Vor einiger Zeit ist es Hackern auf der Konferenz DEF CON in Las Vegas gelungen, auf einem smarten Heizkörperthermostat Ransomware zu installieren und somit auf die Steuerung des Smart Home zuzugreifen. Wie real ist die Gefahr von Attacken in diesem Bereich tatsächlich?

Marko Vogel: Die Gefahr ist real, keine Frage. Und in der Presse finden sich nur die Gefahren, die man schon entdeckt hat. Das ist aber – überspitzt formuliert – nur die Spitze des Eisbergs. Wir haben es mittlerweile mit einer professionellen, organisierten Kriminalität zu tun. Ransomware ist inzwischen ein regelrechtes Geschäftsmodell geworden, mit dem sich sehr gut Geld verdienen lässt.

Weshalb ist es denn überhaupt möglich, dass Smart-Home-Komponenten offenbar so leicht gehackt werden können?

Vogel: Ein wesentliches Problem besteht darin, dass viele Unternehmen ein Produkt lieber schnell als ausgereift auf den Markt bringen. Letzteres umfasst eben auch eine vernünftige Sicherheitsarchitektur und entsprechende Standards – und das kostet Zeit. Die Motivation auf Unternehmensseite ist ganz klar: Man will der Erste mit einer neuen Technologie sein und sich damit die Marktanteile sichern.

Das ist ja nun ein grundsätzliches Phänomen des Markts, das man nicht verhindern kann …

Vogel: Es gibt durchaus Mechanismen, mit denen man solche Fälle von vornherein vermeiden könnte. Beispielsweise liessen sich durch eine Umkehr der Haftung die Hersteller dazu zwingen, mehr Sorgfalt walten zu lassen. Sie könnten dann in die Verantwortung genommen werden, wenn durch eine Schwachstelle, etwa in der Software, ein Schaden beim Kunden entsteht. Sollte diese Haftungsumkehr umgesetzt werden, dann wird sich jeder Hersteller sehr genau überlegen, wie viel Zeit und Arbeit er in die Überprüfung seiner Produkte investiert.

Wie realistisch ist eine solche Gesetzesänderung?

Vogel: Wir sehen gerade erste Tendenzen in den USA, wo Aufsichtsbehörden versuchen, Unternehmen stärker in die Pflicht zu nehmen. Aber sowohl in den Vereinigten Staaten als auch hierzulande müsste noch einiges passieren, um die Gesetzeslage tatsächlich entsprechend zu ändern. Zudem ist es in Zeiten eines globalen Markts mit globaler Fertigung nicht so einfach, nur für einen Markt wie Deutschland entsprechende Regeln aufzustellen. Hier müsste sich mindestens auf EU-Ebene, aber eigentlich auf weltweiter Ebene die Erkenntnis durchsetzen, dass es einer solchen Änderung bei der Haftung bedarf. 

Diese Haftung müsste dann aber auch eine gewisse Zeitspanne nach dem Kauf des Produkts einschliessen …

Vogel: Richtig. Denn auch wenn der Hersteller ein Produkt vollständig sicher auf den Markt bringt, heisst das nicht, dass dieses auch auf Jahre hinaus genauso sicher bleibt. Hier gilt es, fortwährend mit Updates von Software und Firmware nachzuarbeiten. Vielfach ist es leider so, dass ein Produkt nach dem Launch nicht weiter gepflegt wird und die Kunden beim Auftauchen einer Sicherheitslücke mit dem Problem allein gelassen werden. Vielfach wird auch ganz bewusst auf Updates et cetera verzichtet, um den Verkaufspreis niedrig und die Marge hoch halten zu können. 

Die IT hat das in den vergangenen Jahren mühsam gelernt, im Bereich Smart Home beziehungsweise Internet der Dinge fehlt den Herstellern diese Sensibilität jedoch immer noch …

Vogel: Das ist leider eine traurige Tatsache. Es kommen heute im Bereich Smart Home und IoT massenweise Geräte auf den Markt mit Standard-User-Namen und Standard-Passwörtern, die man mit wenig Aufwand im Internet finden kann.

Ist den Verbrauchern – seien es Privatleute oder Firmenkunden – dieses Sicherheitsrisiko überhaupt bewusst?

Vogel: Wenn wir unsere Umfragen erstellen, versichern uns stets alle Unternehmen, das Thema Sicherheit sei grundsätzlich von enormer Relevanz. Wenn man dann genauer nachfragt, stellt sich aber heraus, dass die meisten Firmen der Ansicht sind, alle anderen seien von möglichen Gefahren betroffen, nur nicht sie selbst. Wir hatten an sich gehofft, dass grosse Datenskandale, wie beispielsweise der massenhafte Diebstahl von Kundendaten bei Telekommunikationsunternehmen vor ein paar Jahren, ein Umdenken bewirken würden – das trat aber so nicht ein.

Woran lag das?

Vogel: Wenn damals die Kunden in Scharen zu einem anderen Anbieter gewechselt wären und der Datenskandal somit auch spürbare finan­zielle Auswirkungen nach sich gezogen hätte, dann würden viele Unternehmen sicherlich konsequenter mit dem Thema Cyber-Sicherheit umgehen.

Sind den Konsumenten die Sicherheit ihrer Daten oder das Risiko möglicher Hacker-Angriffe aller Warnungen durch die Medien zum Trotz demnach einfach egal?

Vogel: Damit der Verbraucher versteht, wie sorglos er bislang in Bezug auf die Sicherheit der von ihm eingesetzten Geräte war, muss etwas Massives passieren. In Finnland gab es beispielsweise einen Vorfall, bei dem in vielen Haushalten die smarte Heizung gehackt wurde und die Bewohner in der Kälte sassen. Solch ein Ereignis sensibilisiert die Menschen deutlich mehr als der x-te Hinweis der Medien auf mögliche Datendiebstähle. Andererseits haben die Verbraucher auch die – teilweise berechtigte – Haltung, dass es Aufgabe der Hersteller ist, für die Sicherheit von Daten und Produkten zu sorgen.

Ein ausgefallener Thermostat ist zunächst einmal ärgerlich, es gibt aber auch Bereiche, in denen ein Hacker-Angriff schwerwiegendere Auswirkungen hätte …

Vogel: Man muss nicht viel Fantasie haben, um sich für die nahe Zukunft Szenarien auszumalen, bei denen autonome Fahrzeuge Ziel von gross angelegten Hacker-Attacken werden und somit das Leben von Menschen unmittelbar betroffen ist. Wenn sich so etwas ereignen sollte, werden wir sehr schnell Eingriffe auf regulatorischer Seite sehen. Leider muss auch hier immer erst etwas Gravierendes passieren, damit etwas geschieht.