Bild: Telefónica/M. Goebel

Wenn sich die Branche nicht ernsthaft Gedanken über Sicherheit im Internet of Things macht, wird es irgendwann knallen: Sicherheitsexperte Chema Alonso plädiert im c't-Gespräch für einen ganzheitlichen Ansatz.

Chema Alonso ist ein Hacker. Geboren 1975 in Madrid, hat er sich schon früh für Computer interessiert. Seine Hacker-Karriere begann mit Datenbank-Optimierung: "Ich habe mit Oracle-Datenbanken angefangen", sagt Alonso. Nach dem Informatik-Studium promoviert Alonso über Sicherheitsthemen und spricht regelmäßig auf den großen Fachkonferenzen. Bei so einem Auftritt wurde der heutige CEO von Telefónica auf Alonso aufmerksam. "Sie haben dann meine Firma übernommen." Das Internet of Things stellt die IT-Branche vor völlig neue Aufgaben, meint der Experte. c't sprach mit Chema Alonso im Februar 2016 auf dem Mobile World Congress (MWC).

c’t: Sprechen wir über die „Schattenseite des Internet of Things“, wie es ihr Kollege John Moore nennt. Es gibt Sicherheitsrisiken, die nicht richtig angegangen werden, sagen auch Sie.

Chema Alonso: Beim Internet of Things wiederholen wir die Fehler, die wir in der Vergangenheit mit der Informationstechnik gemacht haben. 2001 habe ich als MVP mit Microsoft gearbeitet, und damals wurde Microsoft fast zerstört von Malware und diesem ganzen Zeug. Zu dieser Zeit hat Bill Gates die Trustworthy Computing Initiative gegründet und dafür Sicherheitsleute wie Michael Howard angeheuert. Sie hatten diesen fantastischen Ansatz "Sicherheit im Entwurf, Sicherheit als Standard, Sicherheit bei der Bereitstellung". Microsoft konnte so die Zahl der Sicherheitslücken verringern und Risiken reduzieren.

Chema Alonso Chema Alonso hat Informatik in Madrid studiert und über Computersicherheit promoviert. Der Sicherheitsexperte spricht auf großen Fachkonferenzen wie der Black Hat. Sein Unternehmen Informática 64 wurde von Telefónica übernommen und heißt jetzt ElevenPaths. Für den Netzbetreiber entwickelt das Team neue Sicherheitslösungen. Seit Mai 2016 ist Alonso Chief Data Officer (CDO) von Telefónica.

Apple hat dann mit OS X später die gleichen Fehler wie Microsoft gemacht. Am Anfang hieß es noch, "wir haben keine Sicherheitsprobleme", dann "wir müssen uns keine Sorgen machen", "wir brauchen kein Anti-Virus". Und dann haben sie Version für Version die gleichen Sicherheitsfeatures einbauen müssen, die Microsoft fünf Jahre zuvor mit Windows Vista eingeführt hatte. An dem Punkt sind wir jetzt beim Internet of Things. Ich höre immer mehr Leute sagen, sie könnten die Sicherheit von IoT-Geräten zertifizieren, das ist doch sinnlos. Denn sicher ist: Irgendwann wird eine neue Sicherheitslücke auftreten.

Als Sicherheitsexperte habe ich mein Geld mit Penetrationstests verdient. Einmal im Jahr testest du ein Unternehmen. Und ein Jahr ist ein ziemlich großes Zeitfenster für neue Sicherheitslücken. Es ist natürlich leicht, zu so einem Unternehmen zu gehen und einen hübschen Bericht zu schreiben und ihnen zu sagen, ich bin ein Superhacker, beauftragt mich nächstes Jahr wieder. Aber am Ende kümmerst du dich nicht um ihre Sicherheit, du misst nur das Risiko, mehr nicht. Auch im Internet of Things machen die Leute mehr oder weniger nichts anderes als Pen-Tests gegen deine Infrastruktur, um Sicherheitslücken zu finden. Das ist sinnlos.

c’t: Sie schlagen ein permanentes, Cloud-basiertes Pen Testing vor.

Chema Alonso: Genau, an 365 Tagen im Jahr. Weil wenn es morgen Probleme in einem Meeting gibt und der Techniker muss den Beamer austauschen, dann hat das neue Modell eine IP-Adresse und eine Steuerung, die aus dem Internet erreichbar ist – und schon bis du komplett offen.

c’t: Sie weisen auf eine strukturelle Schwäche im Internet of Things hin, die ignoriert wird. Sicherheit wird vom Ende her gedacht, nicht vom Anfang.

