Der Diebstahl von digitalen Identitäten ist jetzt schon Alltag. Doch was passiert erst, wenn immer mehr Maschinen im Internet der Dinge vernetzt sind, Menschen und andere Maschinen ihnen Befehle erteilen?
Im April 2014 stahlen Hacker 18 Millionen digitale Identitäten. Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) nur die Spitze des Eisbergs. Denn immer häufiger gehen kriminelle Hacker auf Diebestour im Internet - und meist bleibt der Klau von E-Mail-Adressen, Passwörtern und PINs unerkannt. Das BSI zählt Identitätsdiebstahl inzwischen zu einer der größten Risiken der Internetnutzung. Die Kriminellen gehen mit den Zugangsdaten auf Einkaufstour in Online-Shops, treten unter fremden Namen in Social-Media-Plattformen auf oder versenden massenhaft E-Mails, um weiteren Schaden auf fremden Rechnern anzurichten und noch mehr Daten abzuziehen.
Jeder Internetnutzer ist heute mit Dutzenden an digitalen Identitäten unterwegs - zum Einkaufen, sich Ausweisen oder auch zum persönlichen Zeitvertreib in sozialen Netzen. Der Diebstahl dieser persönlichen Informationen ist zumeist äußerst lukrativ. Foto: BioID AG
Längst haben sich digitale Identitäten zu einer lukrativen Handelsware auf dem Schwarzmarkt im Internet entwickelt. Gehandelt wird mit allem, wofür Zugangsdaten erforderlich sind: PayPal oder eBay, Zugänge zu Webmail-Services wie Hotmail und Gmail oder Facebook- und Twitter-Seiten. Ein E-Mail-Konto oder Zugang zu einem sozialen Netzwerk ist laut Recherchen des IT-Sicherheitsdienstleisters Panda Security bereits ab zehn Dollar zu bekommen.
Digitale Identitäten zur Maschinensteuerung
Der Diebstahl von digitalen Identitäten droht Unternehmen und Betreibern von Infrastrukturen zunehmend aus einer gänzlich anderen Ecke: Internet der Dinge, Machine-to-Machine-Kommunikation und Industrie 4.0. Laut Gartner sollen im Jahr 2020 rund 25 Milliarden Geräte mit dem Internet verbunden sein. Vernetzte Maschinen steuern dann ganze Produktionsabläufe. Bisher waren Industrielle Steuerungssysteme (ICS) von anderen IT-Systemen und Netzen entkoppelt. Von außen konnte man nicht an die Steuerungssoftware einer Produktionsstraße heran. Inzwischen bekommen Maschinen wie Rechner, Drucker oder Smartphones eigene IP-Adressen, womit man sie übers Netz aus der Ferne ansteuern kann. Zudem tauschen die Maschinen untereinander Daten aus, mit denen sie die Produktion selbständig steuern.
Internet der Dinge und M2M in Gartners Hype Cycle
Internet der Dinge und M2M Industrie 4.0, M2M und das Internet der Dinge sind unterschiedliche Themen mit gleichem Hintergrund: Bessere Vernetzung, zunehmende Miniaturisierung und fallende Hardwarekosten bereiten den Boden für sich selbst verwaltende Systeme.
Internet der Dinge und M2M in Gartners Hype Cycle: Während die Umsetzung des „Internet der Dinge“ nach Gartner-Einschätzung noch weit entfernt erscheint, könnte die M2M-Kommunikation in fünf bis zehn Jahren zum praktischen Einsatz kommen. Erste Projekte gibt es heute bereits, wie in Blick auf Beispielen aus verschiedenen Branchen zeigt.
Call a Bike: Wer ein Fahrrad der Deutschen Bahn am Wegesrand sieht und es ausleihen möchte, wählt die darauf angegebene Nummer und bekommt eine Öffnungsnummer mitgeteilt. Schon kann man losradeln, einmalige Anmeldung vorausgesetzt.
John Deere: In seine Mähdrescher packt der Landmaschinenhersteller die Rechen-Power von acht PCs. Via GPS lassen sich Geräte spurgenau steuern. Eine Vielzahl von Sensoren sollen drohende Probleme frühzeitig melden, damit die Maschinen nicht während der Erntezeit ausfallen.
