Bezüglich der Sicherheit im IoT ist eine der entscheidenden Fragen, ob Dinge eine Identität haben. Vom Standpunkt des Identitäts- und Berechtigungsmanagements, das die Grundfragen „Wer (oder was) darf worauf zugreifen?“ regelt, ist die Antwort klar: Alles, was auf andere Systeme zugreifen kann, hat eine Identität.

Das sind natürlich die Benutzer, aber auch Anwendungen, die direkt mit anderen Anwendungen kommunizieren und dafür heute beispielsweise oft technische Benutzerkonten verwenden. Es sind Geräte, die von Dingen Informationen anfordern, wie Apps auf einem Smartphone in Verbindung mit Fitness-Armbändern. Es können aber auch autonom agierende Dinge in einem größeren System wie einem vernetzten Fahrzeug sein, die mit anderen Dingen kommunizieren. Daher muss der Begriff der Identität auf Dienste, Geräte und Dinge ausgeweitet werden.

Nicht jedes Ding hat eine Identität

Allerdings ist es nicht ganz so einfach. Denn beispielsweise Sensoren, die ausschließlich über definierte Steuergeräte verwaltet werden und nicht direkt angesprochen werden können, benötigen zumindest aus Sicht eines übergeordneten Identitätsmanagements für das Internet der Dinge keine eigenständige Identität, wohl aber aus Sicht ihres Steuergeräts. Letztlich hängt es sowohl von der technischen „Intelligenz“ der Dinge als auch von ihrer Anbindung ab, inwieweit ein Identitätsmanagement für IoT diese berücksichtigen muss.

Es gibt aber noch weitere fundamentale Unterschiede zwischen den Dingen und dem klassischen Blick auf Nutzer, die sich in irgendeiner Form – meist auch heute noch mit Benutzername und Kennwort – authentifizieren. Für viele Geräte ist nur ein lesender Zugriff möglich. Sensoren stellen zwar oft Daten bereit, können aber nicht gezielt gesteuert werden. Aber auch getrennte Wege sind denkbar, teilweise sogar über eine physische Trennung, um aktiv Dinge zu steuern und für das Auslesen der Daten. Die Steuerung ist typischerweise für die Sicherheit wesentlich kritischer als das Auslesen von Daten.

Die englische Sprache unterscheidet zwischen „Safety“ und „Security“, also Produktions-/Produktsicherheit und IT-Sicherheit. Diese beiden Bereiche hängen bei vernetzten Dingen sehr eng zusammen. Doch ist es essenziell wichtig, sie getrennt und sorgfältig zu behandeln.

Dinge authentifizieren sich anders

Die Authentifizierung erfolgt bei Dingen anders als bei der Interaktion mit Menschen. Im einfachsten Fall sind beispielsweise Geräte-IDs vorhanden, denen vertraut wird. Diese sind jedoch potenziell einfach zu fälschen, sodass dies kein besonders sicheres Verfahren ist. Dennoch ist es zum Beispiel für die Kopplung von Geräten und Dingen oder von Geräten mit Systemen durchaus üblich, wobei in der Kopplungsphase oft noch einfache PINs zusätzlich genutzt werden, so etwa bei der Bluetooth-Verbindung zwischen einem Smartphone und dem Multimedia-System eines Autos.

Bei höheren Sicherheitsanforderungen kommen dagegen für die Kommunikation häufig eine zertifikatsbasierte Authentifizierung oder digitale Signaturen zum Einsatz. Damit lassen sich beispielsweise Steuergeräte so konfigurieren, dass sie nur Änderungsanforderungen von definierten Systemen akzeptieren.

Zugriffssteuerung im IoT

Ein solches Verfahren wirkt im ersten Moment eher umständlich, weil es scheinbar wenig flexibel ist. Tatsächlich hängt die Flexibilität aber nicht vom Authentifizierungsverfahren ab, sondern davon, wie differenziert das Autorisierungskonzept des Dings ist – ob nun Sensor, Steuergerät oder ein anderes Ding – und in welchem Maß dieses sich steuern lässt. Grundsätzlich lässt sich auch in einem solchen Ansatz ein differenziertes Modell aufbauen.

Häufig erfolgt die Kommunikation über zwischengeschaltete Systeme, die beispielsweise Daten von sehr vielen Dingen wie Fitness-Armbändern, bestimmten Komponenten von Fahrzeugen wie Unfalldatenrekorder et cetera sammeln und dann als Schnittstelle zu anderen Systemen und Nutzern dienen. Damit wird die Kommunikation stark zentralisiert, was die Verwaltung von Identitäten und ihren Berechtigungen deutlich vereinfacht und auf eine andere Ebene verlagert, bei der es sich wieder um gewohnte IT-Systeme handelt.

