IT-Security @home: Wie ich das Botnetz vermeide

Technik und Gadgets haben sicher auch dieses Jahr für Kinder, Jugendliche und Erwachsene unterm Weihnachtsbaum gelegen. Doch wie damit umgehen? Anwender und Technikfreunde stehen vor der Herausforderung, zwischen Begeisterung und Faszination einerseits und Sicherheit und Privatsphäre andererseits tragfähige Entscheidungen auf Basis sinnvoller Maßstäbe zu finden.

Um es vorwegzuschicken: Ich liebe technisches Spielzeug und Gadgets aller Art und habe in meinem Leben viel Nützliches, Unnützes und völlig Überflüssiges besessen, ausprobiert und eingesetzt. Je nach Kosten und Nutzen waren dann Freude oder Ärger unterschiedlich groß, je nachdem wie gut oder schlecht das jeweilige Objekt der Begierde war.

Doch in den letzten Monaten hat sich vieles grundlegend geändert: Eine Vielzahl von Devices, das Internet der Dinge und damit viele hilfreiche und mindestens genau so viele sinnlose Dinge mit Intelligenz und Netzwerkanbindung tauchen immer häufiger in Privathaushalten auf. Mit dem Wort Vernetzung werden Freude, aber auch Ärger und Schaden in neuen Dimensionen möglich.

Das verbogene Plastikspielzeug mit viel zu schnell leeren Batterien, das schnell in der Ecke landete, war gestern. Heute laden wir das untaugliche oder potentiell bösartige Gerät wieder auf und schaden damit uns, unserer Netzwerksicherheit, oder unserer eigenen Privatsphäre. Es kann aber auch den Nachbarn oder die Allgemeinheit in Form des nächsten Opfers einer Botnetz-Attacke betreffen. Mit großer Wahrscheinlichkeit merken wir es dann nicht einmal. Die Tatsache, dass die typischen Consumer als Empfänger von Geschenken nicht zwingend die notwendige Sensitivität beim Umgang mit komplexen technischen Infrastrukturen und deren Endgeräten an den Tag legen, tut hier ein Übriges.

Geiz ist…

Eine Vielzahl gezielt kostengünstig (um nicht billig zu sagen) produzierter mobiler Devices, insbesondere Tablets, überschwemmen Discounter, Elektronikmärkte und Heerscharen von Versendern im Internet. Vordergründige Leistungsmerkmale (Displaygröße, kostenlose Software oder eben der günstige Preis) überdecken das Vorhandensein veralteter und dokumentiert unsicherer Betriebssystemstände. Dies geschieht in Tateinheit mit der mangelnden Möglichkeit, nachhaltig Updates und Sicherheits-Patches zu beziehen und sie auch vertrauenswürdig einzuspielen. Möchte man einem solchen Gerät dann vertrauliche Daten, Fotos, Chats oder gar sein Homebanking anvertrauen? Sicher nicht.

Die Investition in ein marginal teureres und dafür durch einen gewährleisteten Pflegeprozess abgesichertes Markengerät ist eine Investition in die eigene Sicherheit und Privatsphäre. Oft machen diese Investitionen sich schon bei der Inanspruchnahme von einfachsten Reklamationen im Rahmen der Gewährleistung bezahlt. Auch die Entscheidung für vermeintlich deutlich teurere, aber konzeptionell sicherere Plattformen ist im Zweifelsfall eine Überlegung wert. Auch wenn es Elektronikgroßhändler nicht gerne so in der Werbung darstellen: Billig alleine ist nicht der einzig sinnvolle Maßstab.