GAP: Die Modekette GAP begrüßt in einigen Warenhäusern auf Bildschirmen im Ein- und Ausgangsbereichen Kunden mit persönlichen Nachrichten. Erkennungsmerkmal ist das mitgeführte Smartphone.
Telemedizin: Vitalparameter werden mittels Körperscanner gemessen und dem behandelnden Arzt übermittelt. So können beispielsweise Krankenhauszeiten verkürzt werden.
DriveNow: BMW hat das Geschäftsmodell Autoverkauf und die Autovermietung erweitert. In einigen deutschen Städten gibt es BMW-Fahrzeugflotten die registrierte Nutzer über Smartphone-App orten, reservieren und mieten können.
Smart Energy: Das intelligente Energie-Management beschränkt sich nicht auf die Energiemessung, sondern steuert den Energieverbrauch je nach Angebot.
Aus produktionstechnischer Sicht und für den Service bringen die Maschine-to-Maschine-Kommunikation und Industrie 4.0 enorme Vorteile. Aber es bringt auch neue Sicherheitsrisiken mit sich. Denn nun bekommt jemand, der eine einfache, passwortgeschützte digitale Identität eines Mitarbeiters eines produzierenden Unternehmens klaut, aus der Ferne über das Internet Zugriff auf eine Maschine.
Was passiert, wenn Angreifer mit einer gestohlenen digitalen Identität gezielt die Arbeit von Maschinen manipulieren? Oder eine Maschine mit einer gestohlenen Identität einer anderen Maschine falsche Befehle erteilt? Das könnte dramatische Folgen für ganze Industrien haben. Denn konfiguriert ein Hacker mit "offizieller" digitaler Erlaubnis die Elektronik eines Autobauteils um, dann fällt dies erst auf, wenn dies zum Beispiel Unfälle nach sich zieht. Eine Katastrophe für einzelne Unternehmen und die ganze Wirtschaft.
Datenlecks vermeiden - Schutzmaßnahmen
Leitlinie zur Zugangskontrolle Es sollte klar geregelt und protokolliert sein, wer welche Zugangsrechte hat. Das gilt sowohl für die logische als auch für die physische Form. Zugangsrechte sind dabei regelmäßig zu prüfen, insbesondere bei Personen mit privilegierten Zugangsrechten.
Mitarbeiterschulung (Security Awareness) Security Awareness kann nicht nur gegen Außen- sondern auch gegen Innentäter funktionieren. Wichtig ist geschultes Personal, das die Awareness gewissenhaft vorlebt.
Netzwerksicherheits-Management Datennetze sind angemessen zu verwalten und zu kontrollieren, damit Informationen geschützt sind und bleiben. Es ist es sinnvoll, ein eigenes Verfahren und speziell zuständiges Personal bereit zu stellen. Näheres zur Netzwerksicherheit lässt sich in der ISO/IEC 27033 nachlesen. Auch die neu überarbeitete ISO/IEC 27002 enthält weitere Informationen.
Informationssicherheit mit Externen In der Zusammenarbeit mit Lieferanten, Partnern und Freiberuflern darf die Informationssicherheit nicht leiden - auch nicht, wenn die Kooperation beendet wird. Vertraulichkeitsvereinbarungen (NDA - "Non-disclosure agreement") über das Arbeitsverhältnis hinaus und Nachweise über die aktive Sicherheitskultur sollten obligatorisch sein.
Transparentes Risikomanagement Je mehr ein Unternehmen seine Geschäftsprozesse nach außen verlagert, desto geringer ist der Einfluss auf die eigentliche Sicherheit selbst. Das muss nicht heißen, dass sich das Risiko erhöht. Dennoch ist die Frage der eigenen Risikoakzeptanz entscheidend. Denn auch Kooperationsverträge mit NDAs bieten nur einen passiven Schutz. Ähnlich ist es beim gewerblichen Rechtsschutz. Werden beispielsweise Patente rechtswidrig genutzt, lässt sich dagegen zwar juristisch vorgehen, ist über Landesgrenzen hinweg jedoch extrem komplex und langwierig. Es ist durchaus möglich, dass sich der Reputationsschaden bis zum Gerichtsentscheid höher als erwartet auswirkt. Daher kann eine ehrliche, wenngleich womöglich unangenehme Risikoanalyse zwar aufwändig, aber sehr sinnvoll sein. Mit ihr lassen sich Notfallpläne für realistische Schadensszenarien entwickeln und bei vorhandenen Ressourcen auch durchsetzen. Angenehmer Nebeneffekt: Zumindest in diesem Bereich wird ein <a href="http://www.computerwoche.de/a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet,2546356" target="_blank">Business Continuity Management</a> etabliert.
