"Technik wird von Menschen gemacht – da können immer Fehler passieren"

Report: Wie sehen Sie die Hersteller im Smart-Home-Bereich im Bezug auf Angreifbarkeit und Sicherheit ihrer Lösungen aufgestellt?

Markus Hirsch: Jedes Gerät ist theoretisch angreifbar – die einen schwerer, die anderen weniger schwer. Wenn Sie von Notebooks ausgehen, deren Betriebssysteme seit vielen Jahren entwickelt und abgesichert werden und die trotzdem angreifbar sind – dann gilt genau das auch für alle anderen Geräte, die auf den Markt kommen. Hat ein elektronisches Türschloss eine Netzverbindung, ist es ebenso angreifbar wie ein Notebook oder ein Smartphone. Hier stellt sich immer die Frage, wie groß die Angriffsfläche von Haus aus sein muss. Muss das Türschloss im Gegensatz zu meinem Smart-TV nicht nach außen kommunizieren, habe ich schon viel gewonnen.

Report: Braucht es überhaupt eine Sicherheitslösung, wenn ein Gerät oder eine Maschine gar nicht mit der Außenwelt verbunden ist?

Markus Hirsch: Wir waren lange Zeit der festen Überzeugung, dass Geräte von Haus aus geschützt sind, wenn sie nicht am Internet hängen. Dann wurden vor Jahren Tools bekannt, mit denen bei gezielten Angriffen allein über die Abstrahlung von Bildschirmen und Rechnern automatisiert Daten ausgelesen werden und in Systeme eingedrungen werden konnte. So wurde auch schon gezeigt, dass mit einem herkömmlichen Smartphone, das neben eine Tastatur gelegt wird, der eingetippte Text anhand von Vibrationen ausspioniert werden kann. Bei all diesen Methoden wurde das IT-System nicht geknackt und es wurden auch keine Sicherheitslücken ausgenützt.

Letztlich ist alles, was smart ist, auch angreifbar, und der Angriff kommt mitunter über einen Kanal, der bei Sicherheitskonzepten vernachlässigt wird. So wurde bereits auch das Hacken von Smart-TVs demonstriert, indem über eine Drohne vor dem Wohnzimmerfenster ein starkes DVB-T-Signal an das Gerät geschickt wurde. Das herkömmliche Fernsehsignal wurde übergangen, der Angriffscode so in den Fernseher eingeschleust. Wenn dann ein Fernseher mit Kamera und Mikrofon ausgestattet ist, kann auch das missraucht werden. Ich muss als Angreifer ja auch nur einen Koffer am Gang stehen lassen – das funktioniert dann genau so. Ein Angreifer muss gar nicht so weit gehen, persönliche Daten auszuspionieren. Es reicht schon, Infrastrukturen mit Denial-of-Service-Attacken in die Knie zu zwingen.

In vielen Platinen in Server- und Gerätehardware sind bereits fix Fernwartungszugänge eingebaut – dies ist vom Betriebssystem unabhängig. Eine Schwäche eines Systems kann etwa die Verwundbarkeit einer kleinen Komponente wie ein Brandmelder sein. Technik wird von Menschen gemacht und da können immer Fehler passieren.



"Es liegt in der Verantwortung des Infrastrukturbetreibers, des Hausbesitzers, sich eine geeignete Security-Lösung zu besorgen", so Markus Hirsch, Fortinet.


Report: Was ist nun ein leistbarer Stand der Technik, um ein Smart Home abzusichern?

Hirsch: Zum einen kann man es wie Cäsar halten: teile und herrsche. Mit einer entsprechenden Segmentierung im Heimnetzwerk ist der Bereich der Türschlösser von anderen Bereichen abgeschottet. Auch die Bereiche der Brandmelder oder etwa der Pool-Steuerung sind dann von der Ebene der User, die im Internet surfen, getrennt. Sollte tatsächlich aber ein Gerät kompromittiert werden, ist der Schaden begrenzt. Die Smart-Home-Hersteller können solche Lösungen aber eigentlich gar nicht anbieten, da sich die Haustechnik gesamtheitlich nicht in ihrem Einflussbereich befindet. Sie sehen ihre Inselkomponenten, aber nicht das große Ganze. Es liegt in der Verantwortung des Infrastrukturbetreibers, des Hausbesitzers, sich eine geeignete Security-Lösung zu besorgen, welche diese Netzwerksegmentierung durchführt. Diese Technologien gibt es – auch zu vernünftigen Preisen für den Consumer-Markt. Fortinet hat 2014 in einer Studie rund 2.000 Leute zum Thema Connected Home befragt. 61 % der Befragten waren damals schon überzeugt, dass sie sich in den kommenden Jahren damit beschäftigen werden. Immerhin die Hälfte meinen, dass die Dienstleistung Techniksicherheit von Professionisten erbracht werden sollte. Man braucht jemanden, der sich damit auskennt - und das darf auch etwas kosten. Ich denke, dass diese Zustimmung weiter wachsen wird.

