IoT-Security-Tipps vom BSI

- 26. Oktober 2016

Die Probleme mit der IoT-Security sind bereits länger ein Thema, nun äußert sich, viel zu spät, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu. Die Tipps und Maßnahmen in deutscher Sprache dürften die meisten Hersteller der Geräte nie erreichen.

Die Hersteller der Security-Kameras und DVR-Systeme, die an den IoT-Angriffen auf Webseiten beteiligt sind, sitzen größtenteils in China. Es ist unwahrscheinlich, dass sie sich von einer deutschsprachigen Webseite Informationen zum Absichern ihrer Geräte holen, zumal die Tipps mehrheitlich alte Hüte sind.

Das BSI fordert etwa auf, Dienste wie HTTP, Telnet und SSH mit Passwörtern abzusichern, die sich ändern lassen und diese Änderung im Zweifelsfall zu erzwingen. Auch sollen keine unnötigen Dienste laufen und das IoT Device TLS zum Absichern seiner Kommunikation verwenden.

Auch vor UPnP warnt das Amt. Den Standard aktivieren viele Router automatisch, dank ihm schalten IoT-Geräte selbstständig Ports frei, um mit der Außenwelt zu kommunizieren. Das gilt als unsicher und nicht immer im Sinne des Nutzers. Der sollte UPnP im Router am besten deaktivieren, worauf das BSI auf einer eigenen Seite für Privatanwender hinweist.

Nicht zuletzt verlangt das Amt von der Geräteherstellern, dass sie die Firmware warten und “über einen hinreichenden Nutzungszeitraum” Sicherheitsupdates liefern, natürlich über verschlüsselte Verbindungen.

Fromme Wünsche

Die Realität sieht so aus, dass die Geräte häufig überhaupt keine Updates beziehen. Die Funktion zu implementieren ist teuer, weil ein Fallback-Mechanismus und aufwändige Tests her müssen. Kunden zeigen sich in der Regel wenig erfreut, wenn das gekaufte Gerät aufgrund eines Updates seinen Dienst einstellt. Support-Mitarbeiter ins “Feld” zu schicken, ist ein teurer Spaß, den sich viele der Firmen nicht leisten wollen. Ähnliches gilt für die Verschlüsselung. Sicheres Verschlüsseln braucht Ressourcen und die bringen IoT-Geräte oft nicht ausreichend mit. Die Folge ist, dass die Hersteller schwach oder gar nicht verschlüsseln.

Tipps sind schön und gut, dürften aber an der realen Situation kaum etwas ändern. Bleibt zu hoffen, dass der vom BSI ebenfalls angekündigte “Dialog mit den Herstellern und Verbänden” zu greifbaren Resultaten führt. Experten auf dem Gebiet gehen jedenfalls davon aus, dass es erst mal schlimmer wird, bevor sich die Situation verbessert.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen