Schlagwort-Archiv: Internet der Dinge

Mensch und Maschine vor der Fusion

„Sind wir die letzten nicht-augmentierten Menschen?“ Technologieforscher und Berater Gerd Leonhard befasste sich beim diesjährigen Kongress der Stiftung Münch mit der Fusion von Mensch und Maschine. Meist seien Smartphone, Medizingerät und Co. heute noch außerhalb des Körpers. Es gebe aber auch bereits Beispiele einer physischen Verknüpfung. Das gelte längst nicht mehr nur für Kranke. Leonhard führte Beispiele aus den USA an. Dort hätten sich bereits Gesunde die Beine amputieren lassen, um leistungsfähigere Prothesen anzubringen, ist in der „Ärztezeitung“ zu lesen. … mehr

 

Welche Moral haben und brauchen intelligente Maschinen?

Manchmal sind es vor allem die Fragen und weniger die Antworten, die deutlich machen, dass sich die Welt verändert. Das gilt wenn Maschinen und Computer intelligenter werden. Eine Gruppe von ETH-Studierenden hat sich dieser Thematik angenommen, ist in „inside-it“ zu lesen. … mehr

 

Das Internet der Dinge kann auch Mörder verraten…

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Das Internet der Dinge (IoT) ist definitiv in unseren Haushalten angekommen und irgendwie fühlt man sich schon fast wie auf der Brücke vom Raumschiff Enterprise. Coole Gadgets steuern vieles per Stimme, wofür wir normalerweise ein paar Schritte wie beispielsweise zum Lichtschalter oder zur Stereoanlage gehen müssten – alles ganz einfach per Sprachbefehl oder Frage.

Damit diese beeindruckenden persönlichen Assistenten funktionieren benötigen sie das Internet und das nicht nur, um Musik abzuspielen oder eine Antwort zu geben. Sie nehmen alle Befehle auf und speichern diese. Erst so können Hersteller von Echo/Alexa, Siri, Cortana oder Google Home die Qualität der sprachlichen Interaktion weiter verbessern und den Geräten noch mehr Beeindruckendes beibringen.

In einem jüngeren Fall in USA wollte sich die Polizei derartiger Sprachaufnahmen einer Anwenderin zunutze machen. In Zusammenhang mit einem Mord verlangte die Polizei sämtliche Sprachaufnahmen des Amazon Echo-Geräts in der Hoffnung, Hinweise zur Aufklärung der Tat zu erhalten. Doch Amazon hat sich an den Datenschutz gehalten und geweigert, die entsprechenden Sprachaufzeichnungen herauszugeben. Dieser Fall zeigt, dass bestimmte Einrichtungen ein valides Interesse an derartig gespeicherten Informationen haben. Es ist aber auch leicht vorstellbar, dass Cyber-Kriminelle eine lohnende Einnahmequelle durch Erpressung daraus entwickeln könnten.

Hundertprozentige Privatsphäre ausgeschlossen

Anwender, die solche Technologien zuhause oder im Büro einsetzen, dürfen nicht mit einer hundertprozentigen Privatsphäre rechnen. Aber es gibt ein paar Dinge, auf die Benutzer achten sollten, um zumindest etwas mehr Sicherheit zu erhalten:

Wenn Echo nicht genutzt wird, sollte die Stummtaste aktiviert sein. Die Stummschaltung befindet sich direkt am Gerät. Das „immer hörende“ Mikrofon wird somit abgeschaltet, bis es wieder aktiviert wird.

  1. Man sollte Echo nicht mit sensiblen Accounts verbinden. Es gab bereits einige Fälle in denen die Verkettung von mehreren Accounts zu unschönen Überraschungen oder Tränen geführt haben. Ein Kontrollverlust wie beispielsweise bei Bestellungen ist schnell geschehen.
  2. Alte Aufnahmen sollten gelöscht werden. Bei Echo beispielsweise können auf dem Amazon-Konto unter „Manage my Device“ über ein praktisches Dashboard einzelne Abfragen oder der gesamten Suchverlauf gelöscht werden.
  3. Google-Settings sollten restriktiv eingestellt sein. Wer Google Home verwendet, kennt das immense Datensammelverhalten des Unternehmens. Aber immerhin bietet Google auf der Webseite diverse Einstellmöglichkeiten an, um Berechtigungen zu erlauben oder zu entziehen. Darüber hinaus verfügt auch Home über eine Mute-Taste.

„Systeme wie Amazon Echo/Alexa oder Google Home sind faszinierend und werden sich in unserer technisch affinen Welt sehr schnell verbreiten. So angenehm und interessant sie unser Leben auch gestalten, die Nutzer sollten unbedingt auf Sicherheit und Privatsphäre achten. Hier ist jeder einzelne Nutzer gefragt, aktiv darüber nachzudenken, welche Informationen er preis gibt und welche nicht“, sagt Michael Veit, Security-Experte bei Sophos.

Smart Home Kühlschrank: Der Spion, der mich liebt

Elektronik-Hersteller Samsung hat im 2016 einen "smarten Kühlrank" vorgestellt, den sogenannten Family Hub. Dabei handelt es sich um einen smarten Kühlschrank, mit dem der südkoreanische Konzern das Internet der Dinge in die Küche bringen möchte.

Elektronik-Hersteller Samsung hat 2016 den sogenannten Family Hub vorgestellt. Dabei handelt es sich um einen smarten Kühlschrank, mit dem der südkoreanische Konzern das Internet der Dinge in die Küche bringen möchte.

Wenn es nach den Herstellern internetfähiger Kühlgeräte geht, soll der smarte Kühlschrank mit seiner intuitiven Kontrolle das neue Herzstück jeder Küche sein. Dank eines digitalen Assistenten kann man seinem Kühlgerät sagen, welche Lebensmittel es besorgen soll. Im Supermarkt selbst hilft der Blick aufs Smartphone, denn die integrierte Kühlschrankkamera verbindet sich via Wi-Fi ins heimische Netz und gibt einen Überblick über die Bestände. Smart weist der Kühlschrank nicht nur auf geringe oder leere Vorräte hin, sondern auch auf schnell zu verbrauchende Lebensmittel.

 Smart-Home-Geräte sind derzeit „der Renner“

Derartige Smart-Home-Geräte waren auf der diesjährigen Consumer Electronics Show (CES), einer der weltweit größten Fachmessen für Unterhaltungselektronik, der Renner. So unterhaltsam diese Gadgets sind, sollte man sich doch im Klaren darüber sein, dass hier Nutzerdaten gesammelt werden.

Auf den ersten Blick erscheint eine Einkaufshistorie harmlos. Doch die großen Datenmengen werden gespeichert, an den Hersteller gesendet, ausgewertet und können mit vielerlei anderen gespeicherten Informationen zu individuellen Profilen verknüpft werden. Ohne unser Wissen, ohne unseren Einfluss. Das ist nichts Neues. Kennen wir dieses Problem doch aus zahlreichen Diskussionen um Soziale Netzwerke wie Facebook & Co.

Der Kühlschrank – ein Angriffsziel für Hacker

Es gilt also Lösungen zu entwickeln, die dem Kühlschrank verbieten, Daten an den Hersteller zu senden – sofern man das möchte. Dies ist aber nur eine Seite der Misere. Weitaus kritischer ist zu sehen, dass der Kühlschrank als ein reguläres WLAN-Gerät ins häusliche Netzwerk eingebunden und damit potenziellen Angriffen durch Hacker ausgesetzt ist. Da das Kühlgerät aber selbst nicht über eine eigene Firewall oder eine andere Security-Lösung geschützt werden kann, stellt sich auch hier die Frage, wie der Anwender diese offene Tür ins Internet schließen kann.