Schon heute sind mehr als 50.000 Steuerungssysteme deutscher Unternehmen direkt ans Internet angeschlossen - und dabei kaum geschützt. Von Sicherheitsbehörden beauftragte professionelle Hacker konnten Passwörter mit einfachen Mitteln herauszufinden. Oder noch erstaunlicher: Selbst die Steuerung einer hochsensiblen Kraftwerksanlage wäre ohne Passwort möglich gewesen.
Wenige Stunden bis zum ersten Angriff
Mit der Zunahme der Machine-to-Machine-Kommunikation bekommt der Diebstahl von digitalen Identitäten also eine neue Qualität. Wenn heute ein Unternehmen eine Anlage mit Automatisierungskomponenten mit dem Internet verbindet, vergehen laut Trend Micro nur wenige Stunden bis zum ersten gezielten Angriff aus dem weltweiten Netz. Dass solche Szenarien keine übertriebene Angstmacherei darstellen, zeigen spektakuläre Fälle wie Stuxnet. Das Schadprogramm stürzte sich gezielt auf ein System zur Überwachung und Steuerung technischer Prozesse. Mit der angegriffenen Software steuern Kraftwerksbetreiber unter anderem Industrieanlagen wie Wasserwerke oder Pipelines - sowie Atommeiler. Angreifer nutzen hier Schwachstellen, wie sie von Betriebssystemen sowie Server- und Webanwendungen bekannt sind. So breiten sich klassische Computerviren auf Produktionsanlagen aus.
Industrie 4.0 und die Smart Factory
Betrieb
Betrieb
Betrieb
Impressionen
Impressionen
Impressionen
Impressionen
Seifenanlage
Seifenanlage
Seifenanlage
Seifenanlage
Seifenanlage
Seifenanlage
Technologien
Technologien
Technologien
Technologien
Technologien
Technologien
Module Seifenanlage
Module Seifenanlage
Module Seifenanlage
Module Seifenanlage
Module Seifenanlage
Module Seifenanlage
Amerikanische Experten des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), das sich mit sicherheitsrelevanten Vorfällen von industriellen Steuerungssystemen befasst, berichteten schon 2012 von verstärkten Sicherheitsvorfällen. Ein Werkstudent hatte im Internet eine Anleitung veröffentlicht, wie sich über das Internet zugängliche Steuerungen finden lassen. Neugierige probierten diese Anleitung dann an Steuerungen der Wasserversorgung aus.
Grundvoraussetzung für die Industrie 4.0 sind daher Sicherheit mit echter Ende-zu-Ende-Verschlüsselung, einer eindeutigen Authentifizierung und fälschungssicheren digitale Identitäten. Beispielsweise werden im Energiesektor mit der Verbreitung von Smart-Metering-Systemen eine Übermittlung personenbeziehbarer Verbrauchsdaten und Netzkennzahlen sowie eine Steuerung lokaler Energieerzeuger "von außen" über öffentliche Kommunikationsnetze möglich. Durch eine ungeschützte Anbindung an öffentliche Netze würde eine hohe sicherheitstechnische Gefährdung entstehen - mit großem Angriffs- und Ausforschungspotenzial. Es sind sowohl Diebstahl und Manipulation von Verbrauchsdaten als auch "Hackerattacken" denkbar, die das Ziel haben, Komponenten zu stören oder ganz außer Funktion zu setzen.
Zwei-Faktor-Authentifizierung
Konkrete und verbindliche Schutzmaßnahmen für Smart-Metering-Systeme sind daher erforderlich und werden durch Gesetze und Verordnungen verpflichtend vorgeschrieben. Die geforderten Sicherheitsmaßnahmen resultieren in der Einführung einer Public-Key-Infrastruktur für den Bereich des Smart Metering. Die Telekom beispielsweise arbeitet mit dem auf M2M-Datenkommunikation spezialisierten Unternehmen Dr. Neuhaus Telekommunikation und dem Chiphersteller NXP Semiconductors an einer sicheren Kommunikationseinheit für den deutschen Energiemarkt. Das "Smart Meter Gateway" erfüllt die Anforderungen des BSI, das Sicherheitsmodul im Gateway wird nach den Anforderungen eines BSI-Schutzprofils zertifiziert und ist künftig zentraler Bestandteil der A-Series - einer schlüsselfertigen Cyber-Sicherheitslösung von NXP.
