FTC mit einem Schuss vor den Bug von D-Link

Jeder kennt diesen Moment, wenn man voller Bestätigung zu sich selbst sagt: „Endlich! War aber auch schon höchste Zeit!“. So einen angenehmen Moment durfte ich vor zwei Wochen erleben, als ich auf dem Weg ins Training war. In einem meiner Podcasts hörte ich, wie die Federal Trade Commission  (FTC) in den USA ihre eigene Subline „Protecting America’s Consumers“ auch mal in einem neuen Bereich der Konsumentenwelt ernst genommen hatte: Sie klagte den taiwanesischen Hersteller D-Link wegen mangelnder IT-Sicherheit bei mehreren seiner Produkte an.

Webkamera auf einem Flachbildschirm

D-Link ist hoffentlich nur der erste Hersteller, der von einer Klage betroffen sein wird.

Schludriger Umgang mit der Sicherheit
Unter den von der FTC aufgelisteten Verfehlungen fanden sich z.B. das „harte codieren“ von Passwörtern in Hardware, sodass die Passwörter nicht geändert werden können (so ist der Zugang von Fremden auf die Life-Feeds von Webcams im eigenen Haus möglich). Ausserdem speichern die Apps von D-Link die Login-Daten auf dem Smartphones unverschlüsselt. Dies ermöglicht es anderen Apps diese auszulesen und Fremden zur Verfügung zu stellen. Nicht zuletzt hatte der falsche Umgang mit dem geheimen Sicherheitsschlüssel von D-Link zur Folge, dass der Sicherheitsschlüssel sechs Monate lang online der Öffentlichkeit zugänglich war…

D-Link meiden
Gemäss diesen Erkenntnissen argumentiert die FTC in der Klage, dass D-Link irreführende (Sicherheits)-Versprechen gegenüber den Kunden gemacht und dadurch die Privatsphäre der Nutzer riskiert habe, indem minimale IT-Sicherheitsstandards nicht eingehalten worden seien. Diese Klage erstreckt sich über verschiedene Produkte und sollte allen Nutzern ernsthaft zu denken geben. Sogar ich, wahrlich kein Experte für IT-Sicherheit, weiss, dass es sich hier um Anfängerfehler handelt. Ich werde D-Link von meiner Einkaufsliste streichen.

Wo kein Schaden, da kein Kläger?
Interessant war dann noch die Reaktion des angeklagten Unternehmens. Gemäss eines Artikels von PCWorld reagierte D-Link mit dem Argument, dass die FTC keinen Schaden nachweisen könne. Es bleibt abzuwarten, ob die FTC noch mit Fällen von Geschädigten aufwarten kann. Auf jeden Fall lohnt es sich, diesen Fall weiter zu beobachten, denn hier wird indirekt über den Wert von Privatsphäre im digitalen Raum verhandelt.

Traraaaa! Die Schlacht ist eröffnet!
Wie auch immer dieser Gerichtsfall ausgeht: Ich sehe diese Anklage als ersten Wink mit dem Zaunpfahl an die Hersteller der Internet-of-Things-Produkte, sich in Sachen Sicherheit mehr anzustrengen. Endlich! War aber auch schon höchste Zeit!

Vernetzte Dinge – das offene Scheunentor portofrei geliefert

Als ich vor einigen Jahren mit dem Informatik-Journalismus anfing, entwickelte sich die Cloud gerade zum neuen Trendthema, das das Internet bzw. die damit verbundenen Businessmodelle komplett revolutionieren sollte. Heute treibt das Tech-Business eine neue Sau durchs Dorf. Sie heisst Internet der Dinge (oder IoT – Internet of Things). Dabei handelt es sich im Grundsatz um die Idee, alles, was nicht niet- und nagelfest ist, mit dem Internet zu verbinden und daraus einen kostenpflichtigen Service zu machen.

Zehn Überwachungskameras sind auf ein Babybett gerichtet.

Ist das die Sicherheit, die wir wollen? (John Trashkowsky an der Jungkunst 2015 in Winterthur)

Internet der Dinge als Fortsetzung des Cloud-Gelabers
Als logische Fortsetzung  des früheren Cloud-Mantras ist das Internet der Dinge primär die gleiche Art von Strohhalm, an den sich Firmen klammern, deren Produkte zum belanglosen Gebrauchsgegenstand ohne Gewinnmarge geworden sind. Aus einer Glühbirne wird ein Dekorations-Must-have-Gegenstand, den ich auch noch steuern kann, wenn ich nicht einmal weiss, in welcher Zeitzone ich mich befinde. Gleichermassen ist es uns jetzt möglich, unser Neugeborenes via Kamera im Schlaf zu beobachten (und Wildfremden übrigens auch.)

Schnell, schnell – was kümmert mich jetzt die Sicherheit
Abgesehen vom Potenzial zum Fetisch gibt es sicherlich auch nützliche Anwendungsmöglichkeiten. Der Haken an der ganzen Sache ist, dass sowohl die Cloud als auch das Internet der Dinge eine Gemeinsamkeit haben: Sie beruhen auf dem Internet, das nicht für Sicherheit entworfen wurde. Ausserdem wiederholt sich beim Internet der Dinge die Geschichte: Etablierte Unternehmen begehen bezüglich Sicherheit Anfängerfehler, nur weil sie möglichst schnell mit ihren Produkten auf den Markt kommen wollen. Erschwerend kommt noch dazu, dass viele IoT-Geräte von Unternehmen hergestellt werden, die von Sicherheit im Netz keinen blassen Schimmer haben und sich auch nur peripher dafür interessieren.

Zugriff aufs Internet bedeutet ein erhöhtes Sicherheitsrisiko
Es gibt zuhauf Beispiele dafür. Kürzlich veröffentlichte das Unternehmen Rapid 7 einen Bericht über die Sicherheit von Baby-Überwachungsgeräten (engl. Baby-Monitor). Die Ergebnisse waren erschreckend. Alle Geräte verzeichneten Risiken auf der Ebene von Software-, Hard- und/oder Firmware. Was erschwerend dazu kam, ist die Art und Weise, wie die Hersteller auf die Sicherheitslöcher reagierten. Es schien sie wenig zu stören, dass z.B. die Audio- und Videodaten weltweit abgefangen werden können oder ihre Geräte Löcher wie Scheunentore in das heimische WLAN reissen.

Das Internet der Dinge ist eine schöne Sache. Da lauert viel Potenzial für Effizienz und Bequemlichkeit. Es ist ja auch toll: Endlich kann ich das Licht per App abschalten, ohne vom Sofa aufstehen zu müssen. Aber nur solange ich der Einzige bin, der die Fernbedienung in der Hand hat.