Warum IoT-Geräte nicht ins Internet gehören

Gespeichert von Matthias Heinz am Di, 30.01.2018 - 09:51

Die fortschreitende Automatisierung in unserer Gesellschaft findet langsam auch in der eigenen Wohnung statt. IoT-Geräte können immer mehr und werden immer günstiger. Von den Herstellern wird viel versprochen, aber die meisten sind nur auf kurzfristige Gewinne aus, worunter die Sicherheit leidet. Im Folgenden möchte ich kurz auf die Probleme eingehen, aber auch Möglichkeiten zur Einschränkung dieser aufzeigen.

Begriffsdefinition

Das Kürzel IoT steht für Internet-of-Things. IoT-Geräte bezeichnen kleine eingebettete Computer, die steuern, messen und regeln und gleichzeitig über einen direkten oder indirekten Weg mit dem Internet verbunden sind. Beispiele für solche Geräte sind Heizungs- und Lichtsteuerungen, die über das Smartphone von überall auf der Welt gesteuert werden können. Aber auch Kühlschränke und Waschmaschinen werden mittlerweile mit dieser Technik ausgestattet.

Wo liegen die Probleme

Problematisch bei der heutigen Technik sind die kurzen Produktzyklen. Davon sind auch die IoT-Geräte nicht ausgenommen. Nach wenigen Jahren, ja eher Monaten, werden die Geräte nicht mehr produziert und fast immer endet damit auch der Herstellersupport und es gibt keine Softwareupdates mehr dafür. Dabei werden besonders Hausinstallationsgeräte, wie Lichtschalter, Steckdosen oder Heizungssteuerungen über Jahrzehnte hinweg, teilweise bis zu 50 Jahre, benutzt.

Viele der Geräte erfordern zum Betrieb eine dauerhafte Internetverbindung, um auf ein Herstellerportal zuzugreifen, von dem aus diese gesteuert werden können. Stellt der Hersteller irgendwann den Betrieb dieser Plattform ein oder schließt sein Geschäft, werden solche Geräte unbrauchbar. Die dauerhaft notwendige Verbindung über das Internet hat in der Vergangenheit bereits dafür gesorgt, dass bei einem Ausfall dieser Heizungen nicht mehr funktionierten, das Licht nicht mehr anging oder einige vor verschlossener Tür standen, weil das Schließsystem nicht mehr die Tür öffnete.

Hinzu kommt, dass die Geräte untereinander nicht kompatibel sind. Will man nur eine Plattform oder App für alle seine Geräte haben, so ist man zwangsläufig an einen Hersteller gebunden. Kommt es zu Problemen mit diesen Geräten, so müssen alle ausgetauscht werden. Auch bedeutet das bei der Anschaffung, dass man der Preispolitik eines Herstellers ausgeliefert ist und viel mehr zahlen muss, nur um ein einheitliches System zu erhalten.

Besonders bei frühen Funkgeräten wurden die Daten unverschlüsselt übertragen. Einige günstige Geräte machen das bis heute. Die Funkverbindung in Zusammenhang mit der mangelhaften Updatepolitik der Firmen kann auch bei verschlüsselten Verbindungen zu einem Problem werden. Nämlich dann, wenn Fehler in der Implementierung des Funkprotokolls entdeckt werden. Dann muss die Verschlüsselung nicht geknackt, sondern kann das Gerät über diese Lücke direkt übernommen werden.

Warum ist das alles überhaupt ein Problem?

Durch die massenhafte Verbreitung von IoT-Geräten werden diese immer interessanter für Schadsoftwareentwickler. Diese übernehmen ungesicherte Geräte, aber vermehrt auch IoT-Geräte mit Softwarefehlern und nutzen diese für ihre Zwecke. Über infizierte Geräte können diese dann oft auf das interne Netzwerk zugreifen und versuchen dort persönliche Daten abzugreifen. Beliebt sind aber auch Klickbetrug bei Anzeigenwerbung oder die Störung von Webangeboten durch massenhaftes aufrufen dieser (ein sogenannter Denial of Service, DoS). Beides sind Straftaten, die Haftung hierfür liegt aber auch beim Betreiber der Geräte. Unwesentlich hierbei ist, dass die Geräte dadurch mehr Strom verbrauchen und eventuell vorzeitig kaputtgehen.