Chema Alonso: Das gleiche Problem hatten wir am Anfang auch in der IT. Man konzentriert sich auf die Geräte. Aber die meisten Devices speichern Daten in der Cloud und haben dort das Backend, über das sie gemanagt werden. Wir haben also ein IoT-Gerät, aber die Infrastruktur dahinter ist viel komplexer. Wir müssen die Sicherheit im IoT aus einer ganzheitlichen Perspektive angehen: Das Gerät absichern und überwachen, die Sicherheit des Backends testen und versuchen, neue IoT-Geräte im Netz zu erkennen.

c’t: Also brauchen wir Sicherheitsebenen im Backend und im Netz?

Chema Alonso: Ja. Die meisten dieser Dinger sind für den Administrator doch eine Black Box. Du weißt nicht, was für ein Protokoll sie benutzen. Du siehst nur TCP-Pakete und weißt nicht, was sie da ins Internet schicken. Das ist ja keine teure Technik. Jeder kann so etwas kaufen. Viele Menschen haben schon IoT-Geräte, zum Beispiel als Wearables oder Uhren. Und du weißt nicht, wo sie herkommen und welche Sicherheitsprotokolle sie einsetzen, das ist ein großes Problem für Administratoren. Und meistens liegen die IoT-Geräte gar nicht unter der Verantwortung der IT-Manager, sondern der Haustechnik, die sich um Aufzüge und Fenster und was weiß ich kümmert. Ich habe in einer Demo mal gezeigt, wie man über die Klimaanlage in ein FBI-Gebäude eindringen kann. Die hatten eine Klimaanlage, die mit dem Internet verbunden und mit einem Standardpasswort abgesichert war.

c’t: Viele kritische Infrastrukturen sind mit dem Internet verbunden, Aufzüge sind da nur der Anfang. Damit lässt sich einiges Unheil anrichten.

Chema Alonso: Wir wollen die Leute unter anderem für die Dimensionen sensibilisieren. Es ist einfach überall. Du findest IoT-Geräte überall, auch da, wo du es dir nicht vorstellen kannst. Da gibt es auch lustige Sachen wie der Kühlschrank, der deinen Google-Account veröffentlicht.

c’t: Das wird dann auch sehr persönlich.

Chema Alonso: Genau. Wir haben da eine Zero-Day-Lücke in einer chinesischen Webcam gefunden. Die Bilder dieser bewegungsaktivierten Überwachungskamera werden auf einem Webserver abgelegt. Die einzige Absicherung war, dass niemand die URL kennt. Das ist unglaublich, wenn du die Adresse herrausbekommst, siehst du eine Menge Bilder von Leuten, die zu Hause nackt rumlaufen. Bilder, die auf einem Webserver in China liegen.

c’t: Nun ist die Idee des Ganzen ja, das Internet of Things so offen wie möglich für so viele Geräte wie möglich zu machen. Und bei Sicherheit geht es immer um Beschränkungen. Wie stellt man da ein Gleichgewicht her?

Chema Alonso: Manuell lässt sich das nicht kontrollieren. Das ist unmöglich. Und da setzt unsere Idee an. Im Netz eines so großen Unternehmens wie Telefónica werden jeden Tag neue Geräte hinzugefügt. Das sind meistens Beamer, Kameras, Drucker, Klimaanlagen, eine unvorstellbare Masse an Geräten. Wenn man da Sicherheitspolicies für alle durchsetzen will, wird es unmöglich, flexibel und agil zu bleiben. Außerdem: Wenn du den Mitarbeitern Sicherheitsvorkehrungen aufzwingst, werden sie sie umgehen. Die Mitarbeiter heutzutage wissen ja eine Menge und haben eigene Infrastruktur zu Hause. Viele Telefónica-Mitarbeiter haben einen Dropbox-Account, ein eigene Home Cloud und ein NAS und sowas. Du kannst das nicht alles kontrollieren, das ist unmöglich. Also versuchen wir, die Hochsicherheitsbereiche kleiner zu machen und permanent zu beobachten, was im Netz passiert, um schwere Lücken und die schwächsten Glieder in der Kette zu finden. Das ist die einzige Methode, auch weil wir in einem Unternehmen immer weniger IT selbst managen. Wir müssen versuchen, die Entwicklung zu beeinflussen, Probleme in den Griff zu bekommen, aber wir können uns nicht hinstellen und sagen, es wird schon nix passieren. Dann bist du geliefert.

c’t: Es sollte also über die Branche hinaus einen Konsens oder Standard geben, was die richtigen Sicherheitsmaßnahmen sind. Glauben Sie, dass es einen Sicherheitsstandard für das IoT geben wird?