Mehr Sicherheit lässt sich - im privaten sowie unternehmerischen Umfeld - nur durch den Einsatz einer Zwei-Faktor-Authentifizierung erreichen. Sie bietet zwar auch keinen 100-prozentigen Schutz gegen Hacker, verringert das Risiko aber deutlich, Opfer eines Cyberkriminellen zu werden. Angreifer müssen nicht nur ein Passwort abfangen, sondern ein zweites, dazu passendes Identifikationsmerkmal stehlen. Das ist ungleich schwerer.
Wie funktioniert das?
Hardwarebasierte Verfahren mit einer Zwei-Faktoren-Authentifizierung können die Sicherheit von digitalen Identitäten deutlich steigern. Sicherheitslösungen mit Chipkarten sind die bisher sicherste Art der Zwei-Faktoren-Authentifizierung. Für die Ausstellung einer digitalen Identität mit einer Karte erzeugt ein zertifiziertes Trustcenter zunächst ein Zertifikat, also eine elektronische Sammlung von Identitätsmerkmalen des Inhabers wie Name, Anschrift oder Geburtsdatum.
Token wie die TCOS-Smartcard (TeleSec Chipcard Operating System) sollen die Sicherheit von Authentifizierungsvorgängen deutlich erhöhen. Foto: T-Systems / Norbert Ittermann
Für die digitale Identität erzeugt das Trustcenter ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Das Zertifikat enthält dann den öffentlichen Schlüssel zusammen mit den auf Echtheit geprüften Identifikationsmerkmalen des Teilnehmers sowie einer Signatur des Zertifizierers. Diese stellt sicher, dass den Identitätsmerkmalen im Zertifikat vertraut werden kann. Der private Schlüssel muss geheim gehalten werden, damit Dritte die Identität nicht missbräuchlich nutzen können.
Die TCOS-Smartcards werden bei T-Systems in Nepthen bei Siegen gefertigt. Foto: T-Systems / Norbert Ittermann
Zur Lösung haben sich Hardware-Sicherheitslösungen etabliert. Diese so genannten Sicherheits-Token gibt es inzwischen in verschiedenen Varianten, zum Beispiel als kleine Schlüsselanhänger. Interessant sind Sicherheits-Token besonders für Unternehmen. Sie können jedem Mitarbeiter einen Schlüssel ausstellen, mit dem er sich dann je nach Aufgabengebiet gegenüber definierten Anwendungen identifizieren kann. So lassen sich Zugangsberechtigungen in einzelne Gebäudeteile festlegen, Mitarbeiter können mit dem Token Dokumente elektronisch signieren, ihren Rechner hochfahren, E-Mails verschlüsseln oder sich gegenüber Maschinen identifizieren. (sh)
Zwei-Faktor-Authentifizierung
Datenaustausch starten Der Nutzer leitet den Datenaustausch zwischen Token und Prüfsystem ein, indem er den Token zum Beispiel in ein Lesegerät steckt oder vor ein Lesegerät hält.
Identifikation Das Lesegerät identifiziert das Token über dessen eindeutige Identifikationsnummer.
Prüfvergleich Der von dem Token gelesene Datensatz wird vom Prüfsystem nach einem definierten Prüfverfahren verglichen.
Referenzvergleich Zur Sicherheit werden die lokalen Referenzdaten mit weiteren Referenzdaten aus einer Datenbank von einem entfernten Server verglichen.
Zugriff verweigert? Bei ungültigem Token weist das Prüfsystem den Zugriff ab.
Rückkanal Zur Rückverfolgung der Authentifizierung werden Ereignisdaten des Prüfvorgangs an den Server zurück übermittelt.
Freigabe erfolgt, Zugang gewährt Das Prüfsystem gibt die für den Träger des Token zulässige Benutzung wie Funktionen und/oder Daten frei.
