IT-Sicherheit beginnt im Kühlschrank?

Diese Seite gibt KEINE umfassenden Antworten. Wir skizzieren Probleme, stellen Fragen.

In ihrer Ausgabe vom 05.November 2014 titelte die Wirtschaftswoche „Die Hacker kommen durch den Kühlschrank“ und skizzierte in ihrem mehrseitigen Beitrag Risiken, wie sie durch die Nutzung der „Smart Home“-Technologie entstehen können. Im harmlosen Fall schalten Unbekannte Lampen im Haus über das Internet aus großer Entfernung ein und aus. Natürlich lassen sich auf diese Weise auch Garage und Haustür öffnen, wenn sie in das „Smart Home“ eingebunden sind. Der folgende, auf der chaos communication camp 2019 von Simeon gehaltene Vortrag über Gebäudeautomatisierung erläutert diese Technik und einige Aspekte ihrer Risiken.

In diesem Kontext nicht zu vergessen sind die als „Medienzentrale“ angepriesenen Fernsehgeräte. Der Fernseher kann zugleich als Aufzeichnungsgerät für Lebensgewohnheiten und Vorlieben missbraucht werden. Moderne Fernsehgeräte sind oft mehr als nur Empfangs- und Wiedergabegeräte. Viele können an das Internet angeschlossen werden, sind Personalcomputer mit Videobild und daher sicherheitstechnisch ebenso relevant wie das Notebook. In vielen Betrieben hat der intelligente Großbildfernseher den Beamer längst abgelöst.

Die Nutzung des Smartphones im Firmennetzwerk zur Kontrolle des Smart Homes oder, um einen Blick durch eine heimische IP-Webkamera zu werfen, verknüpft die Firmen-IT ebenso mit den heimatlichen Netzwerken der Angestellten wie die Nutzung des firmeneigenen Notebooks im Home Office.

Smart Home und Home Office sind geeignete Strukturen, um die  IT-Sicherheit von Unternehmen zu kompromittieren.

Im Juli 2020 legte ein Virus die IT-Infrastruktur eines großen, Nordeutschen Laborfachhändlers für Wochen lahm. Die ganze Datentechnik musste neu aufgesetzt und die Daten neu aufgespielt werden. Neben Hard- und Firmware sind Email und Webcontent sind wesentliche Einfallstore für digitale Bedrohungen (Emotet und Co). Via Email benachrichtigte der Laborfachhändler seine Kunden. Auf Bestellungen folgende Emails enthielten Anhänge.

Der Kontakt zu einem Mitbewerber führte zu einem Angebot via Email, der mehr als ein Anhang beigefügt war. Von Verschlüsselung keine Spur. Einer der Anhänge lies sich vom Email-Programm keiner Anwendung zuordnen. Der sofort erfolgende Rückruf beim Absender ergab, dass dies gelegentlich passiere. (Vom Öffnen des unbekannten Anhangs wurde ebenso abgesehen wie vom Öffnen des unverschlüsselten Angebotsschreibens, das in einem geläufigen und für Sicherheitsprobleme bekannten Format vorlag). Unverschlüsselte Kommunikation kann Sicherheitsrisiken verstärken. Die Verschlüsselung von Dokumenten ist kein ausreichender Schutz vor kompromittierten Dokumenten. Wertvolle Hinweise liefert der Artikel „Sicherheitsrisiko verschlüsselte PDF-Dateien?„. Er kommt unter anderem zu dem Schluss, dass neben der Verschlüsselung des PDF-Dokuments, die Verschlüsselung der Kommunikation (TLS) einen wesentlichen Beitrag zur Sicherheit leistet. Die Informationen sind auf andere Dateiformate selbstverständlich übertragbar, deren Probleme durch Makros und weitere Funktionalitäten auch in neuesten Office-Versionen bekannt ist („Microsoft und Emotet: Makroschutz in Office365 nur für Konzerne„).

Clouddienste öffnen neue Möglichkeiten – für Nutzer wie für Angreifer. Cloudlösungen implementieren neue Risiken. Das BSI gibt Hinweise in „Cloud: Risiken und Sicherheitstipps„. In der Vergangenheit kam es auch schon zum Totalverlust von Daten durch Probleme beim Cloudanbieter. „Und Tschüss – immer mehr Datenverlust nach IT-Ausfall“ und „Cloud-Speicher: Kunden verlieren Daten in der Swisscom MyCloud

Die DSGVO sieht empfindliche Strafen für Fahrlässigkeit im Umgang mit persönlichen Daten vor. Besonders peinlich kann das beim Verlust oder der Manipulation von Patientendaten sein. „Warum eine komplette Arztpraxis offen im Netz stand„. In der Regel nehmen Praxisinhaber die Konfiguration ihrer IT der Informationsstruktur nicht selber vor. Das „Problem“ beschränkt sich nicht auf den medizinischen Bereich sondern könnte ebenso Anwaltskanzleien, Gutachterbüros oder private Wohnungen betreffen.

Folgerungen, Perspektiven und Strategien

Klärung der eigenen Betroffenheit.

Wurde die eigene Email-Adresse missbraucht?

Have I been pwned

Wurde das Passwort kompromittiert?

Pwned Passwords

Kompromittierte Webseiten

Pwned websites

Natürlich lassen sich auch Email-Adressen von Absendern in Frage stehender Emails auf diese Weise überprüfen.

Formulierung von Handlungsstrategien und Grundsätzen

Das Bundesamt für die Sicherheit in der Informationstechnik legt Mindeststandards und -regeln für die Sicherheit fest. Das „IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit“ ist zwar ein längerer Text (>200 Seiten) und formuliert eher allgemein, gibt aber Hinweise auf Problemkerne und Forderungen wie auch Handlungshinweise. Die Häufigkeit des Begriffs „Vertraulichkeit“ (196 mal) gibt einen Hinweis auf dessen Bedeutung. „Datensicherung“ taucht 159mal auf 😉 .

Werkzeuge zum praktischen Prüfung und Umsetzung (Software-Tools) finden sich beim BSI unter „Alternative IT-Grundschutz-Tools„. Die ursprünglichen Grundschutztools werden leider nicht weiter gepflegt.

Identifikation möglicherweise unsicherer Komponenten in Hard- und Software sowie Struktur

Hinweise auf aktuell möglicherweise problematische Hard- und Software finden sich zum Beispiel unter „Heise-Security

Eine Formulierungshilfe für Grundsätze kann in dem Vorschlag zum Qualitätsmanagementhandbuch des virtuellen Gemeinlabors unter „MH711 Daten- und Informationsmanagement„.

Einen besonders eindrucksvollen Vortrag, gehalten von Thomas Roth, über die Bedeutung einer Strategie zum Grundschutz in industriellen Steuerungsanlagen findet sich unter dem Titel „34C3 – SCADA – Gateway to (s)hell – deutsche Übersetzung“ bei Youtube.

Möglicherweise kommt nach dem Video das Buch „Blackout – Morgen ist es zu spät“ von Marc Elsberg in den Sinn? Die Wirklichkeit ist manchmal näher als man denkt.