Bin ich richtig geschützt?

Denn es ermöglicht neue Wege der Cyberkriminalität, zum Beispiel kann der ach so »harmlose« Smart TV Teil einer Hackerattacke werden. Deshalb trafen wir uns mit Wieland Alge von Barracuda Networks, um herauszufinden, wie vor allem Hersteller ihre Geräte vor den Cyberkriminellen richtig schützen können.

In den vergangenen Wochen häuften sich die Meldungen zu Hackerangriffen auf die unterschiedlichsten Server, unter anderem auf die des Internetdienstleisters DynDNS. Dr. Wieland Alge ist Vice President und General Manager EMEA bei Barracuda Networks und arbeitete auch schon zuvor bei der Konzeption und Implementierung von internationalen Security-Projekten mit. Ebenso ist er Expertenmitglied im Datenschutzrat und berät die österreichische Bundesregierung in Datenschutzfragen. Dem i-Magazin stand er aufgrund dieser Fachkenntnisse Rede und Antwort zum Thema IoT und Cyber-Security.

Herr Dr. Alge, was bedeutet IoT?
Dr. Wieland Alge: IoT ist ein Thema, bei dem die ganze Elektrotechnik, Automatisierungstechnik und die IT wieder zusammenwachsen. Es ist ganz spannend, wie plötzlich Unternehmen ihre IT ganz anders erfinden müssen. Wenn man sich die digitale Transformation anschaut, ist es mittlerweile für fast alle Unternehmen wichtig, dass alles, was sie verkaufen, immer noch ihnen gehört bzw. sie noch immer einen Zugang haben und sie sich die Wartungsverträge sichern. Tatsächlich wird nicht mehr das Gerät verkauft, sondern das, was das Gerät an seinem Bestimmungsort macht. Infrastrukturen explodieren so aber. Durch die Vernetzung werden Geräte angreifbar. In Bezug auf Hackerangriffe gibt es vor allem zwei dominante Player: staatliche Organisationen, die zum Beispiel die Bevölkerung abhören und natürlich die großen kriminellen Organisationen, die gut organisiert sind und es verstehen, aus allem Geld zu machen.

Wie kann man daraus Geld machen? Ich höre immer, unsere Häuser sind angreifbar. Aber was wollen diese Angreifer bei dir zu Hause? Das Licht ein- und ausschalten?
Alge: Die Mafia zum Beispiel könnte dich erpressen. Sie kassiert Schutzgelder für alles. Das isolierte Smart Home ist uninteressant, aber das vernetzte und gemanagte Smart Home ist interessant. Sobald ein Haus über das Internet erreichbar ist und man ganz bewusst seine Lieferanten ins Haus lässt, um sich permanent mit den Gütern und dem Service des täglichen Bedarfs zu versorgen, wird es ein möglicher Angriffspunkt. Da stellt sich bei vielen Geschäftsmodellen natürlich die Frage, ob gleich von Beginn an »Security by design« in diese integriert wird oder man sich einfach denkt: „Machen wir einfach mal. Wenn wir rausfinden, dass wir angreifbar sind, flicken wir es halt.“ Das Blöde daran ist aber, dass es bei 1.000 Fehlern nichts mehr zu flicken gibt.

Gibt es generell die Tendenz, dass die Software, die wir am Markt erhalten, nur ca. 50 % von dem an Sicherheit bietet, die sie eigentlich bieten könnte?
Alge: Deshalb gibt es uns von Barracuda. Wir verdienen tatsächlich unser Geld damit, dass die Primärsysteme nie wirklich so verlässlich und sicher sein können.

Diese Systeme können oder wollen nicht sicher sein?
Alge: Beides. Das Ökosystem ist nicht einseitig, sondern die Kunden kaufen auch lieber unfertige Software. Wir haben uns alle schon öfter für unfertige Dinge entschieden, weil sie schneller waren. Wir wollen diese Geschwindigkeit und sind daher alle Mittäter.

Glauben Sie auch, dass die Bevölkerung viel zu wenig Ahnung von IT hat und diese mehr in die Ausbildung einfließen sollte?
Alge: Richtig. Wir sind tatsächlich IT-Analphabeten. Wir haben keine Ahnung, wie das Internet funktioniert. Ich musste mich auch fragen, wie man eigentlich mit Menschen über das Internet redet, die mit dem Internet erst so richtig mit dem Smartphone in Berührung gekommen sind.