Sieben Tipps für den Schutz der digitalen Identität im digitalen Zeitalter.
Die eigene digitale Identität schützen Der Security-Software-Hersteller ESET hat einige Empfehlungen zusammengestellt, wie Anwender ihre Daten auch in der digitalisierten Welt schützen.
Auf Warnsignale achten Identitätsdiebe ändern regelmäßig private Adressen, sodass Briefe den Empfänger nicht mehr erreichen. Erhält man beispielsweise keine Briefe mehr von der eigenen Bank, kann dies ein erstes Anzeichen für Identitätsdiebstahl sein. Um solchem Missbrauch zu entgehen sei jedem angeraten, die eigene Bank zu kontaktieren, wenn erwartete Briefsendungen nicht zum sonst üblichen Zeitpunkt ankommen. Außerdem hilft es, auch unerwartete Post von unbekannten Finanzinstituten immerhin zu überfliegen, anstatt sie direkt als unerwünschte Werbung abzutun. Wenn von einem Darlehensgeber oder Kreditkartenunternehmen ein Umschlag im Briefkasten liegt, sollte dieser in jedem Fall durchgelesen werden, um sicherzustellen, dass keine fremde Person ein Darlehen auf fremden Namen aufgenommen hat.
Bonität regelmäßig prüfen Bei Kreditauskunfteien wie der Schufa in Deutschland oder KSV1870 in Österreich kann sich jeder über die eigene Bonität informieren und herausfinden, ob Kreditkarten oder Darlehen unter dem eigenen Namen laufen, die gänzlich unbekannt sind. Eine solche Bonitätsauskunft ist einmal im Jahr kostenfrei und sollte für jedermann ein absolutes Muss sein.
Wichtige Briefe immer persönlich versenden Kreditkarten-Anträge oder Steuererklärungen enthalten wertvolle Informationen, die auch ein Cyberkrimineller wertschätzt. Denn diese Daten genügen ihm, die Identität des Opfers zu kopieren und für seine eigenen Zwecke zu missbrauchen. Briefe, die solche sensiblen Informationen enthalten, dürfen folglich niemals unbedacht an andere Personen weitergegeben werden.
Onlinebanking: regelmäßig Passwort ändern Das Passwort zum Onlinebanking-Account gehört zu den wichtigsten Sicherheiten, die jeder Bankkunde hat. Wahrscheinlich ist das vielen Nutzern bewusst und dennoch gibt es mit Sicherheit einige, die dasselbe Passwort benutzen wie schon vor ein paar Jahren. Für all jene, auf die dies zutrifft: Passwort umgehend ändern. Manche Seiten fordern regelmäßig dazu auf, das Passwort zu ändern. Nutzer reagieren darauf häufig, indem sie einfach ein Sonderzeichen oder eine Ziffer an das bestehende Passwort anhängen. Das ist jedoch keine zu empfehlende Vorgehensweise. Denn sollte ein Passwort irgendwann einmal kompromittiert werden, ist das das erste, was ein Passwort-Knacker ausprobieren wird.
Bei Anrufen gilt keine Auskunftspflicht Identitätsbetrüger verlassen sich häufig darauf, dass Leute Informationen aus eigenem Antrieb preisgeben – zum Beispiel bei Anrufen oder indem sie auf gefälschte E-Mails von ihrer Bank oder einem anderen Institut antworten. So arbeiten Banken aber nicht. Wenn ein Telefonat merkwürdig erscheint, ist es jedermanns gutes Recht, einfach aufzulegen.
Auch zuhause persönliche Informationen schützen Wer fremde Leute wie Vertreter oder Reinigungskräfte in die eigenen vier Wände lässt, sollte in jedem Fall sicherstellen, dass Dokumente wie Steuererklärungen, Kreditkarteninformationen und Ausweise nicht offen herumliegen. Im Falle eines Einbruchs ist es von höchster Wichtigkeit zu prüfen, ob sich jemand der Identität bemächtigt hat.
Vorsicht bei Facebook-Tests Links in sozialen Netzwerken sind generell mit Vorsicht zu genießen. Insbesondere die beliebten Facebook-Tests sollte man niemals unreflektiert anklicken. Denn manche dieser Tests sind nicht nur langweilig, sondern auch gefährlich.