„Smarte Geräte sind faszinierend und ich denke, dass diese sehr rasch Einzug in unser tägliches Leben halten werden“, sagt Michael Veit, Sicherheitsexperte bei Sophos in Wiesbaden. „Damit wird der Schutz von privaten Informationen für den Konsumenten immer schwieriger. Im Grunde entwickelt sich der zunehmend smarte Privathaushalt – aus IT-Security-Sicht – in Richtung einer komplexen Infrastruktur, ähnlich einem kleinen Unternehmen. Und hier helfen im Moment nur klassischer Endpoint-Schutz wie Sophos Home in Verbindung mit unserer kostenlosen Firewall-Lösung, die ursprünglich für kleine Unternehmen entwickelt wurde.“

Der Geist des Internets der Dinge der Zukunft

weihnachtsgeschenkDer jüngste Hype-Zyklus für neue Technologien zeigt uns, dass das Internet der Dinge bisher die überzogenen Erwartungen noch nicht erfüllt hat und erst in fünf bis zehn Jahren produktiv werden wird. Bereits jetzt produziert es jedoch einige abschreckende Storys. Dass jemand elf Stunden brauchte, um Wasser für seinen Tee zu kochen, ist noch mit Humor zu tragen.

Alarmierender sind Berichte über den rekordverdächtigen DDoS-Angriff (Distributed Denial of Service) auf die Website des Branchenexperten und Journalisten Brian Krebs und danach die ebenfalls rekordverdächtige Attacke auf Dyn (einen Anbieter von DNS-Infrastruktur, die für den Internetbetrieb von Bedeutung ist). Durch diesen Angriff brach das Internet an der Ostküste der USA zusammen, und erst kürzlich kam es zu einem Angriff auf DSL-Home-Router in Deutschland, durch den fast eine Million deutscher Internetnutzer offline blieben. Diese Angriffe haben alle eines gemeinsam: ungeschützte, mit dem Internet verbundene Geräte, die vom Mirai Botnet oder dessen Varianten befallen wurden.

An Weihnachten gibt’s Geräte mit Internetverbindung

Aus den Werbeanzeigen für das Weihnachtsfest lässt sich schlussfolgern, dass in den kommenden Wochen wohl viele Geräte mit Internetverbindung ausgepackt werden. Außerdem können wir davon ausgehen, dass die Software dieser neuen Geräte nicht weniger anfällig für Schadsoftware ist. So sieht das Gespenst des zukünftigen Internets der Dinge aus. Deshalb kann ich nachts nicht schlafen.

Kameras mit SQL-Schnittstelle, DVRs mit nicht änderbaren Standardpassworten, hackbare Sicherheitssysteme für das Zuhause, deren Firmwarekonfiguration nicht aktualisiert werden kann, und Router, deren Konfiguration sich nur über eine unverschlüsselte Verbindung authentifizieren lässt, fürchte ich mehr als jedes andere Gespenst. Die Frage lautet, was können wir tun?

Aufgrund der Gefahr immer größerer und schwerwiegenderer Angriffe könnten wir die Ideen der Maschinenstürmer wiederbeleben und auf Technologien verzichten bzw. diese aktiv vernichten. Dadurch wäre die Gefahr etwas gebannt, dennoch ist diese „Lösung“ so unpraktisch wie unrealistisch. Natürlich könnten wir auch von dem genauso unrealistischen Konzept ausgehen, dass wir ab jetzt sorgfältiger programmieren und all diese Schwachstellen auf magische Weise verschwinden.

Da zu Weihnachten viel geschenkt wird, biete ich Ihnen ebenfalls einige „Geschenke“ an, die Sie sich selbst machen können. Zugegeben, es sind eher kleine, praktische Aufmerksamkeiten, keine übertriebenen Gesten wie ein riesengroßer UHD OLED-Flachbildfernseher. Auch wenn etwas Vorbereitung notwendig ist, sind sie sehr robust und bieten langfristige Vorteile.

Sind Sie Produkt- oder Programmmanager?

Sind Sie Produkt- oder Programmmanager? Lassen Sie sich von Benjamin Franklin inspirieren: „Eine Zeile Programmcode als Prävention sind besser als 100 Zeilen Programmcode zur Reparatur.“ Dies ist zwar eine konservative Einschätzung, aber hier sollten wir anfangen. Sicherheit sowie der Sicherheitslebenszyklus müssen Teil Ihres Produktkonzeptes bzw. des MVP (der minimalen Produktanforderungen) sein. Klingt kompliziert?

Trotzdem ist es besser und vor allem billiger, als es sich anhört. Immer noch skeptisch? John Overbaugh hat unter InfoSecure.io einige nützliche und günstige Empfehlungen für SDLC. Was die Kosten angeht, vergessen Sie bitte Folgendes nicht: Eine mangelhafte Sicherheitsprüfung in der Verifizierungsphase eines Produktes, die zu späten Konstruktions- und technischen Änderungen führt, ist immer noch kostengünstiger als die Neukonstruktion und technische Änderung eines Produktes nach der Auslieferung.

Sind Sie Entwickler oder Softwareingenieur? Eine schlecht implementierte Verschlüsselung ist genauso schlimm wie gar keine Verschlüsselung. Sie müssen selbst zum Verschlüsselungsspezialisten werden. Mit den folgenden acht Übungen aktualisieren Sie Ihre Kenntnisse zur Softwareverschlüsselung und lernen, wie Sie Verschlüsselungsschwachstellen identifizieren, nutzen und schließlich vermeiden. Testen Sie, ob Ihr System geknackt werden kann, denn mit Sicherheit wird das „rote Team“ eines Dritten Ihre Software angreifen, daher können Sie Ihre Software auch gleich selbst testen.

Sind Sie Netzwerksspezialist oder Sicherheitsbeauftragter, Ingenieur oder Betreiber? Es wird höchste Zeit, dass Sie sich mit MANRS befassen. Sicher, während der Feiertage versucht jeder, sich von seiner besten Seite zu zeigen. Aber die gegenseitig vereinbarten Normen der Internet Society für Routersicherheit sind ein einfaches Mittel, damit Sie das „I“ im Internet der Dinge das ganze Jahr über nur von seiner besten Seite kennen lernen. Die MANRS-Empfehlungen definieren für die Teilnehmer vier Aktionen. Jeder Netzwerkverantwortliche muss die zweite Aktion unbedingt berücksichtigen: Die Blockade von Traffic mit gefälschten Source-IP-Adressen. Die DDoS-Attacken im Jahre 2016 hätten leicht vermieden werden können, wenn der Traffic von gefälschten IP-Adressen schon an der Schnittstelle zum Internet abgefangen worden wäre.

Wenn Sie mehr tun wollen, sollten Sie bei Ihren guten Vorsätzen für das neue Jahr die Netzwerksegmentierung nicht vergessen. Schwachstellen für Geräte aus dem Internet der Dinge bieten eine Angriffsfläche und einen Einstiegspunkt für Angriffe auf andere Teile Ihrer Infrastruktur. Netzwerksegmentierung ist keine triviale Aufgabe, aber Ihr bestes Tool, um Ihr Netzwerk vor Geräten aus dem Internet der Dinge zu schützen, die gehackt werden können.

Letztendlich ist nur eines sicher: Wie schon Ebenezer Scrooge in der Weihnachtsgeschichte von Charles Dickens feststellte, „werfen unsere Schritte Schatten der Dinge voraus, die unvermeidlich eintreten werden, wenn wir daran festhalten.“ Wenn wir weitermachen wie bisher, wird das Internet der Dinge zu einer gewichtigen Kette, wie die seines Geschäftspartners Josep Marley und der anderen Geister: „Glied für Glied, und Elle auf Elle, aus unserem eigenen freien Willen geschmiedet und getragen“.