Patchen

Intelligente Geräte in Kinderzimmer, Wohnzimmer und im ganzen Haus stellen Sicherheitsanforderungen ganz neuer Art. Hier gibt es leider die vollständige Palette der Möglichkeiten an Ursachen. Diese reicht von „konzeptionell unsicher“, „von Werk ab mit Hintertüren und versteckten Funktionalitäten versehen“, über „durch Unvermögen unsicher implementiert“ bis hin zu „veraltet“ oder einfach „ungepatcht“. Prüfen Sie am besten vor dem Einkauf, was Sie da Ihren Kindern, Eltern, Freunden oder Ihrem eigenen Haushalt aufbürden. Informationsquellen gibt es dank weltweit vernetzter Produktinformations-Quellen und Testberichten meist genug. Versiertere schauen auch mal bei der IoT-Suchmaschine Shodan vorbei, um herauszufinden, welche Typen potentiell zu beschaffender Geräte mit dem Internet verbunden sind, wo sie sich befinden und ob sie bedroht sind oder gar schon ausgenutzt werden.

Benutzer klassischer IT-Geräte von Windows bis macOS und iOS sind zwar nicht wirklich verwöhnt, wenn es um den Komfort von Update-Prozessen geht, aber hier sind diese üblicherweise wohl-definiert und lassen sich mit vertretbarem Aufwand umsetzen. Das Update von anderen Geräten kann sich aber aufwändig gestalten, gerade wenn es hier um viele Geräte geht. Die Nutzung von SD-Karten und USB-Sticks ist insbesondere für Geräte notwendig, die entweder nicht mit dem Netz direkt verbunden sind oder Updates nicht online beziehen wollen. Damit wird dann das notwendige Update beschwerlich und im Einzelfall kann schon der reine Zeitaufwand die vermeintlich eingesparten Beschaffungskosten mehr als wettmachen.

Zurückschicken

Die Gruppe der Geräte, die nicht für die Möglichkeit einer Aktualisierung der installierten Software vorgesehen sind, wächst dramatisch. Als Paradebeispiel gelten hier Überwachungskameras, die auch schon in der aktuellen Berichterstattung über massive Botnetze traurige Berühmtheit erlangt haben. Aber viele andere Geräte, gerade niedrigpreisige, gehören ebenfalls zu dieser Kategorie. Festzuhalten gilt: Geräte, die man nicht patchen kann und damit praktisch sofort oder in naher Zukunft direkte Bedrohungen darstellen, haben in keinem Haushalt etwas zu suchen.

Hat man dies nicht schon vorher durch Produktrecherche herausfinden können, oder ist man der unglückliche Empfänger eines solchen Geschenkes, ist dieses zwingend im Rahmen der Gewährleistung zurück zu senden. Dies sollte der Beschenkte trotz anfänglicher Begeisterung prüfen. Ein unsicheres Gerät im Familien- wie im Unternehmensnetz reißt eine Lücke in jede, auch in ansonsten gut abgesicherte Infrastrukturen. Sicher bietet sich manchmal die Option, ein Gerät vom Internet getrennt, etwa in isolierten Netzen, zu betreiben. Aber dies widerspricht dann in praktisch jedem Fall der grundlegenden Konzeption des Internets der Dinge und wird den Standard-Anwender überfordern.

Vermeiden

Drohnen, etwa Quadrocopter für den Hausbedarf, werden immer beliebter. Schaut man sich in seinem privaten Umfeld oder auf der eigenen Straße um, bekommen das Internet of Things und die damit verbundenen Gefahren ein wirkliches Gesicht. Dann muss man der Frage, ob man jeder dieser Personen die Möglichkeit geben möchte, eine fliegende Kamera mit WLAN-Verbindung vor dem eigenen Wohnzimmerfenster schweben zu lassen, kritisch gegenüberstehen. Hier stellt sich die Frage, ob die Vermeidung dieses zweifelhaften Vergnügens nicht in vielen Fällen die sinnvollere Entscheidung ist.