Was passiert in Bezug auf Smart Homes, wenn in ein Haus eingebrochen wird? Da ist vor allem von Identitätsdiebstählen die Rede, auch wenn man sagt, dass man nichts zu verbergen hat.
Alge: Identitätsdiebstahl ist da tatsächlich DAS Thema. Manche Identitäten sind wertvoller und manche eben nicht. Es ist so, dass dein Haus dich auf eine gewisse Art und Weise identifiziert, indem es Dinge über dich weiß, die andere nicht wissen. Wenn andere auch dieses Wissen erlangen, kann jeder Du sein. Biometrie ist inzwischen nicht schlecht, was die Identifikation betrifft, zum Beispiel das neue Samsung-System mit dem Iris-Scan und dem Fingerprint. Diese doch einfachen Biometrie- Systeme sind aber wieder sehr gut fälschbar. Fingerabdrücke gibt es ja zuhauf. Sie wurden von uns schon überall abgegeben. Jene intelligenten Systeme, die meinen Fingerprint von anderen oder von meinem eigenen unterscheiden können, den jemand nur kopiert hat, gibt es kaum. Biometrie wird also schwierig bleiben. Ein weiterer gefährlicher Punkt ist auch, dass Menschen Passwörter wie 1234567 usw. verwenden.

Ist es möglich, dass bei einem Smart Home der modernen Generation, das über das Internet erreichbar ist und mit dem Heim-PC verbunden ist, auf meine Daten bzw. Bankdaten zugegriffen werden kann? Kann man zum Beispiel über die Kaffeemaschine, die keine Firewall hat, in das System eindringen und Daten über die Person, die dort wohnt, holen?
Alge: Das kann man tatsächlich. Es gibt natürlich Designs, die das verhindern würden. Aber keiner fragt danach.

Normalerweise läuft das PC-Netzwerk aber getrennt vom Gebäudeautomationsnetzwerk?„Das isolierte Smart Home ist uninteressant, aber das vernetzte und gemanagte Smart Home ist interessant. Sobald ein Haus über das Internet erreichbar ist und man ganz bewusst seine Lieferanten ins Haus lässt, um sich permanent mit den Gütern und dem Service des täglichen Bedarfs zu versorgen, wird es ein möglicher Angriffspunkt“, so Dr. Alge von Barracuda Networks.
Alge: Dazu braucht man eine zuverlässige Firewall. Es ist schwer, einen Elektrotechniker zu finden, der auch auf ein getrenntes Netzwerk achtet. Natürlich will man das nicht komplett voneinander getrennt haben, weil man mit dem PC auch das Haus steuern können will. Ich will es aber eben nur in eine Richtung und nicht wieder retour. Die Kaffeemaschine soll nicht beim PC nachfragen, wie es mit den Bankdaten aussieht. Das Haus soll auch nicht von außen erreichbar sein. Dazu muss man aber Internetprotokolle verstehen. Was Firewalls zum Beispiel machen, ist es, das Haus verschwinden zu lassen. Wenn man aktiv das Haus sucht, gibt es dieses dann nicht. Genauso ist es bei Windrädern oder Gefriertruhen – wenn man danach sucht, gibt es keine. Die Gefriertruhe sucht sich ihren Controller und nicht umgekehrt. Wenn mein Smart Home aber einfach nur mit meinen Steuerungsgeräten ausgestattet ist, dann warten die darauf, dass jemand auch mit ihnen kommuniziert. So werden sie auch administriert. In den letzten 20 Jahren gab es mit diesen schon sehr alten Sicherheits- und Verschlüsselungstechnologien von diesen kleinen Webservern eine nicht enden wollende Serie an Problemen. Zum letzten Mal vor ca. einem Jahr. Alle haben ihr Serverzertifikat ausgetauscht upgedatet. Die Kameras liefen weiter, wie sie waren, obwohl diese auch einen kleinen Webserver enthalten. Es gibt auch Browser und IoT-Suchmaschinen, mit denen man tatsächlich zigtausende Kameras findet, die man alle übernehmen könnte.

Wir können nicht einmal unsere Laptops und PCs vor Viren und Trojanern schützen, aber wollen das IoT? Da werden Milliarden von Devices verbunden. Das ist doch wahnsinnig.
Alge: Ich bin da hin- und hergerissen. Einerseits bin ich froh, dass das unser Geschäft ist. Wenn es für uns kein Geschäft ist, wird es ein Desaster für die Leute, die glauben, dass sie keine Security-Lösung brauchen. Security muss von vornherein mitgedacht werden.