Chema Alonso: Ich bin da nicht sicher. Ich habe mit vielen Herstellern von IoT-Geräten gesprochen. Das ist wie beim Fußball: Jeder ist ein Experte. Und das ist ein echtes Problem. Es ist überhaupt nicht klar, wie ein Sicherheitsstandard für das IoT aussehen könnte. Das ist wie bei WLAN: Das kam in die Unternehmen, und erst später haben sie über die Sicherheit nachgedacht, weil sie gemerkt haben, dass ihr Netz völlig unsicher ist, weil da wirklich jeder reinkommt.

c’t: Sie sagen, solche Fehler dürfen wir nicht mehr wiederholen. Wir können nicht ins Internet der Dinge starten und uns dann später Gedanken über die Sicherheit machen. Das müssen wir jetzt anschieben.

Chema Alonso: Wir sehen, wie das Internet der Dinge Form annimmt und wie riesig die Dimensionen sind. Also müssen wir uns genau jetzt um die Sicherheit kümmern, um eine Sicherheitsstrategie im Unternehmen. Wenn wir ein vernetztes Gerät kaufen, müssen wir über Sicherheit nachdenken, über Datenschutz, über mögliche Probleme, die das im Netzwerk bereiten kann. Wenn wir das nicht machen, werden wir in Zukunft ein Riesenproblem bekommen.

c’t: Wer soll da die treibende Kraft sein? Netzbetreiber wie Telefónica?

Chema Alonso: Manchmal kann es nicht einer alleine. Telefónica kann natürlich ein Sicherheitsdienstleister für das IoT sein. Aber wir können nur eine Facette beisteuern, wir können nicht alles absichern.

c’t: Aber Sie können zusammen mit den Ausrüstern darauf drängen, dass die Sicherheitsfrage angegangen wird.

Chema Alonso: Das versuchen wir. Die größten Partner in den Smart-City-Projekten sind ja die Telcos. Da übernehmen wir schon Verantwortung. Und ich versuche meinen Kollegen in diesen Projekten zu helfen: Denkt zweimal darüber nach, welche Geräte ihr ins Netz lasst, welches Sicherheitsumfeld soll die Infrastruktur bekommen, wo speichern wir die Daten, die wir über die Stadt erheben, welche Schutzvorkehrungen treffen wir, welche Plattform nehmen wir, um künftige Sicherheitsprobleme lösen zu können.

Beim Hack des Stuxnet-Herstellers haben wir ja gesehen, dass sie über ein IoT-Gerät in das Unternehmen gekommen sind. Das Gleiche werden wir in Zukunft öfter sehen. Man muss bei IoT-Geräten schon genau aufpassen, sonst ist es zu spät.

c’t: Da Sie es erwähnen: Wenn man etwas wie Stuxnet aufs Internet der Dinge loslässt, kann das katastrophale Konsequenzen haben. Glauben Sie, das so etwas erst passieren muss, bis alle merken, wie ernst die Lage ist?

Chema Alonso: Im Internet der Dinge passiert wahrscheinlich gerade im Moment irgendetwas, nur kriegen wir das nicht mit. Wir haben viele Industrieanlagen und Fabriken mit IoT-Geräten, mit Informationstechnik um die Produktionsanlagen herum, und wir können nicht sicher sein, dass so etwas wie Stuxnet nicht schon passiert ist.

c’t: Wenn man kritische Infrastrukturen wie Stromerzeuger oder Wasserversorgung ins Internet bringt, glauben Sie, dass da in den nächsten fünf Jahren etwas passiert?

Chema Alonso: Wahrscheinlich. Wie haben ja erst kürzlich gesehen, wie dieses Krankenhaus in Hollywood mit der Ransomware angegriffen wurde. Die mussten bezahlen. Stellen Sie sich mal vor, dass das mit einem System passiert, das sagen wir die Ampelanlagen steuert oder die Wasserversorgung.

Wir haben 2016, da darf man in solchen Anlagen keine ungepatchte Windows-Maschine mit Administratorrechten laufen haben. In einem Bericht des US-Heimatschutzministeriums vom November 2015 habe ich gelesen, dass sie im Ministerium Windows-Maschinen mit verwundbaren Flash-Plugins und veralteten Java-Versionen mit SQL-Injection-Lücken hatten. 2015! Die SQL-Lücke wurde im Dezember 1998 entdeckt. Also fast zwanzig Jahre später hat das US Department of Homeland Security noch SQL-Injection-Lücken in kritischen Arbeitsumgebungen. Das ist doch Irrsinn.

Hinweis: Telefónica hat die Reisekosten des Autors zum MWC übernommen.