Und das gilt auch für wenig spektakuläre Devices und Einsatzbereiche: Will man sich wirklich durch ein Gerät, das den ganzen Tag im Wohnzimmer steht, einen dauerhaft belauscht und lediglich auf eine Bestellung per Stichwort wartet, kontinuierlich die eigene Privatsphäre potentiell beeinflussen lassen? Oder benötigt man wirklich diesen einen mit dem Internet verbundenen Knopf, der an der Waschmaschine klebt und genau nur einem dokumentierten Zweck dient, nämlich Waschpulver zu bestellen? Will man seine Mediennutzung durch billige Set-Top-Boxen, eBook-Reader, Medien-Sticks im HDMI-Port oder das günstige asiatische „Smart“-TV überwacht wissen? Und will man all diese Unsicherheit, Bedrohung und Überwachung dann seinen Lieben schenken? Es gibt so viele sinnvolle Anwendungen des Internets, auch im privaten Umfeld, aber gehören diese wirklich dazu? Und falls ja, muss es dann wirklich das billigste Gerät aus dem Angebotsprospekt des Discounters sein?

Prüfen

Seien Sie kritisch bei sich selbst, und unterstützen Sie andere konstruktiv bei konzeptionellen und bei Produktentscheidungen. Lesen Sie Testberichte und hinterfragen Sie grundsätzliche Entscheidungen. Helfen Sie technisch nicht so versierten Freunden, Familienmitgliedern und Nachbarn. Helfen Sie mit, dass in Ihrem Bekanntenkreis kein technisches Gadget für den Aufbau eines Botnets genutzt wird.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

 

Themenseiten: IoT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu IT-Security @home: Wie ich das Botnetz vermeide

Kommentar hinzufügen
  • Am 9. Januar 2017 um 12:46 von Wolfgang Piotrowsky

    Leider ist es mit dem „patchen“ von durchaus nicht veralteten Geräten speziell im Android-Umfeld nicht so einfach. Und das gilt leider nicht nur für „Billiggeräte“. Die Bereitstellungs-Frequenz für notwendige Updates ist einfach zu niedrig, manchmal gleich 0. Auch der zeitliche Versatz zwischen der Entdeckung von Sicherheitslücken und deren Beseitigung ist generell erschreckend hoch. Wenn von den (namhaften) Herstellern auch für teure Markengeräte, nur weil sie gerade nicht das aktuelle Top-Modell sind (egal ob Mobiltelefon oder Tablet), Updates entweder gar nicht oder aber mit einer nicht akzeptablen zeitlichen Verzögerung bereitgestellt werden, dann hilft ja nur noch möglichst jedes Jahr immer zum neuen Top-Modell wechseln und entsprechend viel Elektronikmüll erzeugen.
    Nur das kann wirklich nicht die richtige Konzequenz sein. Viel stärker als der richtiger Umgang bei den Verbrauchern müssen hier die Hersteller deutlich mehr in die Verantwortung genommen werden, notfalls auch durch eine Herstellerhaftung bei entstehenden Schäden.

  • Am 20. Januar 2017 um 9:52 von Matthias Reinwarth

    Hallo Herr Piotrowsky. Ich kann Ihnen nur 100% zustimmen. Während etwa Microsoft oder Apple definierte Update-Prozesse pflegen (selbst wenn da auch nicht immer alles optimal ist) ist das Verhalten einer Vielzahl von anderen Herstellern (quer durch das Preisspektrum) inakzeptabel. Hier ist der Weg über eine angemessene staatliche Regulierung sicher eine überdenkenswerte Alternative.

  • Am 27. Januar 2017 um 14:26 von Sterni

    Ist es nicht leider so, dass die Sicherheit für einen Grossteil der Nutzer nach wie vor nicht wichtig ist? Warum sonst kommen die Hersteller mit diesem eigentlich verantwortungslosen (Nicht)Handeln durch?
    In meinem Umfeld habe ich noch wirklich niemanden sagen hören: „Ich mache mir Gedanken ob Gerät X wirklich sicher ist oder mich stört die Update Strategie von Android“.

    Ich gehe mit Ihnen einig, es ist ein Trauerspiel. In letzter Konsequenz sollte ich keine Heimelektronik anschaffen, welche mit dem Internet verbunden ist. Aber wenn nicht mal Router oder Autos wirklich auf Sicherheit getrimmt werden… Es ist schlimm!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *