Digitale Bilderrahmen & smarte Kaffeemaschinen

Volker: Moin Moin, herzlich willkommen zu unserem Podcast Die Sicherheitslücke mit Volker

Volker: Skwarek von der HW Hamburg.

Monina: Monina Schwarz vom LSI.

Ingo: Ingo Timm vom DFKI und der Uni Trier.

Volker: Heute behandeln wir das Thema Schadsoftware auf Heimgeräten,

Volker: da das Bundesamt für Sicherheit in der Informationstechnik, BSI,

Volker: zu Weihnachten 30.000 digitale Bilderrahmen aus dem Verkauf genommen hat.

Volker: Also die Malware auf diesem System war schon gleich so professionell,

Volker: dass sie sich im Hintergrund mit so einem Command-and-Control-Center verbunden hat.

Volker: Das heißt, die Hacker mussten sich gar keinen Zugang mehr schaffen,

Volker: um irgendwelche Permanenzzugänge zu Heimnetzen zu haben, sondern der Bilderrahmen

Volker: hat sich quasi schon gleich in der Hacker-Zentrale angemeldet.

Volker: Und dort den Zugang, wozu auch immer, dass es jetzt nicht so richtig publiziert,

Volker: was quasi so der komplette Angriffsvektor war, aber zumindest irgendwie ins Heimnetz geschaffen.

Monina: Ja, ich glaube, die Malware ist bekannt geworden, ist Badbox.

Monina: Das Ganze gibt es seit, das ist schon ein paar Jahre alt, 2019 gab es gleich

Monina: die ersten Fälle, wo Badbox schon mal wo aufgetaucht ist, ich glaube,

Monina: auf Android-Fernsehern damals.

Monina: Und ja, da ist man dann Teil von dem Botnetz und weiß gar nicht,

Monina: ob jetzt gerade vielleicht der Bilderrahmen oder der Fernseher,

Monina: was auch immer, gerade ein paar Spam-Mails verschickt oder dergleichen.

Volker: Also ich glaube, hier war das Problem tatsächlich weniger so ein ganz unbestimmter

Volker: Zugang, sondern ich glaube, da wurden konkret zwei Faktor-Authentifikationsschlüssel abgefangen.

Volker: Das heißt, man immer wieder einen zweiten Faktor irgendwie eingeben mussten,

Volker: so für unseren Bankzugang oder sowas.

Volker: Dass da gezielt irgendwelche IP-Adressen, URLs oder sowas überwacht wurden,

Volker: aktiv und unser zweiter Schlüssel, also zweiter Faktor quasi abgegriffen wurde,

Volker: sodass die sich dann parallel zu uns in die Systeme einloggen konnten.

Volker: Ich glaube, das war hier bei Badbox der Fall.

Ingo: Hierbei meinst du aber nicht nur den zweiten Schlüssel, den du brauchst,

Ingo: um dich anzumelden mit WLAN, mit dem Bilderrahmen, mit deinem Heimnetzwerk,

Ingo: sondern welche zweiten Schlüssel oder welche zwei Faktoren für die Faktoren meinst du?

Volker: Ja, also quasi dieser Token,

Volker: der Nummernschlüssel, den du dann mit deinem Nummerngenerator erzeugen musst,

Volker: also keine Ahnung hier Google Schlüsselerzeuger oder Microsoft Authenticator oder sonst irgendwas,

Volker: dass du direkt den sozusagen den zweiten Faktor, den Authentifikationsfaktor mitgeteilt hast.

Monina: Ich hatte tatsächlich zu Badbox mitbekommen, dass es durchaus auch in der Lage

Monina: ist, Malware-Kampagne mitzumachen, wie ein normales Botnet bei IoT-Geräten,

Monina: die ja gerne dafür verwendet werden.

Monina: Ich glaube, dass die Informationen von BSI selber, die das rausgegeben hat,

Monina: waren gar nicht so ausführlich, was jetzt tatsächlich diese Malware genau tut,

Monina: die sie da gefunden haben, in dem konkreten Fall der Bilderrahmen, die sie da hatten.

Volker: Ja, das stimmt. Die müssen sparsam. Da musste man dann eher andere Zeitungen

Volker: lesen mit bunten Bildern vorne drauf oder andere Fachpostellen.

