Das Internet der Dinge (Internet of Things, IoT) ist wohl gekommen, um zu bleiben. Bis Ende 2024 sollen laut Forbes voraussichtlich mehr als 207 Milliarden Geräte mit dem globalen Netzwerk von Werkzeugen, Spielzeugen, Geräten und Vorrichtungen verbunden sein. Neben mehr Effizienz und Bequemlichkeit bringt das IoT aber auch eine Fülle von Daten und Sicherheitsrisiken mit sich. Wie können wir unsere Daten besser schützen?
Dr. Stephan Neuhaus ist Dozent für Informatik mit Schwerpunkt Sicherheit und forscht am Institut für Informatik. Seit 30 Jahren ist er im Bereich der Sicherheit tätig und hätte ich ihn vor fünf oder sechs Jahren gefragt, woran er forscht, hätte er geantwortet «An allem, wo Security draufsteht». Inzwischen hat sich das Fachgebiet stark gewandelt und ist in Breite und Tiefe gewachsen. «Niemand kommt mehr überall mit», sagt er mir im Gespräch, «alle haben sich auf Kernthemen spezialisiert». Stephans Schwerpunktthema heisst Information Security (ISE) und er forscht unter anderem zu Datensicherheit und dem Internet of Things, kurz IoT.
«Möchten Sie sich mit Roomba 42 verbinden?»
Das IoT ist ein Sammelbegriff für Gegenstände, die mit ihrer digitalen Identität vernetzt sind und somit über ein drahtloses Kommunikationssystem wie Wifi oder Bluetooth erkannt werden. Dazu gehören zum Beispiel selbstfahrende Autos, smarte Glühbirnen, Spitäler und Städte oder vernetzte Staubsauger. Stephan sieht darin ein grosses Risiko, da Cyberkriminelle dadurch nicht bloss auf die digitale Welt einwirken können, sondern auch auf die reale. Wenn Angreifer ein elektronisches Bankkonto hacken, entsteht potenziell ein grosser finanzieller Schaden, weil der Kontostand manipuliert wurde. Dieser Schaden liesse sich jedoch prinzipiell rückgängig machen. Wird jedoch eine smarte Insulinpumpe, ein Herzschrittmacher oder ein selbstfahrendes Auto gehackt, kann dies Menschenleben gefährden. Solche Schäden lassen sich nicht einfach rückgängig machen «Die Stakes sind höher, wenn wir über die Sicherheit des IoT sprechen. Daten haben oft Backups. Menschenleben aber nicht», sagt Stephan. Ihm scheint, dass im Moment viele Produkte erscheinen, die smart gemacht und vernetzt werden, ohne dass klar ist, was diese Smartness und diese Vernetzung bringen. Er bezweifelt, dass alle Geräte ans Netz müssen. Im Moment sieht er einen wilden Westen an Produkten, die ob sinnvoll oder nicht, von Firmen «smart» gemacht werden. Diese Firmen hoffen «das nächste Unicorn» zu erfinden.
Ein weiteres Problem sieht Stephan in den durch die Vernetzung anfallenden Daten. So fertigen beispielsweise bestimmte Saugroboter eine Karte der Wohnung an, mit deren Hilfe die Nutzer:innen dann per App den Roboter steuern und etwa bestimmte Bereiche der Wohnung von der Reinigung ausschliessen können. Gleichzeitig werden diese Karten auf Servern der Hersteller gespeichert. Wem gehören diese Karten? Dürfen die Hersteller diese Karten einsehen? Und was dürfen die Hersteller damit machen? «Über diese Fragen herrscht zurzeit keine Einigkeit», sagt Stephan. Und sollte sich der Hersteller entscheiden, diese Server nicht weiter zu betreiben, könnte es sein, dass diese Funktionalität dann nicht mehr zur Verfügung stehe. Ähnliche Probleme sind in der Vergangenheit schon öfter entstanden, etwa durch die Insolvenz des Herstellers.
LinkedIn-Post Screenshot: Alexandre de Spindler von der ZHAW konnte sich problemlos mit einem Gerät der Nachbarschaft verbinden.