Was bietet Ihr Unternehmen zu dieser Problematik eigentlich an?
Alge: Barracuda Networks kommt eigentlich aus der traditionellen Office-IT. Wir bieten Firewalls und Spamfilter für die Office- Netzwerke und Rechenzentren an. Als wir mit IoT-Anwendungen konfrontiert wurden, wurde uns klar, dass wir uns in Größenordnungen von 10.000 bis 30.000 Firewalls befinden. Man benötigt andere Management-Architekturen. Man trifft auf neue Komplexitätsbarrieren.

Wie sehen Ihre Vertriebswege in Österreich im Speziellen aus?
Alge: Wir verkaufen alles indirekt über Systemintegratoren. Einerseits ist das sehr IT-lastig, andererseits haben wir auch große Generalisten wie Kapsch und Telekom, das macht uns im IoT-Bereich sehr zuversichtlich.

Was den Vertrieb betrifft, ist mir noch immer nicht klar – ja, es gibt Kapsch, Telekom usw. – wie ich als Elektrotechniker in Bezug auf Smart Homes zu Ihren Produkten komme?
Alge: Auch als Elektrotechniker kann man Vertriebspartner mit relativ einfachen Schulungen werden. Wenn ich als Elektrotechniker beginne, Smart Homes zu installieren, brauche ich natürlich auch den Netzwerktechniker. Das wäre der typische Fall von jemandem, der sich auch mit Security befassen muss. Es gibt sogar ein paar Partner, die aus der Elektrotechnik kommen und dann Systemintegratoren werden.

Wie bekomme ich dann Sicherheit in mein Smart Home?
Alge: Ich denke, dass die Elektrotechniker, die schon eine gewisse Skalierung hätten (nicht der ganz Kleine), sich darauf spezialisieren und das dann als »Managed Service« anbieten. Sie erklären, dass da eine Firewall benötigt wird, jener Steuerungscomputer wird verwendet usw. Das Zeug kostet x Euro im Monat und nicht nur eine einmalige Investition wird geleistet und dann veraltet alles und man muss alles neu kaufen. Wenn etwas nicht so funktioniert wie erwartet, ruft man dann einfach an.

Es soll also Bezahlmodelle geben, durch die man immer am letzten Stand gehalten wird?
Alge: Ja, ich denke, dass das die Zukunft ist. Ich würde, wenn ich ein Smart Home bauen würde, einen Managed-Service-Vertrag abschließen wollen. Da müsste ich einen gewissen Betrag im Monat bezahlen und dann läuft das ganze einmal. Dann schaut man immer wieder, was sich inzwischen getan hat und was noch besser ginge. Smart ist ein Home ja nur dann, wenn es auch smart bleibt. Die Agilität und der technologische Fortschritt müssen mitgemacht werden können.

»Kompliziertheit ist der Feind der Sicherheit«: Wie service- bzw. schulungsintensiv sind Ihre Systeme/Software?
Alge: Sie ist für den Einzelanwender tatsächlich zu schulungsintensiv. Wenn man einen Netzwerktechniker hat, der sich mit Netzwerken auskennt, würde ich sagen, dauert es in etwa fünf Tage, bis er eingeschult ist.

Man muss sich aber wahrscheinlich dementsprechend weiterbilden?
Alge: Das ist richtig. Das sind einstündige Update-Webinare. Es ist nicht mehr so schlimm, wenn man einmal die fundamentalen Dinge verstanden hat.

Grundsätzlich ist es das Um und Auf, sich um dieses Thema zu kümmern. Denn 75 % aller Rechner können in nur wenigen Minuten gehackt werden. Daher ist es überall notwendig, Maßnahmen zu setzen, ganz egal, ob es in der Industrie oder einem Bürogebäude oder Smart Home ist.
Alge: Alle Steuerungsrechner, alle Rechner, die wir »nackt« anstecken, die gehören dann relativ schnell jemand anderem. Wenn man Glück hat, gehören sie noch immer einem selbst auch, aber jemand liest die ganze Zeit mit und kann Schabernack treiben.

Dennoch wird es schwer sein, den Elektrotechniker des Vertrauens zu finden. Von der Ausbildung her sind sie auf einer ganz anderen Ebene zu finden. Es ist ein Handwerkberuf, den man da erlernt.
Alge: Das ist klar. Der Elektrotechniker muss dann aber fähig sein und sagen, dass er im breiter werdenden Geschäftsfeld Netzwerktechniker herholt. Sie können somit auch eine Kategorie mehr verdienen.

Herr Alge, wir bedanken uns für das informative Gespräch!

Interview wurde geführt von Thomas Buchbauer und Petra Hadac.
Text: Lisa-Maria Trummer

ähnliche Beiträge