Natürlich sind das, wie Ebenezer Scrooge erkannte, „nicht die Schatten der Dinge, die sein werden, sondern nur die Schatten der Dinge, die sein können“. Vielleicht wird das Internet der Dinge in der Realität tatsächlich so gut und nützlich sein wie versprochen.

 „Versprich mir, dass wir noch die Chance haben, diese Schatten der Zukunft zu ändern, die Du mir gezeigt hast.“

Autor: James Plouffe ist Lead Architect bei MobileIron und Technical Consultant für die Hitserie Mr. Robot. Er nimmt hier ganz bewusst Bezug auf die Weihnachtsgeschichte von Charles Dickens sowie die Werke anderer Autoren. Er besitzt einen elektrischen Wasserkocher ohne WLAN. Er ist in der Twittersphere aktiv unter @MOBLAgentP

Smarte Maschinen werden ab 2021 Mainstream

Im Jahr 2021 werden 30 Prozent der großen Unternehmen smarte Maschinen einsetzen, die Technologie wird damit zum Mainstream, so das IT-Research und Beratungsunternehmen Gartner. Unter den Oberbegriff „smarte Maschinen“ fallen Technologien wie Cognitive Computing, Artificial Intelligence, intelligente Automation, Machine Learning und Deep Learning.

„Der Einsatz smarter Maschinen in Unternhmen hat transformative und disruptive Auswirkungen“, so Susan Tan, Research Vice President bei Gartner. „Smarte Maschinen verändern die Arbeit und die Wertschöpfung. Sie lassen sich in einer breiten Reihe von Anwendungen in allen Branchen einsetzen – von der Entwicklung dynamischer Preismodelle und der Betrugserkennung, bis zu Verbrechensprävention und Robotertechnik. Für Service-Provicer bedeutet das die Chance, Unternehmen bei der Bewertung, Auswahl und Implementierung der Technologien sowie beim Change-Management zu unterstützen.“

 

Das Mirai-Botnetz oder die Rache des IoT

miraiAnfang 2016 haben die Sicherheitsexperten von Varonis mit Penetrationstester Ken Munro ein Gespräch über die Sicherheit von IoT-Geräten geführt: Funkgesteuerte Türklingeln oder Kaffeemaschinen und all die zahlreichen Haushaltsgeräte mit Internetanbindung. Seine Antwort auf die Frage nach grundlegenden Schutzmechanismen dieser Geräte: „Dass Hersteller auch nur einen Gedanken an Hacker-Angriffe verschwendet haben, halte ich für eine gewagte These.“ Privacy by Design ist ein Konzept, das vielen Herstellern von IoT-Geräten offensichtlich wenig geläufig ist.

Das von Munro gegründete IT-Sicherheitsunternehmen „Pen Test Partners“ veröffentlicht einen Blog, in dem Munro etliche Beispiele für den fahrlässigen Umgang von Herstellern mit dem Thema Privacy by Design schildert. Beispielsweise hat er sich einige Angriffsszenarien im Zusammenhang mit IP-Kameras einfallen lassen. Also genau die Art von IoT-Geräten, die jüngst beim Mirai-Angriff betroffen waren.

Wenn man die Methoden erst einmal einigermaßen durchschaut hat, kommt man auf eine Art „goldene Regel“ im Umgang mit IoT-Geräten im Consumer-Umfeld“. Will man seine IoT-Geräte nicht Hackern überlassen, muss man sich die Mühe machen, die Standardeinstellungen zu ändern.

Gelingt es einem Hacker zum Beispiel eine Kaffeemaschine mit Internetanbindung zu kontrollieren (weil ein leicht zu erratendes Standardpasswort nicht geändert worden ist), dann ist der Weg nicht weit den voreingestellten WLAN-Schlüssel herauszufinden, der in Klartext auf dem Gerät gespeichert ist. Ab dem Zeitpunkt wird die Sache schnell ernst.

Und dann kam Mirai

Bei solchen Angriffen muss der Hacker sich allerdings in Reichweite des WLAN-Signals befinden, die Verbindung des IoT-Geräts mit einem Tool wie aireplay-ng unterbrechen und anschließend eine neue Verbindung mit einem eigenen Zugangspunkt erzwingen. Es ist also realistischer, sich nahe liegende Szenarien und das gelegentlich vorkommende Wardriving Gedanken zu machen.

IoT-Geräte für Endverbraucher sind zwar nicht besonders gut geschützt. Bis vor kurzem schien das aber nur Schwachstellen zu betreffen, die lediglich einigen wenigen Sicherheitsexperten bekannt waren. Mit dem Mirai-Angriff hat sich das drastisch geändert. Das Internet der unsicheren Dinge wurde mit einem Mal außerhalb der Fachpresse diskutiert. Ausgerechnet im Wirtschaftsmagazin Forbes wurde schlüssig dargestellt wie Bots im Rahmen des Mirai-DDoS-Angriffs auf den DNS-Anbieter Dyn die Kontrolle über Kameras wie die von Munro getesteten übernommen haben.

Was die genauen Einzelheiten des Angriffs auf Dyn betrifft laufen die Analysen noch immer, aber eins ist klar: Es waren WLAN-Kameras im Spiel – möglicherweise bis zu 30.000 Stück.

Wie ist es den Hackern also gelungen, den oben erwähnten Angriff derart auszuweiten, dass sie weltweit Tausende WLAN-Kameras unter ihre Kontrolle bringen konnten?

Standardmäßig angreifbar

Die Angreifer haben herausgefunden, dass Endanwender wie auch IT-Experten die schlechte Angewohnheit teilen, Standardeinstellungen unverändert zu lassen. Wenn es IT-Sicherheitsexperten und -Administratoren schon nicht schaffen, Standardpasswörter wie „123456“ zu ändern, wie will man es dann von einem durchschnittlichen Benutzer verlangen?

Man hätte annehmen können, dass es am schwierigsten war die IP-Adressen der Kameras herauszufinden. Doch das stellte sich als relativ einfach heraus und zwar dank einer Standardeinstellung bei WLAN-Routern, die Anwender ohne IT-Hintergrund normalerweise nie ändern. Oder weiß jemand spontan, was UPnP beziehungsweise universelles Plug & Play ist? Eben. UPnP ist ein Protokoll, mit dessen Hilfe vernetzte Geräte automatisch einen Port des Routers öffnen, damit man per Remotezugriff mit einem Gerät kommunizieren kann.

Im Zusammenhang mit WLAN-Kameras ist UPnP schon eine sinnvolle Sache: Es kann schließlich sein, dass man mithilfe seines Browsers remote überwachen will, was in einem anderen Teil des Hauses vor sich geht, oder Administratoraufgaben über Telnet remote ausführen will. Für solche Fälle braucht man einen öffentlichen Port, dessen Daten vom Router an das Gerät weitergeleitet werden. UPnP übernimmt die Zuweisung.

UPnP ist praktisch, kann aber die Sicherheit beeinträchtigen, wenn man keine sicheren Administratorpasswörter für die Geräte festgelegt hat.

Die Hacker machten sich die verhängnisvolle Neigung der Anwender zunutze Standardeinstellungen beizubehalten. Konkret durchsuchten die Angreifer Zehntausende oder sogar Hunderttausende Router weltweit mithilfe der Brute-Force-Methode nach geöffneten Telnet-Ports, die vermutlich über UPnP zugewiesen worden waren.

So haben sie Zugriff auf die Shell bekommen, indem sie ein paar häufig verwendete Standardpasswörter wie „12345“, „admin“ usw. durchprobiert haben, bis es schließlich gelungen ist, sich anzumelden. Falls das nicht funktioniert, einfach weiter zum nächsten Router.