Report: Wo sollte Ihrer Meinung nach nun Security übergreifend im Heimnetz implementiert sein – im Router, der die Verbindung nach außen verwaltet?

Hirsch: Der Router ist sicherlich ein wesentlicher Bestandteil. Sich rein auf den Internetprovider zu verlassen ist sicherlich zu wenig. Ein Provider kann nicht verhindern, dass mein Smart-TV unbefugt mit meinem Türschloss redet und es aktiviert. Sicherheit wird auf Dauer aber vermutlich in alle Komponenten integriert werden müssen – überall dort, wo Software im Inneren ist. Die Gebäudetechnik entwickelt sich ebenso wie die Computertechnik weiter. Die Rechenleistungen in den Komponenten werden steigen und weniger Platz und Strom verbrauchen. Security als Funktion an Bord wird dann wesentlich einfach zu bewerkstelligen sein, als es heute ist.

Irene Marx: Wir sind überzeugt, dass geschultes Fachpersonal immer wichtiger wird. IT wächst in alle Infrastrukturen – auch ein Elektriker wird sich in manchen Bereichen mit dem Thema beschäftigen müssen. Es sollte zumindest auch ein Verständnis da sein, nicht nur Technikteile ins Haus zu schrauben, sondern auf einer größeren Ebene ein Gesamtbild über ein Netzwerk – und welche Geräte miteinander verbunden sind – zu bekommen. In diesem Bereich wird es Schulungs- und Fortbildungsmaßnahmen in den Elektroinstallationsbetrieben geben müssen. Dies beginnt schon beim Thema Smart Metering.

Report: Sie sprechen von Expertenwissen, das für das intelligente Gebäude nötig ist.

Hirsch: Ja, aber nur zum Teil. Wenn ich als einfacher Nutzer eine Gebäudesteuerung einrichte und dabei das Standardpasswort des Herstellers nicht verändere – dann ist das kein Expertenwissen, das hier notwendig wäre.

Marx: Die größte Aufgabe hier ist die Aufklärung – sowohl bei den Nutzern als auch bei den Herstellern. IT-Sicherheit in der Gebäudetechnik ist mitunter keine Rocket Science. Es geht einfach um die Awareness.



"IT-Sicherheit in der Gebäudetechnik ist keine Rocket Science. Es geht einfach um die Awareness für diese Lösungen", sagt Irene Marx, Geschäftsführerin Fortinet.

Report: Es sollte doch für Hersteller ein Leichtes sein, ein Gerät so zu bauen, dass nach einer erstmaligen Installation automatisch ein neues Passwort eingerichtet werden muss.

Hirsch: Natürlich, bei einem Einrichten von Windows wird genau das auch gemacht. Das sollte nun auch in der Gebäudetechnik Stand der Technik sein. Doch Softwareentwicklung ist nicht gerade billig und in welche Funktionalität investiert wird, ist meist eine Frage des Geldes. Viele Firmen versuchen hier den Aufwand zu optimieren. Auch regelmäßige Software-Updates sind ein großes Thema. Ist es den Benutzern zuzumuten, hier die Übersicht zu bewahren? Gibt es überhaupt eine einfache Möglichkeit für den Nutzer, selbst das System auf den neuesten Stand zu bringen?

Report: Die IT hat bisher bewiesen, dass kein technisches System unverwundbar, hundertprozentig sicher ist. Braucht es da nicht auch ein Umdenken bei Sicherheitslösungen?

