Das Internet der Dinge (IoT) treibt die Vernetzung weiter voran. Komplexe Netze brauchen aber neuartige Security-Konzepte, so DI Helmut Leopold, Head of Center for Digital Safety & Security des Austrian Institute of Technologie (AIT) im Interview. Der Experte erklärt zudem, warum gerade bei IoT Security jeden etwas angeht und warum Opfer auch Täter sein können, ohne es zu wissen.
Frage: Jede neue Technologie hat ja immer zwei Seiten und das ist ja auch beim Internet der Dinge (IoT) so. Einerseits macht IoT die Welt durch Smart-Home-Anwendungen, autonomes Fahren und dergleichen sicherer. Andererseits erhält jedes Ding durch die Vernetzung eine Tür, durch die jemand eindringen kann, der dort nicht hingehört. Jedes Ding wird dadurch zu einem potenziellen Opfer von Cyberattacken. Macht IoT nun die Welt sicherer oder ist das Gegenteil der Fall?
DI Helmut Leopold: Durch das IoT entstehen komplexe Netzwerke. Komplex dürfen Sie nicht mit kompliziert verwechseln. Komplizierte Dinge lassen sich beschreiben, komplexe indes nicht. Das Systemverhalten ist nicht mehr deterministisch, also nicht zu hundert Prozent vorhersehbar. Unser Wetter ist etwa ein komplexes System. Aufgrund von vielen Einflussfaktoren ist es genauso wie es ist – aber wir können das nicht hundertprozentig erklären oder prognostizieren. Im IoT löst ein Sensor eine Aktion aus und andere reagieren darauf. Wie sie reagieren, können wir aber nicht nachvollziehen oder vorhersehen. Mit gängigen Schutzmechanismen wie etwa einer Firewall lassen sich komplexe Systeme also nicht mehr schützen.
Frage: Warum nicht?
DI Helmut Leopold: Bei einer Firewall bestimmen Sie, wer Zutritt in ein IT-System hat und wer nicht. Ein Virenscanner funktioniert ähnlich. Grob gesprochen muss ich einer Firewall sagen, was zu tun ist, wenn ein Fall X eintritt. Wenn allerdings der Fall X unbekannt ist, können weder Firewall noch Virenscanner ausreichend Schutz bieten. Zudem habe ich im IoT sehr viele kleinere Einheiten mit relativ wenig Rechenleistung. Auf einen einfachen Sensor um wenige Euro ist es eventuell nicht möglich, Security- oder Verschlüsselungssoftware herunterzuladen oder überhaupt ein Softwareupdate zu machen. Weil die Rechenleistung dieses Sensors nicht ausreicht.
Frage: Gibt es eine Lösung dafür?
DI Helmut Leopold: Der Ingenieur braucht neue Werkzeuge, mit welchen er neben der Funktionalität auch gleich die Security in ein neues IT-System mit einbaut – Stichwort Security by Design. Standards oder auch Gesetze, so wie das Cybersicherheitsgesetz, das wir gerade diskutieren, werden entsprechende Vorgaben enthalten.
Frage: Wie lassen sich Security-by-Design-Konzepte realisieren?
DI Helmut Leopold: Dafür muss ich im Labor die virtuelle Welt nachbauen. Ich simuliere etwa eine Fabrik oder ein Verkehrsleitsystem. In dieser Cyberrange kann ich die Mechanismen besser verstehen. Das System im Echtbetrieb erst auszuprobieren, ist leider nicht möglich. Bei Automobilbau stehen mir Modelle zur Verfügung, mit welchen ich einen Crash-Test absolvieren kann. Bei IT-Systemen ist das leider nicht möglich. Ich kann ja in der Praxis schlecht testen, wie ein Verkehrsleitsystem oder eine ganze Fabrik tatsächlich funktionieren. Eine Cyberrange kann man sich so wie eine Feuerwehrschule vorstellen. Dort ist es gefahrlos möglich, ein Feuer zu entzünden, um zu testen, welches Löschmittel am besten wirkt. Eine Cyberrange dient auch zum Training von und der Awarenessbildung bei Technikern und Ingenieuren.
Frage: Wenn IT-Systeme zunehmend komplex werden, wäre es hier auch möglich, Security-Lösungen mit Machine Learning beizubringen, wie sie auf unbekannte Bedrohungen reagieren sollen?
