Jan Kleinert, Chefredakteur
Dafür, das wir erst am Anfang der Vernetzung aller elektrisch betriebenen Geräte stehen, geht es schon ziemlich rund. Das Unternehmen Lockstate hat bei seinen Türschlössern im August per Firmware-Update die Smart-Lock-Funktion zerbröselt – da feixt die Schlüsseldienst-Innung. Dem IoT-Teddybär-Hersteller Spiral Toys sind dagegen zwei Millionen Sprachaufnahmen aus Kinderzimmern sowie 800 000 Passwörter und Kontodaten entwischt. Zuvor hatte der Hersteller vier Warnungen vor der Schwachstelle in seiner Datenbank knuddelnd ignoriert. Oder dass hunderttausende Webcams, Router und alle möglichen Zappel-Gadgets mit einem Standardpasswort in den Handel kommen – wen kümmert’s?!
Daten- und Gadget-Sparsamkeit könnte alles entschärfen. Doch die Chancen stehen schlecht, wenn man das Smartphone als Vorreiter nimmt, diese Wanze aus Edelkomponenten, deren Akku der Überwachte selbst nachts auflädt. Die Wirtschaft hofft ihrerseits auf Personen-genaue Werbung, nach der Logik, dass jeder, der von der Küche bis ins Wohnzimmer zehn Minuten braucht, einen bislang unerkannten Bedarf nach Hühneraugen-Pflaster hat. Oder war nur der Sensor an der auf dem Weg liegenden Klospülung verdreckt?
Es geht aber nicht nur um China-Schrott: Red Hat zum Beispiel vermarktet sein Framework Jboss A-MQ als IoT-Middleware und unterlässt es zugleich, die Herkunft der eingehenden Sensordaten zu prüfen – “Was soll schon passieren?” hört man auf Nachfrage. Was soll schon passieren, wenn das jemand in einer Chemiefabrik einsetzt und ein Erpresser ein paar Drucksensoren durch eigene Arduinos auswechselt?
Da das Internet der Dinge in Haushalt und Industrie auch funktionelle Vorteile bringen wird, ist sein Kommen keine Frage vom Ob, sondern bestenfalls vom Wie. Nach der Politik zu rufen verkennt, dass wegen der raschen technischen Entwicklung sowie der Internationalität von Warenströmen und Clouddiensten Gesetze keine Probleme lösen. Woran es fehlt, ist die Mündigkeit des Verbrauchers, der die betreffenden Geräte, Software und Dienste im Moment anhand von Preis und Features kauft.
Der viel zitierte “Experten-Rat”, vor dem Kauf mal zu googeln, ob Sicherheitslücken zu dem Gerät X bekannt sind, dokumentiert mehr den intellektuellen Bankrott, als dass er nützt. Denn wenn das Netz über Datenverluste Bescheid weiß, gibt es schon (hundert)-tausende Geschädigte. Und wenn sich über ein neues Gerät nichts im Netz findet, sagt das gar nichts über schlummernde Lücken. Sicherheit kann nur aus einem darauf ausgerichteten Design kommen. In anderen Märkten funktioniert es und sorgt sogar für mehr Umsatz. So würde kein Verbraucher eine Automarke akzeptieren, bei der aus Kostengründen Airbags, Aufprallschutz und verschließbare Türen fehlen oder zumindest bis zur Modelleinführung nie getestet wurden – und dies, obwohl es sich nicht um Hauptmerkmale des Produktes (Fahrspaß, Motorisierung, Verbrauch, Zuladung, …) handelt.
Es gibt ihn also, den aufgeklärten Käufer. Offenbar fehlt es schlicht am Wissen um die tatsächlichen Produkteigenschaften und dessen Vermittlung. Die “Stiftung Warentest” wird das nicht schaffen. Hier sollte sich einerseits die Presse Meriten verdienen, aber auch bloggende Sicherheitsfachleute, die sich einen Namen machen wollen. Das in vielen Geräten eingesetzte Linux kann durch seine Quelloffenheit den Testern beim Beurteilen des Designs zur Hilfe kommen – falls die Hersteller mehr als einen Vanilla-Kernel und die Quellen der Diet Libc bereitstellen. Es gibt viel zu verlieren und viel zu retten, denn die große Datenflut, sie kommt erst.