Statt also etwa unterschiedlichsten relevanten Organisationen und ihren Nutzern Zugriff auf vernetzte Fahrzeuge zu erlauben, erfolgt die Kommunikation zentralisiert. Das reduziert die Komplexität der Kommunikation und damit auch des Managements von Zugriffen, denn es kommunizieren nur einzelne Systeme mit bestimmten Komponenten in den verschiedenen Dingen. Der Versuch, auf der Ebene der Dinge zu steuern, welche lesenden und schreibenden Zugriffe in welchen Situationen erlaubt sein sollen, wäre eine kaum zu bewältigen Herausforderung für das Identitäts- und Zugriffsmanagement – man denke beispielsweise bei Fahrzeugdaten an die Zugriffe von Polizeibehörden unterschiedlicher Länder, an Fahrer und Insassen über ihre Smartphones, an den Hersteller, die Vertrags- und andere Werkstätten, Versicherungen sowie weitere unzählige Parteien.

Den Begriff Ransomware oder digitale Erpressersoftware kennen alle, und jeder Computernutzer, jeder Sicherheitsbeauftragte und jede IT-Abteilung fürchtet die Bedrohung. Prominente Fälle von Angriffen, die finanzielle Schäden nach sich zogen, betrafen das Neusser Lukas-Krankenhaus oder die Stadt Dettelbach (dieser und weitere Links sind über „Alle Links“ im blauen Kästchen zu finden). Wie brisant die Bedrohung durch Ransomware ist, zeigen Zahlen einer SonicWall-Studie: Erkannten die Sicherheitsforscher 2015 noch 3,8 Millionen Angriffe, so stieg diese Zahl 2016 auf 638 Millionen – 167 Mal mehr Angriffe als ein Jahr zuvor.

Das Prinzip dieser Malware, Daten oder Rechner als Geisel zu nehmen, ist bereits 28 Jahre alt. Der wahrscheinlich erste Verschlüsselungstrojaner machte 1989 als „AIDS-Trojaner“ Schlagzeilen, denn er wurde damals mithilfe von 20 000 infizierten Disketten auf einer AIDS-Konferenz der Weltgesundheitsorganisation verteilt. Im Anschluss an die Infektion eines PCs wurden nach dem 90. Systemstart Dateien verschlüsselt. Das damalige Lösegeld lag bei 189 US-Dollar – zu versenden per PO Box.

Am Anfang war der Sperrbildschirm

Erste größere mediale Aufmerksamkeit erhielt in Deutschland der sogenannte BKA- oder Bundestrojaner. Er schüchterte Nutzer mit der Information ein, auf ihrem Rechner sei illegales Material gefunden worden und ein Bußgeld sei fällig, andernfalls werde der Rechner mit einem sogenannten Sperrbildschirm blockiert.

Der Boom der Ransomware startete vor rund fünf Jahren mit CryptoLocker. Mit ein Grund für dessen Erfolg waren die Nutzung der 2008 entwickelten Kryptowährung Bitcoin und die Möglichkeiten der Dateiverschlüsselung. Die digitale Währung gewährte den Tätern eine gewisse Anonymität im Zahlungsverkehr, was die Fahndung deutlich erschwerte und damit das Risiko, entdeckt zu werden, verringerte.

Zum Erfolg trug auch die teilweise erfolgreiche Wiederherstellung der verschlüsselten Dateien nach Zahlung des Lösegelds bei. Und das publizierten die Täter mit gezielten (Falsch-)Meldungen in den sozialen Netzwerken wie Twitter. Auch die unglückliche Wiedergabe einer FBI-Meldung (siehe „Alle Links“) in deutschen Medien erzeugte den (falschen) Eindruck der oft erfolgreichen Entschlüsselung, verbunden mit einer Zahlungsempfehlung des FBI. Da häufig nur ein relativ niedriges Lösegeld gefordert wurde (in der Regel unter 500 Euro), führte dies dazu, dass insbesondere kleine und mittelständische Unternehmen bereit waren, das Lösegeld zu zahlen, um die verlorenen Daten zurückzuerhalten. Aber auch für den privaten Benutzer war das Lösegeld im Austausch gegen die Urlaubsfotosammlung eine akzeptable Option. Dadurch erhielt die Tätergruppe weitere Mittel, um nachfolgende Angriffe zu finanzieren.

Insbesondere durch den steigenden Bitcoin-Kurs entwickelte sich Ransomware zu einem sehr lukrativen Geschäftsmodell. Die Folge war ein dramatischer Anstieg der Bedrohungen mit einer Vielzahl verschiedener Verschlüsselungstrojaner, die nahezu alle Betriebssysteme und Plattformen attackieren konnten.