Gekommen, um zu bleiben: die Chancen des IoT
Neben all den Risiken, die das IoT mit sich bringt, sieht Stephan aber auch das Potenzial. Man stelle sich etwa vor, alle Autos wären miteinander vernetzt und würden teilautonom fahren. In diesem Szenario könnten Staus viel besser vermindert oder aufgelöst werden. Das Auto, das den Stau durch Bremsen initiiert, würde beim nächsten Fahrer keine Schrecksekunde auslösen, und der Stau würde sich nicht oder weniger stark bilden. Auch in anderen Bereichen verspricht das IoT Effizienz, etwa bei der Energie-/Wärmeregelung und damit mehr Nachhaltigkeit. Forschende der Empa (ETH) haben beispielsweise eine KI-Steuerung entwickelt, die die Energie eines Hauses optimal verteilt und den Wärmebedürfnissen der Bewohner anpasst.
Sicherheit durch Rechnen mit Daten, die man nicht hat
Stephans jüngste Projektidee beschäftigt sich mit Meinungsumfragen in Unternehmen. Die Expert:innen entwickeln eine Methode, bei der die Rohdaten nicht auf dem Server der Firma gespeichert werden. Stattdessen werden mit den eingehenden Rohdaten die relevanten Statistiken aktualisiert und dann sofort gelöscht. Weil sensible persönliche Daten also gar nicht vorhanden sind, können sie auch nicht eingesehen oder geklaut werden – weder von internen noch von externen Personen. Diese Methode verspricht ein hohes Mass an Sicherheit. Stephans Credo lautet treffenderweise: «Die einzigen Daten, die wirklich sicher sind, sind die, die man nicht hat».
Was passiert mit meinen Daten und wie kann ich die Geräte im IoT sichern?
Für alle intelligenten Dinge ist ein kontinuierlicher Datenfluss zwischen Kameras, Sensoren und Geräten notwendig. Wie kann gewährleistet werden, dass diese möglichst sicher sind? Stephan und weitere ZHAW-Expert:innen teilen ihre Tipps:
- Wichtigster Tipp: Ändern Sie vor der Inbetriebnahme alle voreingestellten Zugangspasswörter. Verwenden Sie für jedes Gerät ein anderes Passwort. Nutzen Sie Passwort-Manager wie KeePass oder LastPass, die Ihnen gute Passwörter generieren und verwalten können. Dieser Tipp gilt auch ausserhalb des IoT uneingeschränkt.
- Wenn möglich erlauben Sie den Geräten nur einen eingeschränkten Zugang zu Ihrem Heimnetzwerk, etwa über einen Gastzugang.
- Informieren Sie sich vor dem Kauf, welche Daten der Hersteller erfasst und was er damit macht. Wägen Sie Nutzen und Risiken gegeneinander ab.
- Die sichersten Daten sind die, die man nicht hat. Sollten Sie mit den Angeboten der Hersteller smarter Geräte nicht zufrieden sein, prüfen Sie, ob es nicht auch Geräte ohne smarte Funktionen gibt, die ihren Auftrag ebenso gut erfüllen können.
Cybersecurity an der ZHAW Institute, Netzwerke: – Information Security am Institut für Informatik, School of Engineering – Fachstelle für Process Management & Information Security am Institut für Wirtschaftsinformatik, School of Management and Law – Sicherheitskritische Systeme am Safety-Critical Systems Research Lab am Institut für Angewandte Mathematik und Physik (IAMP), School of Engineering – Fokus Kriminalität im digitalen Raum am Institut für Delinquenz und Kriminalprävention, Departement Soziale Arbeit – CYRENZH ist ein gemeinsames DIZH-Projekt von Fachleuten der ZHAW und der Universität Zürich, das Forschung betreibt, Bildungsprogramme entwickelt, ein Freiwilligen-Netzwerk aufbaut und Veranstaltungen organisiert. Weiterbildung: – CAS Angewandte IT Sicherheit – CAS Cyber Security – CAS Datenschutzberater:in – CAS Integriertes Risikomanagement |
Thanks so much, very interesting information. Now I know why I love my broom.