Monina: Gut, da ist es dann immer fragwürdig, ob die Informationen nicht einfach tatsächlich

Monina: voneinander abgeschrieben sind, weil irgendjemand sich mal überlegt, das könnte das sein.

Monina: So richtig verlässliche Informationen kriegt man dann am allerbesten eigentlich

Monina: nur, wenn man sich selber mal anschaut.

Ingo: Und wo würde man das dann genau anschauen, beziehungsweise wo kann ich als Verbraucher

Ingo: Informationen bekommen?

Monina: In dem Fall prinzipiell beim BSI, das ist ja eigentlich auch eine Aufgabe,

Monina: die man sich staatlich auf die Schultern genommen hat, zu sagen,

Monina: man möchte so ein Siegel für Sicherheit für IoT-Geräte auch rausbringen.

Monina: Gibt da eine europäische Norm, die mal rausgekommen ist, die 303,

Monina: 645, mit einer Empfehlung dazu, wie das umzusetzen ist.

Monina: Das Ganze ist ein bisschen schwammig, mehr oder weniger freiwillig.

Monina: Es gibt dann auch nochmal vom BSI eine Konkretisierung dazu.

Monina: Und das Ganze ergibt dann so ein BSI-Sicherheitskennzeichen.

Monina: Da kann ein Hersteller herkommen und sich sagen, dass er das macht,

Monina: dann Informationen ans BSI geben.

Monina: Und wenn das passt, von den Informationen her kriegt er das.

Monina: Aber ich glaube, aktuell gibt

Monina: es eine Liste vom BSI, welche Geräte dieses Sicherheitskennzeichen haben.

Monina: Und ich glaube, als ich das letzte Mal nachgeschaut habe, gab es für IoT-Geräte

Monina: genau zwei bereits abgelaufene Sicherheitskennzeichen.

Monina: Also der Grundgedanke, ganz interessant, dass man sagt, okay,

Monina: wenn man sich als Verbraucher nicht so richtig damit auskennt,

Monina: hilft einem das BSI damit und macht das für einen und sagt einem dann,

Monina: hey, das ist sicher, wie der TÜV das bei Autos oder so ja macht,

Monina: in der Praxis noch nicht so richtig angekommen.

Monina: Oder habt ihr da schon mal mehr mitbekommen in die Richtung?

Monina: Wahrscheinlich auch nicht, oder?

Volker: Nee, ich hatte eher mitbekommen, dass das auch in der Fachwelt zwar positiv

Volker: aufgenommen, aber eher kritisch gesehen ist, dieses Sicherheitskennzeichen.

Volker: Ganz einfach, weil das Kennzeichen selbst zu statisch ist. Also das ist ja ein

Volker: QR-Code, der auf irgendwelchen Verpackungen drauf ist.

Volker: Das heißt, zunächst einmal muss da massiv Werbung gemacht werden,

Volker: dass überhaupt irgendwelche Anwenderinnen und Anwender da in,

Volker: keine Ahnung, IT-Verbrauchermärkten ihrer Wahl überhaupt erstmal wissen,

Volker: dass da so ein QR-Code drauf ist, den sie scannen sollen.

Volker: Wenn ich da jetzt, also ich muss zunächst erstmal aktiv mich informieren,

Volker: dass es ein solches IT-Sicherheitskennzeichen gibt.

Volker: Ich muss es jetzt scannen und dann muss das BSI mitbekommen haben,

Volker: dass da irgendeine Sicherheitslücke ist, meistens ja aktiv, von den Herstellern

Volker: dann gemeldet, damit das BSI die Informationen auf ihrer Webseite,

Volker: wo dann dieser QR-Code hinführt, dann auch aktualisiert.

Volker: Und auch da wieder, klar, wir haben irgendwann diesen Cyber Resilience Act,

Volker: wo irgendwie so eine gewisse Meldepflicht entsteht, aber ob das jetzt gegenüber

Volker: Endverbrauchern ist und sonst was.

Volker: Also das heißt, Hersteller müssen selbst aktiv werden und sagen,

Volker: ich wurde gehackt oder das BSI muss es herausfinden, um dann auf ihrer Webseite

Volker: dieses Sicherheitskennzeichen dann irgendwie zu deaktivieren.

