eco Interview - „Ein Rezept für ein Sicherheitsdesaster“

03.10.2015
Dr. Paul Vixie (@paulvixie) ist ein Internetpionier, Autor zahlreicher RFCs und Entwickler zahlreicher Protokollerweiterungen des Domain-Name-Systems.
eco – Verband der deutschen Internetwirtschaft e.V.

Bei den Internet Security Days 2015 wird er zur sicheren Zukunft des Internet of Things (IoT) sprechen. Wir hatten vorab die Gelegenheit, mit ihm ein Interview zu dem Thema zu führen.

Herr Vixie, das Internet der Dinge ist noch relativ jung, aber die Technologie entwickelt sich schnell weiter. Können Sie Ihre Einschätzung mit uns teilen, inwiefern der Wunsch eines Unternehmens, Time-to-Market, also die Produkteinführungszeit, zu reduzieren sich auf die Sicherheit auswirken kann?

Der Gesamtumsatz, der mit einem auf Innovation basierenden Produkt erzielt werden kann, das eine kurze Lebensdauer hat, wird von vier Faktoren beeinflusst: Erstens Time-to-Market, zweitens Time-to-First-Competitor, also der Vorsprung vor den Mitbewerbern, drittens Time-to-Commodity, also die Zeit bis das Produkt ein allgemeiner Gebrauchsgegenstand wird, und schließlich, viertens, die Frage, wann das Produkt veraltet ist, also Time-to-Obsolence. Auf die Faktoren zwei, drei und vier hat ein Innovator keinen Einfluss. Nur der erste Faktor kann kontrolliert werden: Time-to-Market. Innovatoren beschäftigen sich, um ihren Umsatz zu maximieren, daher mit dem einem Faktor, den sie beeinflussen können, also Time-to-Market.

Bei längeren Produktzyklen kommt es vermehrt auf Qualität, Total Cost of Ownership und Mund-zu-Mund-Empfehlungen an, und so werden auch Investitionen in Sicherheitstechnologie wie Quality Assurance, Red-Team-Tests und Bug-Bounty-Programme vertretbar. IoT-Geräte werden geprägt sein durch kurze Produktzyklen, geringe Gewinnmargen, kurze Time-to-Commodity, schnelle Time-to-Obsolence und hohe Stückzahlen. Das schafft ideale Voraussetzungen für das, was ich einen perfekten „Zero-Quality-Assurance-Sturm“ nenne, also ein Rezept für ein Sicherheitsdesaster.

Zusätzlich werden viele IoT-Geräte nicht die Voraussetzungen mitbringen, die es braucht, um Patches flächendeckend zu verbreiten, und sie werden tief in anderen Geräten eingebettet sein, die eine deutlich längere Lebensdauer haben. Sie werden somit die gesamte Wertschöpfungskette von Geräten mit höheren Gewinnspannen zerstören. Obwohl diese teureren Geräte eigentlich unter Aspekten der Sicherheitstechnologie höhere Investitionen rechtfertigen und wahrscheinlich auch flächendeckend gepatcht werden können, sind alle diese Sicherheitsfeatures hinfällig, weil tief in ihrem Innern diese zerstörerischen Komponenten verbaut sind.

Wenn wir ein typisches modernes Smart Home betrachten. Was sind die üblichen (Sicherheits-)Fragen, die Kunden stellen, wenn sie ihr Zuhause „smart” machen wollen?

Keine. Bewohner, die gewillt sind, die Bequemlichkeit eines verbundenen Smart Homes zu nutzen, interessieren sich nicht per se für Sicherheit. Stattdessen achten sie auf Zertifikate, die ihnen vorgesetzt werden, so wie etwa „UL Listed”. Im Moment gibt es keinerlei Zertifikat für die Widerstandsfähigkeit gegen digitale Angriffe.

Angenommen ein Unternehmen, das smarte Lösungen anbietet, will Sicherheit zur Priorität machen – welchen Rat geben Sie?

Verschiedene Red Teams einladen, am Prozess der Produktentwicklung teilzunehmen. Diesen Teams Anreize und Kompensation bieten, wenn sie die ersten sind, die einen Bug finden. Gemeinsame Pressemeldungen anlässlich der Produkteinführung anbieten, in denen sie ihre Fähigkeiten herausstellen dürfen. Die Lösung mit den Namen der beteiligten Red Teams bewerben – so wie man es mit einem Zertifikat tun würde.

