Eine Überwachungskamera oder ein Thermostat verbindet sich direkt mit dem zentralen Router des Heimnetzwerks und wird mit einem einfachen Default-Passwort wie 1234 oder 0000 freigeschaltet - ein häufiges Szenario bei IoT-Anwendungen (Internet of Things) und ein Kinderspiel für Hacker: "Hintergrund ist eine falsch verstandene Benutzerfreundlichkeit. Die Anbieter von IoT-Geräten wollen es dem Anwender so einfach wie möglich machen, vernachlässigen dabei aber das Thema Sicherheit sträflich. Security war in diesen Fällen nicht Teil der Designphase des Produkts", erklärt Stefan Strobel, Geschäftsführender Gesellschafter und Gründer des auf Informationssicherheit spezialisierten Unternehmens Cirosec.

Für Hacker seien selbst im Programmcode der Firmware eingebettete Passwörter einfach auszulesen, die dem Hersteller bei der Wartung helfen. "Ich nenne das Security by Obscurity: Der Entwickler glaubt fälschlicherweise, dass niemand das Passwort findet, weil es nirgends dokumentiert ist. Das zeigt mangelndes Sicherheitsbewusstsein und -wissen", so Strobel weiter. Er rät den Herstellern in diesem Fall dazu, Passwörter oder auch Kryptografie-Schlüssel in speziellen TPM (Trusted Platform Module)- oder Crypto-Chips abzulegen, damit sie nicht ausgelesen werden können.

Spannungsfeld: Kosten und Time to Market versus Sicherheit

Doch Hardware-Chips und ein stärkerer Fokus auf Sicherheit beim Design der Anwendung erhöhen die Kosten bei der Entwicklung und verzögern die Marktreife des Produkts. Insbesondere Startups, die ihr Produkt schnell auf den Markt bringen wollen oder müssen, stehen in diesem Spannungsfeld. Oft bleibt dabei IT-Sicherheit auf der Strecke. "Viele IoT-Anbieter haben wenig Erfahrung mit Security und unterschätzen die vielen IT-Probleme, die sie sich mit IoT-Geräten ins Haus holen. So fehlt beispielsweise häufig eine Update-Strategie für die Behebung von Sicherheitslücken. IoT-Sicherheit ist kein einmaliges Ereignis, sondern Firmen müssen sich auf Veränderungen einstellen und das Produkt auch in Zukunft unter dem Aspekt Sicherheit betreuen", betont Dirk Kollberg, Senior Security Researcher bei Kaspersky.

Beispiel Eins: Durch die jährlich steigende Rechenleistung können Hacker ältere Verschlüsselungsmethoden schneller aufbrechen. Daher müssen Entwickler schon beim Design der Anwendung darauf achten, dass die ursprünglich eingesetzten Kryptografie-Schlüssel im Laufe der Zeit durch komplexere Schlüssel ersetzt werden können. Nur dann können sie ein hohes Sicherheitsniveau auch in Zukunft halten.

Beispiel Zwei: Viele Entwickler nutzen Open Source-Libraries etwa für die Programmierung von SSL. Wenn es dort Schwachstellen gibt und die Libraries aktualisiert werden, müssen Unternehmen die Veränderungen in ihre Software übernehmen und an den Nutzer weitergeben. Sonst drohen ernsthafte Konsequenzen: "Angreifer suchen sich immer den einfachsten Weg und greifen die Komponente an, die am wenigsten geschützt ist", so Dirk Kollberg.