Konkrete Kritik an CVSS4
Marc Ruef
Elektronik und Computer gibt es schon seit einigen Jahren. Es ist jedoch noch nicht so lange her, da hat sich herausgestellt, dass man mit kundenzentrierten Lösungen die Nummer 1 auf Markt werden kann. Die breite Akzeptanz der heutigen Smartphones haben sie ihrer Einfachheit und Zugänglichkeit zu verdanken. Wenn man ein solche Gerät in den Händen hält, fühlt man sich wohl, denn man kann intuitiv seine Ziele erreichen.
Smart Homes wollen genau diesen Effekt in den eigenen vier Wänden etablieren. Die Wohnung oder das Haus soll damit zu einer grossen Anlage werden, die die Bedürfnisse der Bewohner eigenständig wahrnehmen und auf diese reagieren kann. Die Sonne macht es schwierig, das Fernsehbild zu erkennen? Das Smart Home fährt die Beschattung aus. Mittlerweile hat sich die ganze Familie vor den Fernseher gesetzt? Die Komfortlüftung wird im Wohnzimmer um 10% erhöht. Heute ist nach Mitternacht Schnee angekündigt? Die Heizungsanlage wird ab 20:00 Uhr die Vorlauftemperatur schrittweise erhöhen. Die Kinder nehmen einen Eistee aus dem Kühlschrank? Es wird in den kommenden 4 Tagen eine neue Packung bestellt.
Eine solche Integration – im Idealfall durch einen spezialisierten Gebäudetechniker vorgenommen – vermag den Komfort massgeblich zu erhöhen. Intelligent platzierte Sensoren, ihre Vernetzung und eine durchdachte Logik können viele Dinge erleichtern und verbessern. Der Wohnraum wird damit zu einem gewaltigen Computer, in dem buchstäblich gelebt wird. Er nimmt Eingaben entgegen, verarbeitet Daten und löst Aktionen aus. Im Zeitalter von Spam und Viren muss man aber nicht mehr erklären, dass damit Sicherheitsrisiken einhergehen.
Überall dort, wo Automatisierung Einzug hält, können Fehler auftreten. Die Automatisierung führt dazu, dass sich diese unter Umständen schneller und nachhaltiger etablieren können. Ein kaputter Sensor für die vollautomatische Erkennung der Sonneneinstrahlung könnte dazu führen, dass man sich bis zur Reparatur halt tagsüber nur mit einer Sonnenbrille im Wohnzimmer aufhalten kann.
Noch schlimmer wird es, wenn jemand absichtlich Angriffe anstrebt und Manipulationen durchsetzt. Der Kühlschrank vermag berechtigt zu sein, eigenmächtig Eistee nachzubestellen. Doch was ist, wenn jemand in das interne Netzwerk eindringen kann und mal eben 1 Million Eisteepackungen bestellt. Zeitliche, monetäre und juristische Aufwände können die Folge eines solchen Schabernacks sein.
In den letzten Jahren hat sich jedoch eine regelrechte Professionalisierung von Cybercrime abgezeichnet. Angreifer wollen Geld verdienen, schnell und mit möglichst wenig Aufwand. Die Bestellung von Eistee ist da aufgrund der beschränkten kommerziellen Ausbeute eine eher weniger populäre Absicht.
Vielversprechender ist zum Beispiel das Konzept der Ransomware. Ist ein Rechner mit einer Ransomware infiziert, werden die Daten verschlüsselt und können so nicht mehr gebraucht werden. Erst nachdem ein Lösegeld an den Ransomware-Entwickler gezahlt wurde, findet eine Entschlüsselung statt. Der populärste Vertreter WannaCry verlangte pro Infektion 300 USD und erwirtschaftete damit in seinen ersten 100 Stunden rund 70’000 USD.
Dieses Prinzip ist durchaus und unkompliziert auf Smart Homes übertragbar. Statt dass Daten verschlüsselt werden, können Heizungsanlagen übernommen und deaktiviert werden. Erst wer 1’000 USD zahlt, darf wieder warm haben. Ein lukratives Geschäft, das gerade zu kalten Jahreszeiten eine zügige Zahlung auslösen können wird.
Hersteller von vernetzten Anlagen tendieren dazu solche Sicherheitsbedenken zu ignorieren. Dies hat verschiedene Gründe. Zum einen kostet das Entwickeln und Integrieren von Sicherheit Geld. Das Einsparen dieser Investition erhöht die Wettbewerbsfähigkeit.
Zudem werden die bisweilen kreativen Absichten der Angreifer unterschätzt. Es habe ja sowieso niemand ein Interesse daran, eine Solaranlage zu manipulieren? Dies ist falsch. Es wird immer irgendwo jemanden geben, der sich aus den kuriosesten Gründen und mit den verworrensten Möglichkeiten einen Vorteil erschleichen will.
Und zu guter Letzt geht man oft fehl in der Annahme, dass exotische Systeme nicht oder nur mit erheblichem Aufwand manipulierbar sind. Doch nur weil etwas keine Tastatur und keinen Bildschirm hat, heisst es nicht, dass darin nicht eine handelsübliche Computerlösung eingesetzt wird. Die genutzten Technologien sind oft die gleichen oder nur punktuell abgeändert, so dass selbst der Angriff auf exotisch erscheinende Produkte mit üblichen Techniken angegangen werden kann. Ein Sachverhalt, den man auch in der Medizinaltechnik gerne unterschätzt.
Die Produktehersteller müssen sich den Herausforderungen der Cybersecurity stellen. Egal ob es sich um alteingesessene Heizungshersteller oder noch junge Smart Device Startups handelt. Sowohl die Konsumenten als auch die Behörden müssen sie in die Pflicht nehmen und grundlegende Sicherheitsbestimmungen einfordern. Hier kann man aus Jahrzenten an Erfahrung aus dem Bereich der klassischen Computer- und Netzwerksicherheit schöpfen.
Genauso müssen die Gebäudetechniker darin geschult werden, wie Smart Homes sicher installiert und betrieben werden können. Dieses Wissen muss ebenfalls zu den Wohneigentümern und Mietern durchdringen. Denn sie leben schlussendlich in ihrem intelligenten Haus und sind dessen Risiken direkt ausgesetzt.
Es ist wichtig, dass intelligente Komponenten möglichst solid, modular und autonom betrieben werden können. Ein erfolgreicher Angriff auf das Beschattungssystem darf keine Auswirkungen auf das Heizsystem haben. Die klare Trennung der Komponenten muss dabei sowohl physisch als auch logisch erfolgen. Durch eine strikte Netzwerksegmentierung kann diese durchgesetzt und nur jede Interaktion zwischen den Komponenten zugelassen werden, die auch erfordert wird. Ein Ansatz, der auch für die Sicherheit der Autoindustrie essentiell wurde.
Die Systeme müssen dabei regelmässig mit Patches und Bugfixes versorgt werden, damit bekanntgewordene Schwachstellen behoben werden können. Dieser Prozess muss möglichst einfach umsetzbar sein, so dass während des Betriebs kein unnötiger Aufwand für diese administrativen Tätigkeiten anfallen muss. Ein guter Produktlieferant garantiert zudem eine möglichst lange Unterstützung dieser Art für sein Produkt.
Komplexität ist der grösste Feind von Sicherheit. Das Zugänglich machen von Systemen über das Internet und das vernetzten der einzelnen Produkte birgt die Gefahr einer Kompromittierung. Angreifer können die neuen Möglichkeiten von Smart Homes nutzen, um direkten oder indirekten Schaden zufügen zu können. Dem muss systematisch entgegengewirkt werden.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!