Wenn Daimler-Chrysler diesen Ansatz für Uconnect® gewählt hätte, hätte es vielleicht nie Schlagzeilen oder Rückrufaktionen im Zusammenhang mit Jeep gegeben. Die Vorabinvestitionen hätten sehr viel weniger gekostet, sowohl finanziell als auch bei der Reputation.

Lassen Sie uns über Standards und gemeinsame Plattformen im Hinblick auf Sicherheit sprechen. Wir beschweren uns häufig, dass Unternehmen individuelle Lösungen für Schwierigkeiten suchen, von denen alle Marktteilnehmer betroffen sind, obwohl gemeinsame Standards und Plattformen eine deutlich bessere Interoperabilität und bessere Servicequalität für alle versprechen. Welcher Ansatz ist Ihrer Meinung nach am besten dazu geeignet, der Industrie dabei zu helfen, als Team zu arbeiten?

Der Rest der Cybersecurity-Industrie will nicht als Team zusammenarbeiten – jeder will allein gewinnen. Daher ist der Versuch, aus Konkurrenten Teamplayer zu machen, im Wesentlichen vergebene Liebesmüh. Wer den Rest der Branche dazu bewegen will, sich kooperativer zu geben, muss sehr mutig sein – man muss seine eigenen Marktanteile teilweise in Abhängigkeit davon stellen, wie hoch die Vorabinvestitionen in die Widerstandsfähigkeit gegen digitale Angriffe sind und wie transparent man die sich daraus ergebenden Kosten-Nutzen-Rechnungen macht.

Dr. Paul Vixie (@paulvixie), Internetpionier, Autor und EntwicklerWer ist Ihrer Ansicht nach letztlich dafür verantwortlich zu entscheiden, ob wir als Branche und als Gesellschaft willens sind, die Mehrausgaben für eine höhere Sicherheit zu tragen? Regulatoren, einzelne Unternehmen, die Branche an sich oder liegt das letztlich in der Hand des Konsumenten?

Meiner Ansicht nach gibt es, wenn es um Menschenleben, Sicherheit oder Privatsphäre geht, sicherlich einen regulatorischen Auftrag. An dieser Stelle: Ich bin entsetzt darüber, mit welch hoher Wahrscheinlichkeit selbstfahrende Autos demnächst in eine Abwärtsspirale geraten werden, weil es nur um Marktanteile, Time-to-Market und Features geht und die Sicherheit keinen Deut besser ist als in heutigen Geräten unter Android, Mac OS, Windows und iOS. Ich bin mir nicht sicher, wie eine Regulierung genau beschaffen sein muss, aber wir sollten das unbedingt diskutieren. Denn der Kapitalismus und die „unsichtbare Hand des Markts“ sind exakt die falschen Tools, um Menschenleben, Sicherheit, Privatsphäre und Würde zu schützen.

Die Regierung Obama hat unlängst Mudge damit beauftragt, eine Zertifizierungsstelle zu schaffen, die sich an das Konzept des Underwriters Laboratory anlehnt, nur eben mit dem Fokus auf die Widerstandsfähigkeit gegen digitale Angriffe. Das ist ein Anfang. Aber wir brauchen ein internationales Vorgehen und wir müssen alle Gerätehersteller dazu bringen, dass sie Zertifizierungen für ein sinnvolles Vorgehen halten und wir müssen alle Hausbesitzer und Hauskäufer dazu bringen, dass sie nur solche Geräte wollen, die solche Zertifizierungen haben.

Wollen Sie zum Schluss noch etwas sagen?

Ja. Im vergangenen Jahr habe ich vor dem Senate Judiciary Committee on Crime and Terrorism ausgesagt. In meinen Ausführungen habe ich deutlich gesagt, dass ich für die Sicherheitsprobleme im Internet die Hersteller von Geräten verantwortlich mache, deren ureigenes Bedürfnis, miteinander auf den Feldern Time-to-Market und Features zu konkurrieren, durch keinerlei Regulierung kontrolliert wird, welches die Sicherheit zu einem gleichrangigen Anliegen macht. Meine vollständige Aussage können Sie hier nachlesen.

Quelle: eco – Verband der deutschen Internetwirtschaft e.V. 


© copyright @ Bachert Datentechnik GmbH 2018