:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken der vernetzten Welt, Teil 5 Was das Smart Home über uns verrät
Im Smart Home sollen die Menschen künftig Energie, Zeit und bares Geld sparen. Doch das intelligente Zuhause mit all seinem Komfort ruft auch Datenschützer und andere Kritiker auf den Plan. Wir haben uns mit der Datensammelwut des smarten Eigenheims auseinandergesetzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Telefone, Autos, Konsumgeräte – sie alle werden zunehmend smart: Aktuell setzen sich jene Technologien durch, die im Rahmen ihrer weitreichenden Vernetzung für eine intelligente Messung und Steuerung sorgen. All diese mehr oder weniger nützlichen Helfer kommen dann im Smart Home zusammen.
Das fängt bereits bei Stromversorgung und -verbrauch an: Die Solaranlage auf dem Dach will mit dem Stromspeicher im Keller, beliebig vielen Stromverbrauchern zwischendrin und dem „intelligenten“ Stromzähler verbunden werden. Hinter allem steht dann noch der Router, der für die Kommunikation nach draußen und drinnen sorgt.
Mit der Sicherheit des Routers steht und fällt dementsprechend die Sicherheit des ganzen Hauses. Nun ist es aber auch kein Geheimnis, dass viele schlecht konfigurierte Router mit dem Internet verbunden sind. Herstellerseitige und konzeptionell bedingte Schwachstellen wie die SSLv3-Lücke (alias Poodle) geben ebenfalls zu denken.
Spionage über anfällige Geräte
Um die Integrität und Sicherheit der intelligenten Stromverbraucher ist es ebenfalls nicht gut bestellt: Ein TV-Hersteller soll die Fernsehgewohnheiten seiner Kunden ausspioniert haben, ein anderer stand für den Hinweis, man möge bei aktivierter Sprachsuche auf kompromittierende Unterhaltungen verzichten, in der Kritik. Derweil scheinen einige intelligente Steckdosen so verwundbar gewesen zu sein, dass von außen Fehlfunktionen und sogar Brände hätten ausgelöst werden können.
Im November wurde über zigtausende anfällige Internetkameras berichtet. Networkwold.com zeigte Fotos von Wohnzimmern und Kinderbetten. Von 16 vernetzten Geräten, die der Sicherheitsberater Colby Moore untersuchte, enthielt nur eines keine offensichtlichen Schwächen und war nicht innerhalb von 20 Minuten zu knacken.
Wem es nun die Sprache verschlagen hat, der kann seine Umgebung künftig vielleicht alternativ mit Gesten steuern: Wissenschaftler der Universität Washington wollen herausgefunden haben, dass sich das zurückgeworfene WLAN-Signal beim Heben des Arms anders als bei einer horizontalen Bewegung verändert – und zwar selbst dann, wenn sich der Mensch nicht mit dem Router im gleichen Raum befindet.
Um das System nutzen zu können, soll sich der Nutzer mit einer Gestensequenz anmelden, um unbeabsichtigte Eingaben zu vermeiden. Anschließend ließen sich so Fernseher, Radios und andere Heimelektronik bedienen.
Die Wissenschaftler erkennen zwar ein Risiko darin, dass ein Unberechtigter die Immobilie samt ihren elektronischen Innereien von außen steuern könnte, schreiben allerdings: „Die Evaluierung des Potentials eines solchen Ansatzes liegt jedoch außerhalb des Umfangs dieser Arbeit.“
Auf der Prozesskette im „intelligenten“ Gebäude sind Router, Stromzähler, Geräte und Dienste hintereinander gehängt. Alle Glieder dieser Kette sind durch Mängel aufgefallen, selbst Steuerungssoftware: 2012 hat das FBI auf Verwundbarkeiten in einer Software namens Niagara der Firma Tridium hingewiesen. Angreifer hätten die Steuerung von Heizung, Lüftung und Klimaanlage eines Klimaanlagenbauers übernommen. Noch ein dreiviertel Jahr später fand die Sicherheitsfirma Cylance 25.000 dieser anfälligen Systeme.
Datensicherheit im Smart Grid
Bis 2018 soll nach Erkenntnis der Marktforscher von ON World 50 Millionen vernetzte Haushalte geben. Sind deren Systeme nicht dicht, ist zu befürchten, dass Lebensstandard und -gewohnheiten Unbefugten zugänglich werden. Das Karlsruher Institut für Technologie (KIT) weist in einer Broschüre von 2010 unter dem Titel „Empfehlungen zum Datenschutz im Smart Grid“ auf die Risiken hin.
„Wo bisher einmal im Jahr eine Gesamtverbrauchsangabe erfolgte, fallen künftig bei einer Verbrauchsmessung in Intervallen von 15 Minuten pro Jahr an den Zählpunkten 35.040 Messwerte an.“ Im intelligenten Heim steigt nach Ansicht der Karlsruher Wissenschaftler die Detailtiefe möglicher Erkenntnis: „Hier soll der Zähler sogar den Verbrauch gerätespezifisch erfassen, sodass eine Aufschlüsselung des Verbrauchs einzelner Geräte möglich wird […].“
Die Datenschützer warnten seinerzeit entsprechend, dass eine detailreiche Verbrauchsmessung viele Informationen über den Verbraucher preisgibt: „Wann wird aufgestanden, wann aus dem Haus gegangen? Wann wird gekocht, wann Fernsehen geschaut? Sind die Bewohner verreist?" Mutmaßungen über die Bewohner und ihr Verhalten sind dann noch leichter anzustellen.
