Tipps & Tricks
30.03.2017, 06:00 Uhr
Weg vom Internet der (unsicheren) Dinge
Immer mehr Geräte des Alltags sind mit dem Internet verbunden und dementsprechend auch darüber steuerbar: Das Internet der Dinge ist überall.
Unser Leben wird immer mehr geprägt von Aquariums- und Beleuchtungssteuerungen über elektronische Haustüren, Pflanzenfühler und -bewässerer, Spülmaschinen oder Thermostate bis hin zu Zoom-Überwachungskameras. Damit unser Leben aber nicht durch diese Geräte bestimmt wird, müssen wir sicher sein, dass sie uns nicht nur gehören, sondern auch gehorchen. Das ist nicht immer einfach.
Wenn diese Geräte mit dem Internet verbunden sind, sind sie häufig nicht ausreichend geschützt:
- Miele-Geschirrspüler sind zu vertrauensselig.
- Herzschrittmacher lassen sich aus der Ferne umprogrammieren.
- Fahrern in Autos wird die Kontrolle weggenommen.
- Puppen verraten die Gespräche zwischen Kind und Eltern oder lassen Fremde Nachrichten an Ihre Kinder übermitteln.
- Sicherheitskameras werden für Internetangriffe verwendet.
Dies sind nur einige wenige Beispiele, wie leicht ungenügende Sicherheit der Geräte zu Problemen oder Katastrophen führen können. Einige Funktionen sind sogar Absicht: Fernseher petzen den Sendern, was wir wann schauen oder hören gar mit, Lautsprecher zeichnen unsere Wohnzimmergespräche auf und Vibratoren melden dem Hersteller, wann und wo Sie sich wie intensiv beglücken.
Trotzdem werden immer mehr Geräte mit vernetzten Funktionen ausgestattet. Häufig kostet die Zusatzfunktion nur wenige Rappen, schindet aber Eindruck. Der Hersteller will Ihnen schliesslich nicht nur die Version 1.0, sondern wenige Monate später auch die Version 1.1 und gleich darauf die 2.0 verkaufen: Dieselbe Wirkung wie geplante Obsoleszenz, aber viel edler und eleganter.
Überlegungen vor dem Kauf
Wenn Sie sich ein vernetztes Dingsda kaufen wollen, sollten Sie – schon bevor Sie sich über Produkt-Features und Herstellerauswahl Gedanken machen – Folgendes überlegen:
- Brauche ich das Gerät wirklich oder erfüllt es nur denselben Zweck wie ein anderes Gerät, das ich schon habe (bzw. mir einfach ausleihen kann), sieht aber einfach besser aus? Ist gar der Hauptzweck des Geräts nur anzugeben, cool zu scheinen oder dazugehören zu wollen?
- Brauche ich die vernetzten Funktionen wirklich? Auch wenn das bedeutet, dass ein Bösewicht das Gerät möglicherweise vollständig fernsteuern kann? Stellen Sie sich dabei das Schlimmste vor und gehen Sie davon aus, dass der Bösewicht noch einmal um einiges einfallsreicher ist als Sie. Sind die Zusatzfunktionen den Aufpreis und das erhöhte Risiko wert?
- Falls die vernetzte Funktion jemals aussteigt (der Hersteller stellt seinen Cloud-Dienst ein) oder deaktiviert werden muss (Sicherheitsbedenken): Kann ich das Gerät dann noch weiternutzen?
Nächste Seite: Produktauswahl, Installation, nach dem Kauf
Produktauswahl, Installation, nach dem Kauf
Die Produktauswahl
So, jetzt haben Sie sich entschieden, ein neumodisches Dingsda zu kaufen. Welcher Hersteller und welches Produkt darf es denn sein? Zuerst:
- Hat der Hersteller langjährige Erfahrung mit Software-Entwicklung, -Pflege und IT-Sicherheit? Wenn nicht, sollten Sie die Finger davon lassen.