DI Helmut Leopold: Machine Learning ist der nächste Schritt nach Security by Design. Machine Learning ist ein starker Trend, der weit in die Zukunft reicht. In komplexen IT-Systemen ist es schwer zu erkennen, ob sich dort Eindringlinge bewegen oder nicht. Denn wer entscheidet, wer rein darf und wer nicht? Das kann niemand mehr klar spezifizieren. Der Trend geht also dahin, dass Algorithmen Anomalien erkennen. Etwa wenn plötzlich große Datenmengen gesammelt werden. Erkennt das Security-System ein solches Muster, kann es Alarm auslösen, einen Operator kontaktieren oder auch staatliche Stellen informieren.
Doch nicht nur das Erkennen eines Vorfalls alleine ist wichtig. Es muss auch schon vor dem Vorfall definiert sein, welche Maßnahmen man dagegen setzt. Wird dann eine bestimmte Software heruntergeladen oder werden Teile des Systems außer Betrieb genommen? Mittels Security-by-Design-Konzepten lassen sich solche Funktionalitäten bereits beim Bau von Systemen integrieren.
Frage: Wird Ihrer Meinung nach der Sicherheit im Internet der Dinge der Wert beigemessen, den sie verdient?
DI Helmut Leopold: Beim IoT geht es heute vor allem um die Funktionalität. Security hat leider noch keinen Marktwert und wird oft nur als Kostenblock betrachtet. Das kann aber so nicht weitergehen. Ein Beispiel: Sie realisieren ein ungesichertes Verkehrsleitsystem. Ein Hack legt dieses lahm. Das Verkehrschaos ist perfekt. Ein solcher Kollaps verursacht auch enorme Kosten. Es hat also durchaus einen hohen Wert, wenn IT-Systeme sicher und verlässlich funktionieren. IT-Security sollte als Mehrwert, und nicht als Kostenfaktor betrachtet werden. Ein Mehrwert, durch den sich für europäische Player etwa ein Wettbewerbsvorteil gegenüber Konkurrenten aus den USA oder Fernost ergeben könnte.
Frage: Ist es im Zeitalter von IoT eigentlich möglich, dass ein Unternehmen allein die eigene IT-Sicherheit gewährleisten kann?
DI Helmut Leopold: Bei der zunehmenden Vernetzung wird das immer mehr die Angelegenheit von allen. An der Konstruktion und am Betrieb eines IT-Systems sind sehr viele beteiligt: Hardwarehersteller, Softwareentwickler, Systemintegratoren, Netzbetreiber usw. Sie alle müssen sich um IT-Security kümmern, denn alles hängt mit allem zusammen. Aber: Absolute Sicherheit ist nicht möglich. Wir fahren im realen Leben ja auch nicht mit Panzern und leben in Bunkern. Ein IT-Security-Konzept muss nicht nur klären, wie man sich schützen will, sondern auch, wie man mit dem Restrisiko umgeht.
Frage: Wessen Angelegenheit ist IT-Security dann überhaupt?
DI Helmut Leopold: Sie ist sowohl Angelegenheit der gesamten Gesellschaft als auch jedes einzelnen. Wenn Sie etwa auf eine Mail klicken welche Schadsoftware enthält, dann sind sie nicht nur Opfer, sondern auch Täter. Dadurch verbreiten Sie möglicherweise diese Schadsoftware weiter und unterstützen plötzlich ein Cyber-Crime Geschäftsmodell. Wenn Sie Ihre Smart-Home-Geräte nicht durch ein Passwort schützen, machen Sie es Kriminellen leicht, diese als Werkzeuge zu verwenden.
Frage: Was können Kriminelle bitte mit meinem smarten Kühlschrank anfangen?
DI Helmut Leopold: Genau dies ist mit dem Mirai-IoT Angriff passiert. Für diese besondere DDoS-Attacke wurde ein Botnetz verwendet, das aus vernetzten Geräten wie Routern, IP-Kameras oder digitalen Videorekordern usw. bestand. Um die Kontrolle über smarte Geräte zu erlangen, suchen eigene Suchmaschinen permanent nach mit dem Internet verbundenen Geräten, welche nicht oder schwach geschützt sind, wie z.B. mit lediglich Standard-Usernamen und -Passwörtern wie 1234/1234 oder Username/Username. Diese Geräte werden dann in ein Botnetz zusammengefasst, die Befehle ausführen können. Ein solcher Befehl kann etwa das Senden einer einfachen Ping-Abfrage sein. Wenn ein Gerät nur ein einziges anderes Gerät fragt, „lebst Du noch“ ist das kein Problem. Wenn aber 100.000 Geräte oder mehr eine solche Abfrage an ein und dieselbe Stelle senden, kann diese Stelle den Datenverkehr nicht mehr bewältigen. Damit wurde etwa auch die Website eines Journalisten lahmgelegt.
