ITF 2017 IoT – eine Katastrophe für Privatsphäre und Security

Imec Technology Forum

Security war ein wichtiges Thema, das auf dem diesjährigen ITF (Imec Technology Forum) in Antwerpen immer wieder unter unterschiedlichen Gesichtspunkten zur Sprache kam.

Bart Preneel, Professor an der KU Leuven und Leiter der COSIC RESEARCH GROUP, machte in seiner Keynote beim diesjährigen ITF 2017 (Imec Technology Forum) sehr deutlich, dass das IoT nur Erfolg haben wird, wenn Security und Privatsphäre bereits beim Design mit beachtet werden.

Die Anzahl der Security-Attacken wird immer größer, jüngstes Beispiel ist der Ransomware-Angriff mit der Malware WannaCry, der weltweit Computer infizierte. Mit dem IoT und den zig Milliarden Geräten, die in Zukunft mit dem Internet verbunden sein werden, sind aus der Sicht von Preneel zwar attraktive Applikationen verbunden, doch stelle das IoT auch ein riesiges Risiko für die Privatsphäre und die Security dar. Und bislang wird seiner Meinung nach noch nicht einmal ansatzweise auf dieses Problem reagiert. Dazu verweist er auf eine Analyse von Gartner aus dem Jahr 2016, bei der die Ausgaben verglichen werden, die einerseits in die Installation von Endpunkten und andererseits in die Security wandern.

Dazwischen liegen Welten, was Preneel mehr als besorgniserregend findet. Er ist überzeugt, dass wir in 20 Jahren auf das Sicherheitsproblem von heute so zurückblicken, wie wir jetzt auf einen Chevrolet von 1961 schauen: ein schönes Auto, aber technisch betrachtet ziemlich einfach. Ein weiteres Problem ist die Sammelwut von Daten – Big Data. Das Sammeln enormer Datenmengen und die darauf ablaufende Analyse ermöglichen zwar neue sinnvolle Anwendungen, wie bessere Gesundheitsvorsorge, höhere Verkehrssicherheit etc., aber sie birgt auch enorme Risiken.

In diesem Zusammenhang verweist Preneel zunächst auf die vielen bereits bekannten Angriffe auf Unternehmen wie Ebay, Uber und JPMorgan, bei denen persönliche Nutzerdaten gestohlen wurden. Er betont aber auch, dass „Big Data“ noch viel größere Datenschutzverletzungen ermöglicht. Und an den Daten seien viele interessiert, angefangen mit der NSA und ähnlichen Institutionen über Google, Facebook und Co., bis hin zu kriminellen Vereinigungen. Preneel: »Teile von Regierungen scheinen Angriff die besser Strategie als Verteidigung zu halten.« In diesem Fall verweist er auf die sog. Zero-Day-Attacken seitens FBI, CIA und NSA, deren Zahl zwischen 2006 und 2016 deutlich gestiegen ist, und stellt die Frage, inwieweit diese Lücken den Herstellern gemeldet wurden und vor allem wann?

Aber auch Unternehmen wie Google wissen die Daten zu nutzen, indem sie beispielsweise genau die Werbung auf den Bildschirm schicken, die das Unternehmen aufgrund der Analyse der Nutzerdaten für die bestmögliche hält. Man mag vielleicht noch keine Bauchschmerzen bekommen, wenn einem die richtige Werbung angezeigt wird, aber Preneel verweist darauf, dass die Analyse noch viel weitergehen könnte. Beispielsweise ließe sich aufgrund der Analyse entscheiden, ob ein Mensch in Zukunft noch eine Krankenversicherung oder einen Job erhält oder ein Haus kaufen darf. Er fragt sich, ob wir für all die coolen Applikationen, die das IoT verspricht, nicht einen hohen Preis bezahlen würden, indem wir unsere Privatsphäre aufgeben.

Um dem entgegenzuwirken, hält Preneel zwei Dinge für unabdingbar: Verschlüsselung, um die Nutzerdaten zu schützen; Daten so viel wie möglich lokal halten und nicht in die Cloud schicken. Es sei überhaupt nicht notwendig, alle Daten irgendwo in riesigen Datenzentren von Google und Co. abzuspeichern, vielmehr helfe eine lokale verschlüsselte Speicherung dabei, den Zugriff auf die Daten auch kontrollieren zu können. Die Verschlüsselung wiederum hilft aber auch, wenn man seine Daten unbedingt in der Cloud speichern möchte, denn damit könnten sie nicht mehr ungewollt genutzt werden, weder von Google und Co., noch von der NSA und ähnlichen Institutionen, noch von kriminellen Vereinigungen.

Darüber hinaus hält Preneel es für wichtig, Open Source Ansätze zu nutzen, denn nur damit wäre es möglich, Hintertürchen zu finden. Heute würde das IoT zum Großteil auf Software aufsetzen, für die der Source-Code nicht frei zugänglich ist. Damit sei auch die Verarbeitung der Daten nicht transparent, so dass potentielle Risiken für die Privatsphäre und die Security nicht untersucht und damit auch nicht gefunden werden. Würden diese drei Ansätze berücksichtigt, dann könne das IoT mit seinen Milliarden Geräten eine Erfolgsgeschichte werden, andernfalls besteht die Gefahr, dass das IoT zum Rohrkrepierer wird.