Hirsch: Ja, das braucht es – und das geschieht auch. Wurden früher Codezeilen miteinander verglichen und auf Malware geprüft, passiert das mittlerweile über Verfahren der Mustererkennung wesentlich abstrahierter. Über Heuristik werden auch Schadcodes identifiziert, die erstmals in einer bestimmten Form auftreten. Diese werden dann auch von Expertensysteme in der Cloud überprüft. Zentrale Schnittstelle dabei ist der Router im Hausnetzwerk, der seine Updates mitunter stündlich automatisch eingespielt bekommt.

Marx: Moderne Router sind auch fähig zu lernen. Sie bauen ihre Mustererkennung auf dem auf, was sie selbst – oder andere Router – erfahren haben. Die Sicherheitstechnologie arbeitet dabei auf beiden Ebenen: reaktiv und proaktiv.

Report: Könnte eine solche Schnittstelle nicht auch für die Software-Updates der Einzelkomponenten im Gebäude sorgen – also in Richtung Gesamtlösung?

Hirsch: Gerade bei kleineren Netzwerken ist das eine Herausforderung, die schwer lösbar ist. Auch ein Router hat eine begrenzte Leistung und ein Expertensystem mit allen Informationen sämtlicher Hersteller zu füttern wäre schwierig. Heute ist eine Art Fingerprinting aller Komponenten im Netzwerk umgesetzt, um zumindest die Information zu den genutzten Betriebssystemen zu bekommen. Damit können zumindest Fachleute etwas anfangen. Letztlich wäre aber ein Security Operation Center, wie es im Fachjargon heißt, eine praktische Dienstleistung für Haushalte. In großen Gebäuden und Büroanlagen ist dies ja schon der Fall und gemeinsam mit den verschiedenen Steuerungssystemen in den Betriebskosten eingerechnet.

Report: Welche Unternehmen adressiert Fortinet in Österreich? Wer sind Ihre Kunden?

Marx: Das Securitybedürfnis in Österreich ist von der Unternehmensgröße unabhängig und erstreckt sich über alle Branchen. Wir haben typische kleine Kunden, wie den Tischler ums Eck, bis zu großen herstellenden Betrieben, darunter Industrieunternehmen die bei ihrer Anlagen- und Maschinensicherheit auf uns setzen. Und wenn etwa Teile von Anlagen von unterschiedlichen Unternehmen – beispielsweise Eigentümer und Energieversorger – betrieben werden, ist ebenso eine Netzwerk-Segmentierung in der IT-Sicherheit gefragt. Manche Komponenten müssen ja trotz Firewall miteinander kommunizieren können.

Wir decken mit unserem Produktportfolio für die Sicherheit von Infrastruktur alle Unternehmensgrößen ab, bieten aber auch für kleinere dieselben Funktionalitäten. Auch die Grenze zum Consumer-Markt verschwimmt zusehends. Kleinbetriebe benötigen professionelle Lösungen, die sie auch selbst bedienen können. Wir haben auch Private, die bereits einen unserer Router zu Hause stehen haben, um im Homeoffice sicher mit dem Firmennetz verbunden zu sein.

Report: Gibt es einen Trend zur Auslagerung von Services auch im Betrieb von Anlagen? Betrifft dies auch die IT-Security?

Hirsch: Das hängt vom Betreiber ab. Die namhaften produzierenden Betriebe haben ihre eigenen IT-Abteilungen. Diese Unternehmen geben auch die IT-Sicherheit nicht aus der Hand. Für ein Vier-Sterne-Hotel in Tirol, dessen Anlagentechnik sich vielleicht auf Pool-, Sauna- und Lichtsteuerung beschränkt, ist das wiederum kein Kerngeschäft. Dort werden auch Sicherheitslösungen ausgelagert – hoffentlich an einen Haustechniker, der auch an entsprechende Securitymaßnahmen denkt.

Zum Unternehmen
Fortinet ist ein Anbieter von leistungsstarken Cyber-Sicherheitslösungen und schützt Ressourcen von Unternehmen, Serviceprovider und Behörden - mehr als 210.000 Kunden weltweit. Über die reine Netzwerksicherheit hinaus werden Security-Anforderungen auch in Applikations- oder mobilen Umgebungen sowie in der Cloud erfüllt.
www.fortinet.com