Die ersten Wellen großen Ausmaßes gab es 2015. Viele Benutzer wurden Opfer von TeslaCrypt oder Fusob, der für 93 % der Ransomware-Angriffe auf Smartphones verantwortlich war. Erstmals zeigten sich die Schwächen des signaturbasierten Virenschutzes deutlich. Die Angreifer waren durch gezielte Verbreitung und regelmäßige „Patches“ der Ransomware den Antivirenherstellern immer um ein paar Stunden bis Tage voraus. Prominentes Beispiel ist GoldenEye, der von namhaften Antivirenherstellern erst mit mehreren Tagen Verzögerung erkannt wurde („Alle Links“).

Angriffsvektoren für die digitale Erpressung

Technisch gesehen nutzen die Ransomware-Varianten die komplette Klaviatur aktueller Angriffsvektoren. Oft handelt es sich um Social-Engineering-Angriffe mit E-Mails, die zum Öffnen von Dateien verleiten sollen. Auch die längst totgesagten Makroviren wurden reaktiviert, um Schadcode auszuführen. Teilweise wird der Schadcode von Loader-Modulen erst im Bedarfsfall nachgeladen, um eine Entdeckung zu erschweren.

Aber auch beim normalen Surfen werden durch Drive-by-Downloads und Exploiting Schadprogramme verteilt und gestartet. Hierzu nutzen die Kriminellen teilweise Werbebanner oder im Vorfeld gehackte Content-Management-Systeme.

Mehr Opfer – mehr Gewinn

Mit dieser Vielfalt der Angriffsvektoren erreichen die Täter eine hohe Anzahl an Infektionen und somit eine Maximierung des Gewinns durch Lösegeld. Sobald sie in einem System eingedrungen sind, starten einige Varianten eine selbstständige Suche im LAN nach weiteren Opfern.

Auch sind neue Geschäftsmodelle entstanden wie „Ransomware als Service“ („Alle Links“), um die Verteilung Dritten zu überlassen und an einer Provision zu verdienen. Zudem werden im Darknet komplette Ransomware-Kits angeboten.

Die unterschiedlichen Schädlinge lernen voneinander und übernehmen Features wie das kostenlose Entschlüsseln einer einzelnen Datei zu Demonstrationszwecken. Auf technischer Ebene setzte sich die Verschlüsselung mit AES 256 durch, da andere in der Regel schnell durch die Antivirenindustrie erfolgreich aufgebrochen werden konnten.

Sicherlich wird die digitale Erpressersoftware künftig mehr andere bekannte Malware-Funktionen einbinden. Neue Infektionswege werden erschlossen werden. Denkbar ist beispielsweise die Nutzung von Fernwartungszugängen, Update-Mechanismen und vieles mehr.

Die Kampagnen werden kleiner und gezielter. Zielgerichtete Angriffe auf große Finanzorganisationen etwa sind für die Angreifer doppelt lukrativ, denn einerseits ist die Bereitschaft (und die Möglichkeit), Lösegeld zu zahlen, im Finanzsektor hoch, andererseits wird der Kurs der Kryptowährungen stetig nach oben getrieben. Gelingt es Ransomware, sich gezielt in kritische Infrastrukturen einzuschleusen, sind massive infrastrukturelle Schäden zu erwarten.

Die Ziele sind mannigfaltig und teilweise leichte Beute. Beispielsweise ist es bei Spezialanwendungen in der Medizin und in der Verteidigung aus Zulassungsgründen nur mit einem deutlich höheren zeitlichen und technischen Aufwand möglich, die notwendigen Sicherheitsupdates einzuspielen, Systeme zu aktualisieren oder Systemupgrades durchzuführen. Dies kann zu längeren Zeiten der Verwundbarkeit der Systeme führen. Somit sind Schwachstellen leichter auszunutzen. Gleichzeitig ergeben sich hier ganz neue Erpressungs- und Bedrohungsszenarien.

Am 25.05.2018 tritt die Europäische Datenschutz-Grundverordnung oder kurz GDPR (General Data Protection Regulation) in Kraft. Die GDPR ist eine Verordnung („Regulation“) und keine Direktive wie die bisherige europäische „Directive 95/46/EC“ zum Schutz von Personen bezüglich der Verarbeitung der persönlichen Daten und der freien Weitergabe solcher Informationen. Eine Direktive umfasst nur Vorgaben für die Umsetzung in nationales Recht. Erst bei Umsetzung ist sie wirksam. Eine Verordnung hingegen steht über nationalem Recht und wird unmittelbar wirksam.

Die GDPR gilt für alle Organisationen, die Daten von Personen verarbeiten, die in der EU ansässig sind. Für die Compliance zur neuen Verordnung hat es keine Bedeutung, ob es sich um ein Unternehmen handelt, das rechtliche Einheiten in der EU hat oder nicht, sondern es gilt vielmehr das Kriterium, ob die Firma Daten von EU-Bürgern verarbeitet.

Zukünftig drastische Strafen

Die Durchsetzung der GDPR übernehmen die nationalen Datenschutzbehörden und gegebenenfalls regionale Stellen. Bei Verstößen kommt es im Regelfall erst zu einer Verwarnung. Mögliche Strafen sind signifikant und betragen bis zu 20 Millionen Euro oder 4 % des gruppenweiten jährlichen Umsatzes, je nachdem, welcher Betrag höher ist. Diejenigen, deren personenbezogene Daten verarbeitet werden, sind berechtigt, Beschwerde bei den zuständigen Stellen einzulegen. Die GDPR enthält eine Vielzahl von Veränderungen im Vergleich zur bisherigen Direktive, viele davon mit erheblichen Auswirkungen. Dazu gehört insbesondere die explizite Zustimmung der Personen zur Nutzung ihrer Daten. Personenbezogene Daten sind dabei nicht nur solche, die explizit mit dem Namen einer Person verknüpft sind, sondern generell solche, die eine Identifikation von Personen ermöglichen könnten. Das ist eine sehr weite Definition.

Grundsätzlich ist eine Zustimmung zur Verarbeitung dieser Daten erforderlich, es sei denn, es bestehen Verträge, in denen dieses Einverständnis bereits geregelt ist. Diese muss aus freiem Willen, informiert und unzweideutig durch eine klare Willensbekundung erfolgen. So wird etwa die Zustimmung zur Nutzung von Cookies, wie sie heute bei praktisch allen Websites üblich ist, nicht mehr ausreichen, da hier beispielsweise der Aspekt „informiert“ fehlt und darüber hinaus eine Sammlung und Nutzung von Daten typischerweise schon erfolgt, bevor die Zustimmung gegeben wird.

Des Weiteren muss die Zustimmung zweckgebunden sein (Consent per Purpose) – sie muss auch eingeholt werden, wenn sich der Nutzungszweck von Daten erweitert. Außerdem kann sie für einzelne Nutzungszwecke rückgängig gemacht werden.

Diese Regelungen stellen einige der heute üblichen Geschäftsmodelle, die auf der sehr breiten und umfassenden Nutzung personenbezogener Daten basieren, auf den Prüfstand. Die Herausforderung wird in Zukunft sein, die Zustimmung zu erhalten und sie zu behalten.

Neben der Gestaltung der Kunden- und Konsumenteninteraktion, die grundlegend überdacht werden muss, entstehen auch technische Herausforderungen. Denn wenn eine Firma genau festhalten muss, welchem Nutzungszweck eine Person wann zugestimmt hat respektive wann die Zustimmung widerrufen wurde, muss die Organisation spätestens jetzt damit beginnen, die Prozesse und darunterliegenden Datenmodelle und Anwendungen zu überdenken. Zudem muss das möglichst für alle Kommunikationskanäle des Unternehmens einheitlich gelten, was zu signifikanten Architekturänderungen führen kann.

Hinzu kommen umfangreiche Rechte bezüglich der Einsichtnahme in die gespeicherten Daten, ihre Änderung, die zeitweilige Untersagung der Verarbeitung und die Änderung dieser Daten. Sie gehen über das „Recht auf Vergessen“ deutlich hinaus. Personen können beispielsweise Einsicht in alle über sie gespeicherten personenbezogenen Daten verlangen, die entsprechend der Definition sehr umfassend sein können. Sie können auch ihre Löschung verlangen, soweit die Daten nicht aufgrund anderer gesetzlicher Bestimmungen gespeichert werden müssen.

Recht auf Einsicht und Löschung

Es ist nicht einfach, diese Rechte technisch umzusetzen. Die erste Herausforderung der GDPR für Unternehmen ist zu analysieren, wo welche personenbezogenen Daten gespeichert und verarbeitet werden. Nur wenn das überhaupt bekannt ist, kann man die regulatorischen Vorgaben erfüllen.

Deutsche Unternehmen erfüllen in der Regel bereits die Anforderung, dass ein Datenschutzbeauftragter vorhanden sein muss. Grundsätzlich kann der DPO (Data Protection Officer) auch ein externer Mitarbeiter sein, der für diese Aufgabe beauftragt wird.

Erscheinungstermin: 23. November 2017