Okay, damit ist Ihr Einkauf schon gescheitert; das hat die Anzahl möglicher Firmen wohl auf Null schrumpfen lassen. Aber genau dies zeigt, wie schwierig dieses Geschäft ist. Hat der Hersteller jahrzehntelang gezeigt, dass er komplizierte, einbruchssichere Türschlösser aus gehärtetem Spezialstahl herstellen kann? Grossartige Leistung, gratuliere! Aber wieso genau befähigt diese Erfahrung in Sicherheitsstahl den Hersteller bei IT-Sicherheit? Kann er damit automatisch Millionen von Webservern sicher im Internet betreiben, einen in jedem verkauften Produkt, auch bei Ihnen daheim oder in der Firma? Nein, nicht automatisch. Aber vielleicht hat er sich die Expertise ja zugekauft. Das können Sie mit folgenden Fragen feststellen:
- Sind die Geräte von Anfang an sicher konfiguriert? Wird für die Konfiguration ein einmaliges, nicht erratbares Administratorkennwort genutzt?
- Können Sie das Passwort ändern? Können Sie es zurücksetzen, falls Sie es vergessen haben? Wie wird ein Unbefugter daran gehindert?
- Kann sich jeder ohne Anmeldung mit dem Gerät verbinden? (Bei Bluetooth-Lautsprechern kann das okay sein, bei den meisten anderen Geräten nicht.)
- Wie lange wollen Sie das Gerät betreiben? Wird es dann den Hersteller noch geben?
- Werden Sicherheits-Updates geliefert? Wie häufig? Für wie lange? Wollen Sie das Gerät länger betreiben?
- Müssen Sie die Sicherheits-Updates manuell installieren? Werden Sie das auch wirklich regelmässig tun? Bestehen Sie lieber auf automatischen Updates!
- Erfasst, speichert und übermittelt das Gerät auch nur Daten, so lange sie benötigt werden? Diese Datensparsamkeit zeugt vom bewussten Umgang mit Risiken.
- Welche Daten erfährt der Hersteller und wie genau nutzt er diese? Informiert er Sie aktiv vor einer Nutzungsänderung? Können Sie dem widersprechen und das Gerät trotzdem wie bis anhin verwenden?
- Bietet das Gerät Funktionen an, die Sie nicht wirklich benötigen? Jede zusätzliche Funktion ist ein potenzielles Einfallstor.
Falls Sie die Geräte nicht nur als Privatperson einsetzen möchten, sondern als wichtige Komponente Ihrer Firma («Industrie 4.0»), sollten Sie noch folgende Fragen klären:
- Nutzt das Entwicklungsteam definierte Prozesse für die Software-Entwicklung, Qualitätssicherung und Tests? Nutzt es mindestens Werkzeuge wie Versionsverwaltung und Bugtracker? Was machen dessen Software-Zulieferer? Wie gewährleisten sie die Sicherheit?
Bei der Installation
- Wählen Sie ein neues, sicheres Passwort. Speichern Sie es in Ihrem Passwort-Manager (evtl. integriert in den Webbrowser) und legen Sie es in Papierform bei Ihren wichtigen Dokumenten ab, sodass Sie es wiederfinden können.
- Muss das Gerät wirklich Internetzugang haben? Oder reicht der Zugang innerhalb Ihres Heimnetzwerks? Oder sollte es meist ganz ohne Netz funktionieren? Richten Sie das Gerät und Ihren Heim-Router entsprechend ein; besonders in Bezug auf Freigaben, Filter und Kindersicherung.
Nach dem Kauf
Stellen Sie sicher, dass sich der Hersteller auch nach dem Verkauf noch um Sie und Ihr Gerät kümmert.
- Haben Sie von einem Sicherheitsproblem gehört oder glauben, eines gefunden zu haben? Nehmen Sie sofort mit dem Hersteller Kontakt auf. Verlangen Sie besonders in der Garantiezeit schriftlich eine Lösung des Problems in angemessener Zeit (wenige Wochen).
- Ist Ihnen durch in das Gerät eingedrungene Bösewichte Schaden entstanden? Reden Sie mit dem Juristen Ihres Vertrauens, ob eine Schadenersatzforderung sinnvoll wäre.
Viel Spass mit Ihrem neuen Produkt, möge es Ihnen lange Freude bereiten!
Information
Noch mehr IoT-Horror-Müsterchen gefällig? Lesen Sie «Smart Home des Grauens».
Kommentare
Es sind keine Kommentare vorhanden.