Hatten die Angreifer dann die Geräte, oftmals Funkkameras einer bestimmten Marke, unter ihre Kontrolle gebracht, wurde die Mirai-Software geladen. Die Kameras wurden damit zu Bots, die UDP-Pakete an Dyn übermittelt haben.

Jetzt das Richtige tun

Viele Kunden sind sich der UPnP-Funktionen ihres Routers nicht bewusst und UPnP ist tatsächlich aktiviert (unter Umständen sogar als Standardeinstellung des Anbieters, wie bei Linksys der Fall).

Will man vermeiden unwillentlich Teil des nächsten IoT-DDoS-Angriffs zu werden, hilft es die folgenden Schritte zu beherzigen:

  1. Wenn Sie Endanwender oder Inhaber eines kleinen Unternehmens sind, sollten Sie die UPnP-Funktion umgehend deaktivieren! Zur Veranschaulichung haben wir einen Screenshot der Verwaltungseinstellungen eines Linksys-Routers ausgewählt über die UPnP aktiviert bzw. deaktiviert werden kann.

Deaktivieren Sie UPnP.

  1. Ändern Sie außerdem das Administratorpasswort des Routers und den voreingestellten WLAN-Schlüssel. Wählen Sie dabei Passwörter mit einer möglichst hohen Entropie und mindestens acht Zeichen nach der „Correct Horse Battery Staple“ -Methode. Der voreingestellte Schlüssel sämtlicher Computer und aller Geräte, die bereits mit dem WLAN verbunden sind, sollte ebenfalls geändert werden.
  2. Nachdem UPnP deaktiviert ist, müssen Sie die jeweiligen Ports künftig manuell freigeben, wenn Sie neue Geräte hinzufügen. Zumindest, wenn Sie der Ansicht sind, dass der Remotezugriff unbedingt nötig ist.

Dazu öffnen Sie in der Router-Verwaltung die Seite für die Portweiterleitung und fügen einen Zuordnungseintrag hinzu. Weitere Einzelheiten finden Sie im Handbuch des jeweiligen Geräts (Kamera, Kaffeemaschine, Gefrierschrank usw.). Dieser Ansatz ist zwar aufwendiger, zwingt den Benutzer aber dazu, sich wirklich Gedanken über die Anbindung von IoT-Geräten zu machen.

Machen Sie sich mit der Portweiterleitungstabelle des Routers vertraut. Möglicherweise müssen Sie manuell Einträge hinzufügen. Denken Sie daran, sichere Passwörter für Geräte festzulegen, die von außen erreichbar sind!

  1. Ersetzen Sie die Administratorpasswörter sämtlicher IoT-Geräte, die bereits mit dem Netzwerk verbunden sind, durch längere und komplexere Zeichenfolgen! Wenn UPnP deaktiviert ist, ist es zwar nicht mehr möglich von außen auf ein Gerät zuzugreifen. Trotzdem besteht weiterhin das Risiko eines lokalen Angriffs, wie oben beschrieben.
  2. Laden Sie zu guter Letzt Nmap herunter und führen den Portscanner im WLAN aus. Sie erhalten dann einen Bericht, der zeigt welche Ports im WLAN offen sind. Danach sollte man entscheiden, ob die angezeigten Anwendungen oder Geräte tatsächlich Zugang zur Welt da draußen haben sollten.

Nmap benötigt dabei die öffentliche IP-Adresse des Routers, nicht die interne IP-Adresse, d. h. 198.x.x.1.Um die IP-Adresse des Netzwerks herauszufinden, geben Sie im Browser in die Google-Suchleiste „Was ist meine IP-Adresse“ ein.

Geben Sie die IP-Adresse aus den Google-Suchergebnissen in Nmap ein, um eine umfassende Prüfung durchzuführen.

Sicherheitslücken in Serie

„Schuld“ am Mirai-Botnetz sind praktisch alle Beteiligten: Anbieter, Öffentlichkeit und die Behörden.

Hersteller sind gehalten die Sicherheitsausstattung von IoT-Geräten zu verbessern, bevor sie in den Handel kommen. Munro schildert in seinem Blog derart viele grundlegende Authentifizierungs- und Passwortprobleme bei den getesteten Geräten, dass man fast den Eindruck gewinnt, sie seien darauf ausgelegt, gehackt zu werden.

Verschlüsselung und Signatur der herunterladbaren Firmware ist eine Möglichkeit, mit der Anbieter es Hackern erschweren, über eine Prüfung der Binärdateien für bestimmte Zeichenfolgen Exploits zu entwickeln. Zumindest sollten WLAN-Passwörter auf den Geräten nur verschlüsselt gespeichert werden.

Endanwender müssen ihre Einstellung zum Thema Sicherheit grundlegend überdenken. Man sollte keinesfalls davon ausgehen, dass die installierten IoT-Geräte, sich schon selbst um alles kümmern. Wenn Sie während der Installation nicht aufgefordert werden, das Administratorpasswort zu ändern, dann läuft etwas falsch. Geben Sie das Gerät besser zurück. Schließlich achtet man beim Kauf anderer elektronischer Geräte ja auch auf grundlegende Tests und Zertifikate.

Wie wäre es mit einer Zertifizierung für Datenschutz und Sicherheit?

Einige der Kameras, die im Zuge des Mirai-Angriffs gehackt wurden, hätten niemals zum Verkauf zugelassen werden dürfen. Derzeit gibt es im Bereich der Datensicherheit kein Gegenstück zu den FCC-Vorschriften für Elektro- und Elektronikgeräte.Vielleicht sollte es das aber. Oder die IoT-Branche muss sich zumindest um eigene Sicherheitsstandards kümmern und deren Einhaltung gewährleisten.

Internet der Dinge – die verkannten Risiken

Autorin Ariane Rüdiger schreibt in „Silicon.de“: In der Wunderwelt der vernetzten Dinge ist nicht alles nur Sonnenschein. Neben technologischen Herausforderungen gibt es beim Einsatz von IoT (Internet of Things) und IoE (Internet of Everything) auch erhebliche Risiken. Milliarden vernetzter Gegenstände, die selbständig kommunizieren und im Idealfall Aktionen anstoßen, die im Sinne ihres Benutzers sind. Die also selbständig den Kundendienst rufen, wenn sie drohen, gleich kaputt zu gehen. Die die Wohnung temperieren, wenn sich die Hausbewohner bis auf eine bestimmte Distanz ihrer Wohnstatt nähern. … mehr

 

Von der Vision zur Wirklichkeit: Ihr Unternehmen auf dem Weg ins Internet der Dinge

internet_der_dingeMitdenkende Mechanik, aufmerksame Automaten, sprechende Schienen: Durch die Ausstattung von Maschinen und Materialien mit intelligenten IT-Komponenten verändern sich Produktions- und Serviceprozesse in rasantem Tempo. Von den disruptiven Technologien und Geschäftsmodellen profitieren Unternehmen aus den verschiedensten Branchen – vom Maschinenbau bis zum öffentlichen Personennahverkehr. Aber nur dann, wenn sie den Weg in das Internet der Dinge mit Bedacht gehen und nicht auf fachkundige Unterstützung verzichten.

Das Internet der Dinge – oder auch: IoT (Internet of Things), wie es im internationalen Kontext genannt wird – ist in diesen Monaten in aller Munde: Nicht nur widmet die diesjährige CeBIT dem Thema erneut einen eigenen Ausstellungsschwerpunkt, auch Politik und Wirtschaftsverbände werden nicht müde zu betonen, welch große Chancen die intelligente Vernetzung von Maschinen und Materialien für den Industriestandort Deutschland birgt.

