Experten-Interview 07.02.2017, 11:34 Uhr

Trügerische Sicherheit: Die Gefahren im vernetzten Zuhause

Sicherheitsexperte Marko Vogel von der Wirtschaftsprüfungsgesellschaft KPMG spricht im Interview über die Risiken, die die zunehmende Vernetzung im Smart Home mit sich bringt.
Vor einiger Zeit ist es Hackern auf der Konferenz DEF CON in Las Vegas gelungen, auf einem smarten Heizkörperthermostat Ransomware zu installieren und somit auf die Steuerung des Smart Home zuzugreifen. Wie real ist die Gefahr von Attacken in diesem Bereich tatsächlich?
Marko Vogel: Die Gefahr ist real, keine Frage. Und in der Presse finden sich nur die Gefahren, die man schon entdeckt hat. Das ist aber – überspitzt formuliert – nur die Spitze des Eisbergs. Wir haben es mittlerweile mit einer professionellen, organisierten Kriminalität zu tun. Ransomware ist inzwischen ein regelrechtes Geschäftsmodell geworden, mit dem sich sehr gut Geld verdienen lässt.
Weshalb ist es denn überhaupt möglich, dass Smart-Home-Komponenten offenbar so leicht gehackt werden können?
Vogel: Ein wesentliches Problem besteht darin, dass viele Unternehmen ein Produkt lieber schnell als ausgereift auf den Markt bringen. Letzteres umfasst eben auch eine vernünftige Sicherheitsarchitektur und entsprechende Standards – und das kostet Zeit. Die Motivation auf Unternehmensseite ist ganz klar: Man will der Erste mit einer neuen Technologie sein und sich damit die Marktanteile sichern.

Das ist ja nun ein grundsätzliches Phänomen des Markts, das man nicht verhindern kann …
Vogel: Es gibt durchaus Mechanismen, mit denen man solche Fälle von vornherein vermeiden könnte. Beispielsweise liessen sich durch eine Umkehr der Haftung die Hersteller dazu zwingen, mehr Sorgfalt walten zu lassen. Sie könnten dann in die Verantwortung genommen werden, wenn durch eine Schwachstelle, etwa in der Software, ein Schaden beim Kunden entsteht. Sollte diese Haftungsumkehr umgesetzt werden, dann wird sich jeder Hersteller sehr genau überlegen, wie viel Zeit und Arbeit er in die Überprüfung seiner Produkte investiert.

Wie realistisch ist eine solche Gesetzesänderung?
Vogel: Wir sehen gerade erste Tendenzen in den USA, wo Aufsichtsbehörden versuchen, Unternehmen stärker in die Pflicht zu nehmen. Aber sowohl in den Vereinigten Staaten als auch hierzulande müsste noch einiges passieren, um die Gesetzeslage tatsächlich entsprechend zu ändern. Zudem ist es in Zeiten eines globalen Markts mit globaler Fertigung nicht so einfach, nur für einen Markt wie Deutschland entsprechende Regeln aufzustellen. Hier müsste sich mindestens auf EU-Ebene, aber eigentlich auf weltweiter Ebene die Erkenntnis durchsetzen, dass es einer solchen Änderung bei der Haftung bedarf. 

Diese Haftung müsste dann aber auch eine gewisse Zeitspanne nach dem Kauf des Produkts einschliessen …
Vogel: Richtig. Denn auch wenn der Hersteller ein Produkt vollständig sicher auf den Markt bringt, heisst das nicht, dass dieses auch auf Jahre hinaus genauso sicher bleibt. Hier gilt es, fortwährend mit Updates von Software und Firmware nachzuarbeiten. Vielfach ist es leider so, dass ein Produkt nach dem Launch nicht weiter gepflegt wird und die Kunden beim Auftauchen einer Sicherheitslücke mit dem Problem allein gelassen werden. Vielfach wird auch ganz bewusst auf Updates et cetera verzichtet, um den Verkaufspreis niedrig und die Marge hoch halten zu können. 




Das könnte Sie auch interessieren