gestrickte Angriffe sind. Dabei machen Hacker sich Backdoors, Standardpasswörter und sogar nicht vorhandene Anmeldeinformationen zunutze.
Nicht selten werden öffentlich zugängliche Router-Ports während der Geräteinstallation einfach offen gelassen. Und zwar ohne, dass der ahnungslose Nutzer einen Warnhinweis erhält. Für Angreifer ist es dann aufgrund von unsignierter Firmware möglich, Geräte vollständig zu kontrollieren.
Alles, was in den Bereichen Datenschutz und Datensicherheit schiefläuft, findet man prompt im Internet der Dinge. Es gibt aber durchaus hilfreiche und vergleichsweise einfache Schutzmaßnahmen.
Alle Macht den Passwörtern!
Geht es beim Thema Sicherheit immer um Passwörter? Nein, sicher nicht. Aber es kristallisiert sich mehr und mehr heraus, dass unsichere Passwörter oder nicht geänderte Standardpasswörter zu den Hauptursachen vieler Sicherheitsvorfälle gehören.
Die Sicherheitsexperten, mit denen wir gesprochen haben, brachten oft ohne Nachfrage den fahrlässigen Umgang mit Passwörtern zur Sprache. Einer von ihnen, der Passwortexperte Per Thorsheim , erinnert daran, dass die Zwei-Faktor-Authentifizierung (2FA) in Anbetracht dessen eine mögliche Sicherheitsmaßnahme ist: "Im Hinblick auf die Sicherheit ist die Zwei-Faktor-Authentifizierung die Lösung schlechthin. Sie ist so sicher, dass man, nur als Beispiel, im Grunde sogar das Passwort seines Facebook-Kontos verraten könnte - aufgrund der Zwei-Faktor-Authentifizierung kann sich trotzdem niemand anders anmelden. Sobald jemand meinen Nutzernamen und mein Passwort eingibt, sendet mir Facebook per SMS einen Code auf mein Telefon, auf das nur ich zugreifen kann."
Menschen stellen erfahrungsgemäß beim Umgang mit Passwörtern wenig geschickt an. Zwei-Faktor-Authentifizierung sowie biometrische Erkennung werden in Zukunft zur Passwortsicherheit beitragen. Bis es so weit ist, hat Professor Justin Cappos einen einfachen Trick für diejenigen parat, die sich noch immer am liebsten selbst Passwörter ausdenken: "Um als Mensch ein sicheres Passwort zu erstellen, kann man nach dem Zufallsprinzip vier Wörter aus einem Wörterbuch auswählen und dann eine Geschichte erfinden, in der sie vorkommen. Diesen Ansatz bezeichnet man als 'Correct Horse Battery Staple'-Methode ."
Bei der "Correct Horse Battery Staple"-Methode dient die Geschichte als Gedächtnisstütze. Der Ansatz ist nicht neu, hilft aber, gute Passwörter zu finden, die nicht so leicht zu knacken sind.
Ein wichtiger Tipp der Experten lautet: Ändern Sie umgehend das Administratorpasswort des heimischen Routers (nach der "Correct Horse Battery Staple"-Methode). IT-Administratoren sollten ihre Passwörter ebenfalls genauer unter die Lupe nehmen, um nicht ungewollt zum Helfershelfer eines Angreifers zu werden.