Während der Begriff noch vor wenigen Jahren allenfalls belustigende Assoziationen von sprechenden Kühlschränken oder mit dem Wecker vernetzten Kaffeemaschinen hervorrief, gibt es für das Internet of Things inzwischen Unmengen von konkreten Anwendungsszenarien – die meisten von ihnen im produzierenden Gewerbe, aber auch andere Wirtschaftszweige wie Transport & Logistik oder der Öffentliche Personennahverkehr ziehen mit.

M2M-Kommunikation in Echtzeit

Wie kommt es, dass aus einer vagen Vision der große Trend der Stunde wurde, an dem Unternehmen gleich welcher Branche kaum mehr vorbeikommen, wenn sie sich für die Zukunft richtig aufstellen wollen? Maßgeblich dazu beigetragen hat vor allem die rasante technologische Entwicklung der letzten Jahre: Während zunächst durch immer leistungsfähigere IT und skalierbare Cloud-Technologien immer größere Datenmengen erhoben und gespeichert werden konnten, fehlten in den Anfangsjahren des Big-Data-Zeitalters noch die richtigen Lösungen, um diese Daten auch schnell und zielgerichtet auszulesen und zu verarbeiten.

Inzwischen aber bringen namhafte Player wie Microsoft, IBM oder HP in immensem Tempo neue Softwarelösungen auf den Markt, die Unternehmen dabei helfen, selbst riesige Datenmengen in Echtzeit zu verarbeiten und zu übertragen. Die hohe Verfügbarkeit ebensolcher Echtzeit-Technologien bildet die Basis für das Internet der Dinge: Denn Gegenstände wie Maschinen, Materialien oder Endgeräte mit intelligenter IT auszustatten, ergibt nur dann einen Sinn, wenn sie die ungeheuren Datenmengen, die sie dabei produzieren, auch ohne Verzögerung auslesen und kommunizieren können. Inzwischen sind die technologischen Voraussetzungen dafür erfüllt und der Machine-to-Machine-Kommunikation, kurz: M2M, steht prinzipiell nichts mehr im Wege.

Immer mehr Unternehmen erkennen das immense Potenzial des Internet of Things und seiner neuen Möglichkeiten. Der Hype ist groß – und das völlig zu Recht: IoT und M2M werden die Art, wie in der Zukunft produziert und gewartet wird, massiv verändern; das Revolutionspotenzial ist ebenso groß wie seinerzeit jenes der Erfindung des Internets. Wenn Maschinen und andere Gegenstände, ausgestattet mit Sensoren, permanente Messwerte erheben und ohne menschliches Zutun autonom miteinander kommunizieren, lassen sich nicht nur die Produktionskosten immens senken – es entstehen auch völlig neue Geschäftsmodelle.

Predicive Maintenance als Chance für den Maschinen- und Anlagenbau

Davon ist insbesondere der Maschinen- und Anlagenbau stark betroffen. Denn versieht ein Hersteller seine Maschinen mit intelligenter Sensorik, kann auch nach Jahren der Nutzung zu jedem Zeitpunkt eruiert werden, in welchem Zustand die Anlage ist. Weil sie rechtzeitig meldet, wenn der Verschleiß ihrer einzelnen Komponenten einsetzt, können die entsprechenden Teile rechtzeitig ausgetauscht und teure Ausfallzeiten verhindert werden.

Predictive oder gar Preventive Maintenance – vorausschauende oder verhindernde Wartung – heißt hier das Schlagwort. Für den Hersteller kann es vor diesem Hintergrund sinnvoll sein, seine Maschinen nicht mehr an den Kunden zu verkaufen, sondern quasi zu vermieten. Dabei entwickelt sich der Maschinenbauer zum Servicedienstleister: Er behält die Datenhoheit und kann durch vorausschauende Wartung das Vertrauen seiner Kunden stärken.

Preventive Maintenance ist einer der großen Vorzüge der M2M-Ära. So konnte beispielsweise ein großer Betreiber von Getränkeautomaten die Verfügbarkeit seiner Produkte auf 90 Prozent steigern, indem er seine Automaten rechtzeitig melden ließ, wann das Wasser oder die Cola ausgehen würde. Das Ergebnis: zufriedene Kunden und eine deutliche Umsatzsteigerung. In ähnlicher Weise könnten zum Beispiel auch Aufzughersteller ihr Geschäftsmodell verbessern: Wenn der Aufzug von sich aus meldet, wann Steuerkette oder Laufrad erneuert werden müssen, können durch vorausschauende Wartung Ausfallzeiten verhindert und die Verfügbarkeit gesteigert werden. Gegenüber Konkurrenzanbietern kann das zum entscheidenden Marktvorteil werden.

Vernetzte Fahrzeuge, zufriedene Fahrgäste: M2M im ÖPNV

Besonders interessant wird es aber, wenn das Internet der Dinge in Branchen Einzug hält, die man mit dem Thema für gewöhnlich nicht in Verbindung bringt – dem öffentlichen Personennahverkehr beispielsweise. Tatsächlich lässt sich mit dem Einsatz von intelligenter IT nämlich auch ein klassisches Dienstleistungsgewerbe wie der Personentransport revolutionieren. Zum einen können durch Preventive Maintenance auch hier Ausfallzeiten von Bussen, Zügen oder Straßenbahnen verhindert und die Auslastung der einzelnen Fahrzeuge gesteigert werden.

Der Betreiber profitiert in diesem Fall von der Markttendenz der Hersteller, nicht nur Autos, sondern auch Großfahrzeuge mit immer mehr IT-Komponenten auszustatten, die den Zustand der verbauten Teile beständig kontrollieren und kommunizieren. Für den Fahrgast bedeutet das wiederum, dass das Risiko, dass sein Bus wegen Materialverschleißes unerwartet auf freier Strecke stehenbleibt, drastisch gesenkt wird. Äquivalent dazu können beim Straßen- oder S-Bahnverkehr auch die Schienen mit intelligenter Technik sinnvoll überwacht werden – auch das senkt Wartungskosten und Ausfallzeiten.

Aber auch jenseits von Preventive Maintenance sind Use Cases denkbar, in denen das Internet der Dinge für den ÖPNV Großes leisten könnte. So ließe sich beispielsweise das Fahrgastfernsehen in Bus oder Bahn merklich optimieren, indem über eine – datenschutzrechtlich unbedenkliche – Mustererkennung festgestellt wird, ob sich gerade etwa mehr junge weibliche oder ältere männliche Fahrgäste im Waggon befinden. Das Programm könnte entsprechend angepasst werden, die Fahrgäste würden von interessanten Inhalten profitieren und Anzeigenkunden könnten zielgruppengenau werben.

Herausforderung und Chance für den Mittelstand

So innovativ und vor allem disruptiv wie die neuen IoT-Technologien sind, sind auch die unternehmerischen Konzepte, die jetzt Erfolg haben: Neue Marktteilnehmer wirbeln so manches über die Jahrzehnte gewachsene Branchengefüge derzeit kräftig durcheinander. Der deutsche Mittelstand hat längst erkannt, dass er in dieser Hinsicht nicht den Anschluss verpassen darf.

Und das muss er auch nicht: Die Investitionen für die benötigten Technologien sind in der Regel durch flexible Nutzungsmodelle alles andere als unbezahlbar, der Return on Invest ist schnell erreicht. Die Frage ist also nicht, ob sich der Schritt in das Internet der Dinge tatsächlich lohnt – das zeigen die oben angeführten Anwendungsbeispiele –, sondern vielmehr, wie das Thema überhaupt angegangen werden soll.