Reale Vorfälle

Abseits des alljährlichen Lästerns von Fefe, der darauf wartet, dass jemand "Blinkenlights" mit Wohnsiedlungen spielt, gibt es bereits reale Angriffe durch Botnetze, die auf IoT-Geräten laufen, wie zum Beispiel Mirai. Aber auch Einbrecher benutzen die neue Technik schon dafür, um ohne Spuren in Wohnungen einzudringen. Wie einfach das geht hat der BR letztes Jahr hier beschrieben.

Kaufratgeber

Mit diesem Artikel will ich keine unnötige Panik schüren, denn solche Geräte erleichtern uns durchaus den Alltag. Es ist etwas Angenehmes morgens ins Bad zu kommen und es ist warm, ohne, dass die gesamte Nacht die Heizung durchlaufen musste. Daher möchte ich ein paar Hinweise geben, worauf bei einem Kauf geachtet werden sollte.

Als Erstes sollten Kabel-gebundenen Lösungen immer Vorzug gegeben werden. Auch wenn der Installationsaufwand höher ist können bei solchen Geräten keine Schwachstellen im Funkprotokoll ausgenutzt werden. Falls es dann doch nicht anders geht, dann sollte beim Kauf darauf geachtet werden, dass das Gerät einen Standard wie zum Beispiel Bluetooth benutzt, da dort Verschlüsselungsmechanismen direkt eingebaut sind.

Gemieden werden sollten Geräte, die eine dauerhafte Internetverbindung brauchen, um zu funktionieren. Auch Geräte, die zwingend eine Portalseite des Herstellers brauchen, um mittels App von außen darauf zuzugreifen, sind nicht zu empfehlen, da bei Abschaltung dieser Portalseite kein externer Zugriff mehr möglich ist.

Wenn die Geräte im heimischen Netzwerk angemeldet sind, wie zum Beispiel WLAN-Kameras, dann sollten diese Geräte vom internen Netzwerk isoliert werden. Das ist nicht unbedingt einfach, wenn man es das erste Mal macht und setzt einiges an Vorwissen voraus, doch sorgt es dafür, dass ein infiziertes Gerät keinen Zugriff auf persönliche Laptops, Handys, etc. hat. Insgesamt sollten die Geräte möglichst beschränkt sein, was den Zugriff aufs Internet angeht. So kann es zwar infiziert werden, der Schadcode hat aber keine Möglichkeit Schaden anzurichten.

Im Idealfall gibt es keinen direkten Zugriff vom Internet auf die Geräte. Zum Zugriff muss das zugreifende Gerät, zum Beispiel das Smartphone, über eine DynDNS-Adresse und ein VPN erst einmal sich am lokalen Netzwerk anmelden. Danach können die eigenen IoT-Geräte über eine App ferngesteuert werden. Das klingt erst einmal nach viel Aufwand, aber moderne Router und Smartphones bieten heutzutage beide die Möglichkeit einfach ein VPN einzurichten. Des Weiteren gibt es DynDNS-Anbieter wie Sand am Meer, fällt einer weg, so muss nur ein neuer eingetragen werden, das System insgesamt bleibt aber funktionsfähig.

Mein persönliches Fazit

Aus meiner Erfahrung weiß ich, wie einige Hersteller von IoT-Produkten mit Kundenanfragen umgehen. Der vorgeschaltete Support versucht bei Problemen bestmöglich abzuwimmeln, selbst wenn eine genaue Problembeschreibung geliefert wird. Viele Hersteller reagieren erst, wenn große Zeitungen bei der Pressestelle nachfragen. Die Produkte mögen einige Jahre halten, aber die Softwareunterstützung lässt zu wünschen übrig und Updates gibt es nur auf Druck von außen. Daher gehören IoT-Geräte nicht oder nur sehr stark abgeschottet ans Internet.

Dabei könnte es viel besser sein. Ein einheitlicher Standard würde sicherstellen, dass Wetterstation und Thermometer mit der Heizungssteuerung spricht. Freie Software auf den Geräten, die oftmals sowieso auf freier Software basieren, und automatische Buildsysteme dafür, würde garantieren, dass auch in 30 Jahren noch Updates erstellt werden können. Ich persönliche verzichte erstmal (oder baue meine IoT-Geräte eben selber auf der Basis von Komponenten, die freie Software unterstützen, wie dem Raspberry Pi).