Hellmuth Frey von EnBW bestätigte, dass der Chip zumindest technisch feststellen könne, ob sich gerade ein oder drei Eier auf dem Herd befänden. Er sah aber damals in intelligenten Elektrogeräten nur Vorteile. So könnte die Waschmaschine künftig erst dann waschen, wenn der Strom eine vom Verbraucher definierte Preismarke unterschritten hat.
Was möglich ist, wird auch gemacht
Pikanterweise wurde die Yellow Strom GmbH – eine Tochter der EnBW – bereits 2008 mit dem Big Brother Award ausgezeichnet. Salim Popatia von der Firma Ecotagious aus Vancouver sagt: „Was gemessen wird, wird auch gelenkt.“ Er muss es wissen, denn sein Arbeitgeber hat nach eigenen Angaben „Jahre investiert, um komplexe Algorithmen zu entwickeln, die Stromzählerdaten analysieren und den Fingerabdruck aus gewissen Anwendungen ziehen können“.
Nun sind seit der Vergabe des Big Brother Award sieben und der Erstellung der KIT-Studie fünf Jahre vergangen. Seither ist die Personalisierung vorangeschritten: Somit sind jetzt nicht nur Lebensstandard und -gewohnheiten der Haushalte bekannt, sondern es ist außerdem sichtbar, welche Angewohnheiten spezifische Personen zu bestimmten Tageszeiten pflegen.
Entweder man greift die Daten direkt am Ursprung ab oder man zapft den an, der die Daten ohnehin zentral erfasst; der Deutschlandfunk dokumentiert den Fall eines Hausverwalters einer Reihenhausanlage in Baden-Württemberg, der mit solchen Daten gehandelt haben soll. In der Folge seien die Bewohner mit Werbeproben eines Herstellers von Mikrowellen-Fertiggerichten traktiert worden.
Kaspersky warnt außerdem vor Einbrechern, die das Objekt der Begierde vor der Tat überwachen könnten. Wie man auf fremde IP-Kameras zugreifen kann, ist im Internet hinreichend dokumentiert. Oft sind Anwender schon damit überfordert, das Standard-Passwort zu ändern.
Wer sich für die Daten interessiert
All diese Daten wecken Begehrlichkeiten, zum Kreis der Interessenten zählt neben Wirtschaft und Kriminellen auch der Staat: „Wenn eine Menge Information aus Deiner Wohnung fließt, eröffnet sich dadurch ein Fenster in die Dinge, die Du in Deiner Freizeit tust“, hat Jay Stanley, ein Mitarbeiter der American Civil Liberties Union (ACLU), gegenüber dem Fernsehsender CNN konstatiert.
Strafverfolger fordern laut Stanley auf einer Vielzahl von Gebieten erleichterten Zugang zu diesen Informationen, CNN folgt der ACLU-Argumentation: Die Behörden würden tausende Anfragen nach Mail- und Telefondaten bei den dienstleistenden Unternehmen stellen. Sobald die Haussicherheit in ihrer Gesamtlänge auf den Unternehmensservern abgelegt worden sei, „gibt es keinen Grund, anzunehmen, dass sich die Bullen nicht auch daran machen werden“.
In Deutschland wäre der Zugriff auf die Daten nicht so einfach zu legalisieren: Vor fünf Jahren hat das Bundesverfassungsgericht die Vorratsdatenspeicherung mit Verweis auf Art. 10 des Grundgesetzes (dem Post- und Fernmeldegeheimnis) gekippt: „Eine sechsmonatige anlasslose Speicherung von Telekommunikationsverkehrsdaten für qualifizierte Verwendungen im Rahmen der Strafverfolgung, der Gefahrenabwehr und der Aufgaben der Nachrichtendienste, wie sie die §§ 113a, 113b TKG anordnen, ist mit Art. 10 GG nicht schlechthin unvereinbar.“
2008 hat das höchste Deutsche Gericht das Gesetz zur Onlinedurchsuchung in Nordrhein-Westfalen kassiert. Im ersten „Leitsatz“ ihres Urteils schrieben die Richter damals: „Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.“ Und wenn der Staat Computer heimlich infiltrieren wolle, müsse das unter den Vorbehalt einer richterlichen Anordnung gestellt werden. Das dazu notwendige Gesetz „muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen“.
Was aber bedeutet das jetzt für strafrechtliche Ermittlungen im „intelligenten“ Heim? Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) sagt: „Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GIVIS) soll – ähnlich wie das Grundrecht auf Schutz der Familie in der sozialen Sphäre und das Grundrecht auf Schutz der Wohnung in der räumlichen Sphäre – die engere digitale Privatsphäre vor Überwachung und Manipulation schützen. Insofern kann und muss - gerade und erst recht bei einer Gesamtschau der o. g. Grundrechte in Kombination mit dem GIVIS - das GIVIS hier Anwendung finden.“
Im Falle des „Smart Home“ seien es allerdings private Anbieter, die sich mit Verträgen, untergeschobenen Einwilligungen usw. Zugang zum Heim verschaffen. „Da aber das GIVIS auch unter den Grundrechtsschutz mit Drittwirkung fällt, ist das Urteil insofern von hoher Relevanz. Leider gibt es aber bisher noch keine Gerichtsentscheidung, die diese Relevanz präzisiert.“
(ID:43293647)
:quality(80)/p7i.vogel.de/wcms/cc/83/cc83165af62e57578b6a1d13745b31fd/0112206943.jpeg "Smart-Home-Geräte erleichtern das Leben. Nutzer sollten jedoch darauf achten, diese auch entsprechend abzusichern. Der Eco-Verband gibt Tipps. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")