Die große Herausforderung, vor der Entscheider jetzt stehen, ist folglich, erst einmal zu eruieren, welchen Nutzen IoT und M2M ganz konkret für ihr Unternehmen haben kann. Welche Prozesse lassen sich damit optimieren, welche Themenfelder bearbeiten? Welche Vision ist technologisch bereits umsetzbar, was muss vielleicht erst einmal Zukunftsmusik bleiben? Und nicht zuletzt: Welche Dienstleistungspartner und welche Softwarelösungen werden gebraucht, um die erdachten Szenarien auch tatsächlich in die Realität umsetzen zu können?

Mit fachkundiger Unterstützung von der Vision zur Wirklichkeit

Hier ist nicht nur fachliche Expertise gefragt, sondern auch ein Querdenken, ein Sich-lösen-Können von vermeintlich bewährten Denkweisen. Deshalb ist es mehr als sinnvoll, den Weg in das Internet der Dinge durch einen externen Dienstleister begleiten zu lassen. Idealerweise gehen praxisnahe Strategie-Beratung und die fachkundige Auswahl von Realisierungspartnern Hand in Hand´.

Aber mit der Ziel-Festlegung ist der Schritt ins Internet der Dinge noch nicht getan – es gilt vielmehr, das gewünschte Szenario auch tatsächlich umzusetzen. Hierzu braucht es ebenso die passenden Softwarelösungen wie die passenden Dienstleister.

Gleich ob Maschinen- oder Anlagenbauer, Verkehrsbetrieb oder Akteur in einer völlig anderen Branche: Durch die verlässliche Begleitung über alle Projektstufen hinweg wird der Weg in das Internet der Dinge für Mittelständler damit erheblich leichter. Das zahlt sich aus – nicht nur für jedes einzelne Unternehmen, dem die disruptiven Technologien und Geschäftsmodelle zu wirtschaftlichem Erfolg verhelfen können, sondern auch für den hiesigen Wirtschaftsstandort. Denn wenn Deutschland die großen Chancen nutzen will, die Politik und Verbände ihm derzeit prophezeien, braucht es einen wagemutigen Mittelstand, der jetzt seinen Anschluss nicht verpasst.

 Autor:  Thomas Gebhardt, Vorstandsvorsitzender Gebhart Sourcing Solutions AG. Das Stuttgarter IT-Beratungshaus hat schon früh das disruptive Potenzial des Internets der Dinge erkannt und bereits zahlreiche Unternehmen aus verschiedensten Branchen bei der Umsetzung ihrer Visionen unterstützt.   

 

Entwicklermanifeste für das Internet der Dinge

Je mehr Organisationen die private Welt und den öffentlichen Raum mit IoT-Produkten bevölkern, desto mehr wächst die Verantwortung der Entwickler. Die Frage, ob ethische Überlegungen Teil der Planung von IoT-Projekten sein sollten, liegt daher nah. Das berichtet „Heise“. …mehr

 

 

Tipps für Verbraucher: Mehr Sicherheit im Internet der Dinge

Geräte aus dem IOT-Umfeld sind in fast jedem Haushalt anzutreffen und es werden täglich mehr. Smart-TVs, -Home-Devices und alle Arten von Wearables halten Einzug in unser Leben und sollen es einfacher, wärmer, heller oder unterhaltsamer machen. Kaum anzutreffen ist allerdings das Bewusstsein um die Gefahren, die mit der Internetverbindung einhergehen.

Denn: ein guter Schutz ist gar nicht so einfach. Immerhin kann man nicht einfach eine kostenlose Antivirensoftware aus dem Internet auf eine Kamera oder einen Fernseher aufspielen und aktivieren. Was also tun?

Sicherheitsexperte Sophos empfiehlt sieben einfache Maßnahmen, mit denen die Nutzung von IOT-Geräten sicherer wird.

 Richten Sie Ihrem Internet der Dinge ein eigenes Netzwerk ein

Die Mehrzahl der „smarten“ Geräte nutzt WLAN, sie benötigen kein Kabel, um mit Smartphone oder PC zu kommunizieren. Hier findet die Kommunikation statt, daher sollte hier auch der Schutz ansetzen. Erlaubt der heimische Router das Einrichten eines Gastnetzwerks, sollten die IOT-Geräte unbedingt mit diesem verbunden werden. So bleiben die wichtigen Daten auf dem Computer und Tablet von fremdem Zugriff geschützt. Oder richten Sie einfach gleich einen Gastzugang für ihre smarten Geräte ein.

 Vermeiden Sie unkontrolliertes Plug & Play

Wer glaubt, Fremde können nicht wissen, ob und welche IOT-fähige Geräte im Haushalt sind, der irrt gewaltig. Über spezielle Suchmaschinen können Kriminelle private Kameras, Fernseher oder andere Smart Appliances leicht finden. Viele Geräte, z.B. Videokameras, versuchen eine Verbindung mit Firewall und Router herzustellen um sich einfacher mit dem Internet zu verbinden; und auf genau diese Weise sind sie leicht von außen zu finden. Um das zu verhindern, sollte die UPnP-Funktion (Universal Plug and Play) am Router ausgeschaltet werden.

 Aktualisieren Sie die Firmware

Eine regelmäßige Aktualisierung der Firmware ist für IOT-Geräte ebenso wichtig, wie für jeden anderen PC. Den Zeitaufwand hierfür sollte man unbedingt in Kauf nehmen, Informationen hierzu finden sich auf den Webseiten der Hersteller. Verbraucher sollten dies genau so regelmäßig durchführen, wie einen Batteriewechsel oder die Überprüfung der Rauchmelder.

 Wählen Sie Ihre Passwörter mit Bedacht

Womöglich können Sie es nicht mehr hören, aber nachlässig ausgewählte Passwörter stellen ein enormes Risiko dar. Wählen Sie Ihre Passwörter sorgfältig aus und notieren Sie diese an einem sicheren Ort. Komplexität ist wichtig, Einzigartigkeit ebenso. Viele Geräte veröffentlichen Passwörter unabsichtlich, manchmal sogar auch das WLAN-Passwort. Nutzen Sie nie ein und dasselbe Passwort für mehrere Geräte.

 Muss das Gerät wirklich in die Cloud?

Devices, die mit einem Cloud-Service arbeiten, sind häufig unsicherer, als solche Geräte, die man komplett von zuhause selbst steuern kann. Lesen Sie die Bedienungsanleitung sorgfältig, um herauszufinden, ob der Internetzugang wirklich nötig und sinnvoll ist, oder ob es andere Möglichkeiten gibt.

 Fernsehen auf allen Geräten?

Möchten Sie einen neuen Smart-Fernseher kaufen, und haben aber schon eine Spielekonsole? Verbinden Sie Geräte nur mit dem Netzwerk, wenn es wirklich nötig ist. Nur weil Geräte theoretisch alles können, müssen sie nicht alles dürfen. Wählen Sie aus, von welchem Gerät aus Sie Filme streamen möchten und vermeiden Sie unnötige Internetverbindungen.

 Hände weg vom Firmennetzwerk

Die Fotos von der letzten Firmenfeier sollen schnell ins Intranet? Nehmen Sie Ihr IOT-Gerät niemals mit in die Firma und verbinden es ohne Rücksprache mit der IT mit dem Firmennetzwerk. Viele Geräte beinhalten große Sicherheitsrisiken, die im allerschlimmsten Fall sogar personelle Konsequenzen haben können.

