Bei meiner morgendlichen Lektüre der Geschehnisse in der letzten Nacht auf verschiedenen Webseiten bin ich auf einen Beitrag auf n-tv gestoßen, der doch recht bemerkenswert ist und Wasser auf meine Mühle darstellt. Im sogenannten „Internet der Dinge“ gibt es wieder massive Sicherheitslücken, die unter dem Begriff Amnesia:33 zusammengefasst werden. Das ist jetzt schon die zweite Welle, die als großes Problem veröffentlicht wurde, wobei ich die 1. Welle mit Namen „Ripple20“ vor einigen Monaten komplett verpasst habe. Die ist vollkommen unter meinem Radar durchgelaufen.
Aber grundsätzlich warne ich schon immer vor den sogenannten „smarten“ Geräten. Ich halte sie überwiegend für reine Datenspione, mit denen Hersteller Benutzer ausspionieren und missbrauchen wollen. Vielfach sind sie zudem nutzlos und reine Krücken, mit denen die Faulheit und Bequemlichkeit von Anwendern unterstützt wird.
Aber auch deren Sicherheit habe ich schon immer angezweifelt, wobei ich da im Wesentlichen den Anwender als Schwachstelle gesehen habe. Dessen Faulheit sichere Passworte zu vergeben und die Geräte auch sonst abzusichern als eigenverantwortliche Sicherheitslücke ist nur ein Teil des Problems. Der andere Teil ist, dass man von normalen Anwendern auch definitiv nicht das Wissen fordern kann, das im Grunde zum Betrieb von vernetzten Architekturen notwendig ist. Mit dem Internet der Dinge nimmt man reine Anwender in die Verantwortung, die oft nicht die geringste Ahnung haben, mit welchen Bomben sie bei Ihren Smart-Lautsprechern, Kameras, etc. hantieren. Das ist wie bei Kleinkindern, denen man ein Feuerzeug in die Hand gibt und dann tagelang alleine lässt.
Die Amnesia:33 genannten Sicherheitslücken greifen aber sogar auf der rein technischen Ebene. US-Forscher haben technische Schwachstellen ganz unterschiedlichen Geräten wie vernetzten Kameras, Umgebungssensoren, Beleuchtungsanlagen, Steckern, Strichcodelesegeräten, Druckern, Audiosysteme oder mit dem Internet verbundenem Gerätem in Krankenhäusern gefunden. Bei mehr als 150 Herstellern weltweit.
Die Schwachstellen basieren vor allen Dingen auf der fehlerhaften Umsetzungen von TCP/IP im industriellen Umfeld. Und da ist der Hund begraben, denn da der Adressraum von IPv4 für das Internet der Dinge zu klein ist, wird hier massiv mit IPv6 gearbeitet.
Tatsächlich ist die Empfehlung zur Beseitigung der Schwachstellen krass:
IPv6 soll deaktiviert oder in der Firewall blockiert werden.
Das ist ungefähr auf dem Niveau; Man stellt fest, dass bei über 150 Autoherstellern der Airbag unkontrolliert auslösen kann und deshalb empfiehlt man, bis auf Weiteres auf das Autofahren zu verzichten.
Das zeigt ganz deutlich, dass das Internet der Dinge vollkommen unausgereift ist.