Frage: Hat dieser Vorfall aus Ihrer Sicht etwas bewirkt?
DI Helmut Leopold: In der Community gilt dieser Angriff als Musterbeispiel für neue Bedrohungsszenarien. Um solche Vorfälle zu verhindern, ist der Einsatz von Hightech gar nicht notwendig. Es geht um einfache Verhaltens- und Verfahrensregeln. Wir schließen ja auch unsere Haustüre ab, wenn wir die Wohnung verlassen. Wenn ich also Geräte, die mit dem Web verbunden sind, in Betrieb nehme, dann muss ich auch ein paar Regeln beachten. Aber diese Diskussion muss noch viel intensiver geführt werden. Der Nutzer muss sich seiner Restverantwortung bewusst werden. Die Industrie kann es ihm durch Security-by-Design allerdings auch leichter machen, Sicherheitsvorkehrungen wie das Setzen eines sicheren Passworts zu treffen. Aber der erwähnte Vorfall hat schon gezeigt, dass etwas getan werden muss.
Frage: Österreich ist ja ein gut entwickeltes Land mit hohem Bildungsniveau. Warum sind wir beim Umgang mit IT-Geräten und Services relativ unmündig?
DI Helmut Leopold: In vielen bisherigen Technologieentwicklungen gab es oft genügend Zeit, damit sich die Gesellschaft auf die Veränderungen durch neue Technologien einstellen konnte. Das rasante Wachstum der Sicherheitsangriffe auf unsere IT-Systeme in letzter Zeit ist allerdings in diesem Umfang ein sehr neues Phänomen mit neuen Herausforderungen. Die Gesellschaft hat den verantwortungsvollen Umgang damit noch nicht gelernt. Um das zu ändern, sind zwei Maßnahmen wichtig: IT-Security darf kein Gebiet für Spezialisten bleiben. Jeder Ingenieur sollte künftig ein Grundwissen darüber haben. Schließlich befindet sich heute schon fast in jedem Gerät ein Stück Software. Alle Bürger sollten lernen, wie sie sich als verantwortungsvolle Nutzer verhalten. Damit sollte man schon in der Grundschule beginnen. Es gibt einige Initiativen, die zu dieser Bildung des Users beitragen, aber das muss noch weiter verstärkt werden. Denn: Unser gesamtes Leben wird immer stärker von der Vernetzung abhängen.
Frage: Sie sind seit 2009 Head of Center for Digital Safety & Security des AIT Austrian Institute of Technology. Wie würden Sie einem Laien in wenigen Worten beschreiben, was das Institut macht?
DI Helmut Leopold: Software und IT durchdringen alles auf der Welt immer mehr. Dabei gibt es zwei Herausforderungen. Die Technik muss zuverlässig funktionieren – das betrifft den Safety-Aspekt. Und sie muss vor Missbrauch geschützt sein – das betrifft die Security-Seite. Das AIT ist ein Joint Venture des Bundesministeriums für Verkehr, Innovation und Technologie und der Industriellenvereinigung (IV). Wir sind Österreichs größte außeruniversitäre Forschungseinrichtung und befassen uns mit zentralen Infrastrukturthemen. Wir beschäftigen uns mit Problemstellungen und Herausforderungen für die Sicherheit der Gesellschaft aber auch der Wirtschaft, welche auf uns zukommen.
Das Wissen, das wir generieren machen wir fassbar und für die Wirtschaft unmittelbar verwendbar. Wir entwickeln Soft- und Hardwarelösungen, Prototypen und erproben gemeinsam mit Endanwendern und Technologiebenutzern neue technische Lösungen. Die Industrie und die Öffentliche Hand erhalten von uns Technologien, durch die sie weltweit einen Wettbewerbsvorteil erreichen, und unsere Arbeit trägt wesentlich dazu bei, dass Technik zum Wohle der Gesellschaft eingesetzt wird.
ad Personam
DI Helmut Leopold ist seit dem Jahr 2009 Head of Center for Digital Safety & Security und stand beim fünften M2M/IoT Forum CE 2017 mit dem Thema „Highest Reliability & Security for IoT Communication Systems“ auf der Vortragsbühne.