 Autor: Chester Wisniewski, Senior Security Advisor, Sophos

 

 

Helfer ohne Herz: Roboter werden in Deutschland dringend gebraucht

Autorin Sonja Álvarez schreibt im „Tagesspiegel“: Wer sich in einem japanischen Pflegeheim umschaut, wird sie oft entdecken: Roboter, die körperlich anstrengende Arbeit übernehmen, wie beispielsweise Menschen aus dem Bett und in den Rollstuhl zu heben. In Deutschland werden solche Maschinen in der Regel noch nicht eingesetzt – wegen ethischer Fragen, vor allem aber auch, weil das Potenzial von Robotern hierzulande unterschätzt wird. „Deutschland droht deshalb den Anschluss zu verlieren“, warnte deswegen kürzlich Dietmar Harhoff, Vorsitzender der Expertenkommission Forschung und Innovation (EFI). … mehr

Kommentar Bitdefender: Sorge um den Datenschutz in der Cloud und im Internet der Dinge

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

Nicht erst seit dem Bekanntwerden der großen Abhörskandale auf Regierungsebene hat das Thema Datenschutz im Internet massiv an Bedeutung gewonnen. Praktisch jeder Anbieter von Internetdienstleistungen sammelt mittlerweile automatisch Nutzerdaten, deren Auswertung die jeweiligen Produkte verbessern soll.

Da abseits der reinen Nutzungsdaten aber auch immer mehr private Informationen ihren Weg ins Netz finden – egal ob über soziale Netzwerke, IoT-Geräte oder andere Mechanismen – sind Fälle von Datenmissbrauch, Identitätsdiebstahl und sogar finanziellen Verlusten zu einem ganz realen Problem geworden.

 Betrug, Datenklau, Cyber-Angriffe – alles ist möglich

Das Internet hat zweifellos die Art und Weise verändert, in der Menschen weltweit miteinander interagieren. Doch neben all den damit verbundenen Vorteilen brachte es auch neue Formen der Bedrohung mit sich, die theoretisch wie praktisch jeden Nutzer betreffen können. Denn durch die Nutzung von Onlinebanking oder sozialen Netzwerken überall auf der Welt können Anwender auch überall Opfer von Cyberkriminalität werden.

Betrug, Datenklau, Cyber-Angriffe und andere Internetstraftaten können jeden betreffen, der in irgendeiner Weise mit dem Internet verbunden ist. Das kann heutzutage sowohl per PC, als auch über Tablet oder Smartphone der Fall sein. Wer sich also bisweilen fragt, was ihm im Internet schon Schlimmes passieren kann, dem sei eine ganz einfache Antwort gegeben: Alles nur irgendwie vorstellbare!

Selbst nicht ordnungsgemäß gesicherte Babyphones und IP-Kameras stellen bereits ein Risiko dar, da sie – im Falle eines erfolgreichen Hacks aus der Ferne – Fremden direkten Einblick in die eigene Privatwohnung ermöglichen.

Cloud-Dienste und IoT-Geräte sind somit unlängst zu einer Ware geworden, die von Nutzern, Unternehmen und Cyberkriminellen gleichermaßen dazu verwendet wird, um Daten zu sammeln, Systemschwachstellen zu entblößen oder letztlich auch Cyberangriffe durchzuführen.

 Eine gesunde Portion Vorsicht hilft

Nicht wenige begründete Ängste entstammen der zunehmenden Verbreitung von internetfähigen Geräten, die permanent persönliche Daten erfassen und in die Cloud übertragen. Während die potenziellen Vorteile dieser Geräte – gerade im Gesundheitsbereich – auf der Hand liegen, gibt es auch diverse Risiken.

Das wahrscheinlich größte Problem ist, dass es noch keine etablierten Standards für die Prozessverarbeitung der so genannten Internet of Things-Geräte gibt. Somit ist auch nicht geregelt, in welcher Weise diese mit ihren Daten umgehen und, was sehr viel schwerer wiegt, welche Sicherheitskonzepte Anwendung finden. Ein wenig Umsicht beim Kauf ist also angeraten, denn die Konzepte der Hersteller bezüglich der Datenverarbeitung und -auswertung variieren mitunter stark.

Das Wissen darüber, wie etwa das Smartband seine Daten überträgt und wer auf der Empfängerseite sitzt, könnte dann auch zum Verständnis beitragen, warum man an anderer Stelle plötzlich fitnessbezogene Werbung angezeigt bekommt. Während die Cloud also zweifellos eine ganze Reihe an Vorteilen im Bezug auf Kosten, Leistung und Verfügbarkeit bietet, verbleibt dennoch die Unsicherheit, welche persönlichen Daten am Ende wirklich übertragen werden, wer darauf Zugriff hat und zu welchem Zweck.

 Sind die Bedrohungen überbewertet?

Diese Frage lässt sich schnell beantworten, wenn nur einmal eine kurze Onlinesuche nach den jüngsten Datenschutzpannen bei bekannten Cloud-Infrastrukturen und -Anbietern oder Internet of Things-Anbietern durchgeführt wird. Allein die Daten-Leaks rund um die Kontaktplattform Ashley Madison und das US-amerikanische Office of Personnel Management betrafen Millionen von Nutzern, die plötzlich ihre realen Namen, Email-Adressen und Sozialversicherungsnummern öffentlich im Internet wiederfanden. Diese und weitere Fälle bezeugen aber auch, dass persönliche Daten noch nie zuvor einen so hohen Stellenwert hatten – sowohl für den Einzelnen, der sie nun aktiv schützen muss, als auch für Fremde, die sich damit einen Vorteil erwirtschaften können.

Die Sicherheit einer Cloud oder anderer internetfähiger Geräte sollte also nie zu hoch eingeschätzt werden, denn allzu sorgloser Umgang kann schwerwiegende Auswirkungen auf den Datenschutz haben. Und es liegt in der Verantwortung aller – Anbieter wie auch Nutzer – dafür zu sorgen, dass nichts dem Zufall überlassen wird.

 Autor: Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

 

Angriff der Killerkühlschränke: Das Militär im Cyberraum – was kann und darf die Bundeswehr?

Am Montags war wieder Expertenanhörung im Bundestag. Thema: Cyberkrieg. Das Innen- und das Verteidigungsministerium waren dabei. Doch ein wichtiger Akteur war gar nicht eingeladen: der BND, berichtet das „neue Deutschland“. … mehr

 

Die digitale Welle kommt unaufhaltsam oder: So wird aus der Welle kein Tsunami

User-Managed Access (UMA)

User-Managed Access (UMA)

Wir leben in einer Zeit, in der alles möglich scheint, und fast keine aktuelle Technologie hat dazu mehr beigetragen als das Internet der Dinge (Internet of Things, IoT). So Manchem macht es teilweise ein bisschen Angst, dass „alltägliche Objekte über eine Netzwerkanbindung verfügen, wodurch sie Daten senden und empfangen können“, wie eine landläufige Definition des IoT sagt.

Es ist heutzutage nicht mehr allzu schwer, sich eine Welt auszumalen, in der unser Garagentor mit unserem Thermostat kommuniziert, damit das Haus beheizt wird, sobald wir zurück sind. Als Nächstes signalisiert es dem Fernseher unsere Lieblingssendung einzuschalten, sowie unseren Ofen auffordert, das Abendessen zu erwärmen. Das IoT ist keine Science-Fiction mehr, sondern bereits Realität. Und diese entwickelt sich rasant weiter. Gartner geht von schätzungsweise 25 Milliarden verbundenen Geräten bis 2020 aus, gegenüber derzeit fünf Milliarden. Wen wundert es da, dass eine Stimmung entsteht, wie zu Goldgräbers Zeiten.

Wir befinden uns mitten in einer IoT-Goldrausch-Welle. Unternehmen wollen schätzungsweise 7,3 Billionen US-Dollar bis 2017 ins IoT investieren. Dazu sondieren sie aktiv neue, kreative und kollaborative IoT-Projekte, um auf dem Markt Fuß zu fassen und ihre Wettbewerbsfähigkeit zu verbessern. Apple sorgte zuletzt für Aufsehen mit der Einführung seiner Armbanduhr, die nicht nur zu Fitness-Zwecken, sondern auch in der medizinischen Forschung eingesetzt werden kann.

Die vernetzte Welt erfordert neue Datenschutzmaßnahmen

Angesichts von Unternehmen, die das IoT verwenden, um stärker personalisierte Dienstleistungen bereitzustellen und nebenbei mehr Daten über uns zu sammeln, ist die Angst vor einer Beeinträchtigung des Datenschutzes verständlich. Das IoT steht in dieser Hinsicht vor einzigartigen Herausforderungen, denn es liegt in der Natur der Sache, dass die meisten Unternehmen und Organisationen über Zugang zu den personenbezogenen Daten von Benutzern verfügen, um ihre Dienstleistungen zu erbringen. So waren zum Beispiel Besitzer des Samsung Smart TV entrüstet, als sie erfuhren, dass sich ihr Gerät mittels einer Spracherkennungsfunktion an den Wohnzimmer-Unterhaltungen beteiligen kann. Benutzer haben immer öfter das Gefühl, dass sie nur wenig Kontrolle darüber haben, welche Daten weitergegeben werden können.

Gleichzeitig ist die Vorgehensweise, wie wir sie von Webseiten her kennen – indem wir ein Kästchen markieren, um dem Austausch unserer personenbezogenen Daten zuzustimmen – für IoT-Geräte schlicht ungeeignet. Wo befindet sich beispielsweise das Kontrollkästchen bei einer intelligenten Glühlampe? Selbst wenn es eine extra App für eine solche Vorrichtung gäbe, die man auf seinem Smartphone installieren könnte: Sollten die Experten mit der zu rechnenden Zahl der IoT-Geräte in unserem Leben, im Vergleich zur Anzahl der Laptops richtig liegen, benötigen wir andere Wege für die Handhabung des persönlichen Datenschutzes.

Gefährdung durch das IoT – und mögliche Lösungen

Das moderne IoT ist weiterhin von Komplexität geprägt, was es anfällig für Cyberkriminelle und Datenschutzlücken macht. Zahlreiche Benutzer, Unternehmen und Organisationen sind gespannt auf die versprochenen Vorteile und richten IoT-Geräte ein, um bestimmte Funktionen zu nutzen. Sie möchten etwa Echtzeitbenachrichtigungen von Nest-Protect Rauchmeldern von Google oder detaillierte Informationen zum Schlafverhalten von Fitbit-Wearables erhalten oder vernetzte Industriegeräte für die Bestandsverwaltung einsetzen. All diese Vorrichtungen erlauben eine größere Kontrolle über das Privatleben oder im Geschäftsumfeld.

Im Kleingedruckten, selten genug beachtet, ist jedoch die Rede von Verbraucherdaten und Profilerstellung, aufgezeichneten Nutzungsmustern sowie der Untersuchung und Analyse menschlichen Verhaltens basierend auf den Daten, die die Geräte fleißig sammeln.

IoT-Protokolle müssen einen geschlossenen Ansatz mit Blick auf das Identity Relationship Management bieten. Es muss sichergestellt sein, dass die Beziehungen zwischen Geräten, Benutzern und Cloud auf fairen Vereinbarungen zwischen den Parteien basieren, die jederzeit von jedem auf Wunsch gelöst werden dürfen.

Immer mehr Objekte und Vorrichtungen sind in der Lage, miteinander zu kommunizieren. Das stellt uns alle vor die gewaltige Aufgabe, Benutzern die Kontrolle über ihre personenbezogenen Daten zu geben, auch wenn diese Daten in einem Dickicht aus Millionen von Netzwerken mit Sensor- und Geräteanbindung gesammelt und verwaltet werden.

Ein Beispiel: Jeder von uns hat eine Vielzahl an Glühlampen zuhause im Einsatz. Möchten wir den Zugang zu jeder einzelnen individuell steuern, je nach Tages- oder Jahreszeit, wenn wir Gäste haben oder auch nur zu einer bestimmten individuellen Stimmung? Wenn wir von den Vorteilen des IoT profitieren wollen, statt Wandschalter zu betätigen, sollten wir uns lieber mit wirklich zentraler Datensteuerung befassen – und zwar schnell.

Ein weiteres Beispiel zeigt, wie wichtig es ist, unsere Daten zu steuern. Informationen, die anhand eines Cloud-Diensts gesammelt werden, der mit einer vernetzten Geschirrspülmaschine in einem Eigenheim verbunden ist, können Aufschluss darüber geben, wie oft die Bewohner ihr Geschirr spülen, wann sie zuhause sind, Gäste haben oder Essen zubereiten. Die Hausbesitzer möchten den Zugang zu dem Geschirrspüler gegebenenfalls als Teil einer Zusammenstellung von „Dingen“ im Haushalt steuern und gleichzeitig verschiedene Personen in diesem Haushalt aggregiert verwalten. Beim Verkauf der Immobilie gehen der Geschirrspüler und der Dienst an den neuen Eigentümer über, während der alte Eigentümer die Kontrolle über die im Laufe der Zeit gesammelten „personenbezogenen“ Daten behalten möchte.

Eine Organisation für Standards namens „Kantara Initiative“ sponsert verschiedene Bemühungen, darunter die Identities-of-Things-Discussion Group und die User-Managed Access (UMA) Work Group, um Lösungen für diese Herausforderungen zu entwickeln. UMA ist ein neues Protokoll, das Benutzern eine einheitliche Steuerung in die Hand gibt, um den Zugriff auf personenbezogene Daten und Dienstleistungen zu autorisieren, egal, wo diese Ressourcen online gespeichert sind. Ein Beispiel aus dem Alltag: Wenn Thomas ein IoT-fähiges „vernetztes Auto“ besäße, könnte er es zu seinem UMA-fähigen Dashboard für die Online-Freigabe hinzufügen. Dort könnte er eine Freigabe-Einstellung festlegen, die zulässt, dass sein Sohn den Wagen fährt, jedoch nicht erlaubt, dass dieser Zugang zum Kofferraum erhält. Thomas Dashboard könnte Daten aller möglichen Gegenstände verwalten, von Küchengeräten bis hin zu all den vielen Glühlampen.

Der praktischste Weg zur Integration von Datenschutz ist die Nutzung einheitlicher, sorgfältig geprüfter, offener Standards und Plattformen, die sichere Verbindungen unter Geräten, Dienstleistungen und Anwendungen ermöglichen, denen der Benutzer zugestimmt hat. Sobald die Verbraucher merken, dass sie ihre Daten unter Kontrolle haben, wird diese Technologie ihr gesamtes Potenzial entfalten.

 Eve Maler ist Vice President Innovation & Neue Technologien bei ForgeRock.

Eve Maler ist Vice President Innovation & Neue Technologien bei ForgeRock.

Autorin: Eve Maler ist eine renommierte Strategin für digitale Identität, Zugriff, Sicherheit und Datenschutz. Maler hat während ihrer Karriere die Entwicklung zahlreicher Standard-Lösungen für Interoperabilität verantwortet, um Aufgaben von Unternehmen und Einzelpersonen zu vereinfachen. Zuletzt war Eve Maler als Principal Analyst für Identity und Security bei Forrester Research tätig. Sie blickt auf insgesamt dreißig Jahre Erfahrung zurück, unter anderem bei Unternehmen wie Sun Microsystems und PayPal. Seit August 2014 ist Eve Maler Vice President of Innovation and Emerging Technology bei ForgeRock. In dieser Rolle soll sie das Unternehmen unterstützen innovative Lösungen mit Identity Relationship Management zu realiesieren.