Volker: Gute Idee, aber ich glaube, das ist schwierig im täglichen Umgang.

Ingo: Ist nicht auch ein Problem, dass wenn man sein Sicherheitskennzeichen hat,

Ingo: das auf eine Hardware bezogen ist, nicht zwingend die Software-Revisionsnummer

Ingo: dann damit abgeglichen wird?

Ingo: Also ein digitaler Bilderrahmen, der zurückgezogen wurde, hätte ja auch möglicherweise

Ingo: durch eine vernünftige Software gefixt werden können.

Ingo: Und wenn dann der Bilderrahmen wieder okay ist mit anderen Software,

Ingo: müsste ich ja die beiden unterscheiden können. Also ich müsste im Prinzip nicht

Ingo: nur die BSI-Seite nachschauen, sondern auch gleichzeitig noch die Firmware von

Ingo: dem Bilderrahmen überprüfen.

Ingo: Und dann noch hoffen, dass die die Schadsoftware draufgebracht haben,

Ingo: die Firmwareanzeige nicht manipuliert haben.

Monina: Das ist tatsächlich spannend. Das müsste man wie bei Nahrungsmitteln machen,

Monina: dass man Ablaufdatum dann hat oder dann wirklich nachschauen kann,

Monina: aus welcher Charge gerade die Hardware und auch die Software oder Firmware, die drauf läuft ist.

Monina: Und das dann vergleicht, ob gerade diese Kombination okay ist.

Monina: Eigentlich gibt es so, dass ist ein bisschen schwierig als Verbraucher.

Monina: Da wird man wahrscheinlich dann wirklich schon gut den Überblick verlieren.

Volker: Ja, also dieses Ablaufdatum.

Ingo: Entschuldigung, wenn ich mal ganz kurz aus der Vorwärtsperspektive fragen darf.

Ingo: Also ich habe gerade mal nebenbei einen größeren Elektronikhersteller angeschaut.

Ingo: Da gibt es ja nicht nur einen digitalen Bilderrahmen.

Ingo: Also wenn es jetzt, dieser eine wurde zurückgezogen, ich will jetzt aber trotzdem einen verschenken.

Ingo: Sind denn alle anderen Bilderrahmen, die dann im Laden sind, auch vom WSI geprüft?

Ingo: Oder wie finde ich einen Bilderrahmen, der okay ist und vom WSI freigegeben ist?

Monina: Ja, das ist ein bisschen schwierig. Also das eine, was das Siegel jetzt so ein

Monina: bisschen ist, wäre, man muss als Verbraucher aktiv an ein Produkt hingehen.

Monina: Das Produkt hat das dann als Kennzeichnung und man schaut das nach und kann

Monina: danach sicher gehen, dass es okay ist.

Monina: Eine Möglichkeit wäre auch im Vornherein zu sagen, man hat eine Seite,

Monina: eine Übersichtsseite, wo alle Geräte, die gerade getestet sind,

Monina: sind und macht sich halt schlau.

Monina: Ich möchte einen Bilderrahmen kaufen, ich schaue mir an, welche Bilderrahmen

Monina: sind denn gelistet als Sicherheitskennzeichen.

Monina: Ist da, dann machen ja viele tatsächlich das, wenn sie sich ein Elektrogerät

Monina: kaufen, vornherein mal kurz gucken, Benchmark oder Stiftung Warentest,

Monina: irgendwas, was es da gibt.

Monina: Und dann könnte man bei solchen Gelegenheiten auch irgendwo so ein Sicherheitskennzeichen

Monina: mit unterbringen. Das ist natürlich noch nicht gemacht.

Monina: Es ist eine schöne Überlegung, ob es was geben könnte, ob es was hilfreich wäre.

Monina: Aber so richtig, wenn ich jetzt im Laden stehe und sage, ich habe jetzt hier

Monina: ein Gerät oder ich habe ein Gerät von einem Hersteller, der ein anderes Gerät zertifiziert hat.

Monina: Zertifizierungen sind immer teuer oder so Siegel sind wahrscheinlich auch ein bisschen aufwendiger.

Monina: Da wird sich wahrscheinlich auch nicht jeder Hersteller die Mühe machen,

Monina: für wirklich jedes seiner Produkte und jede Version davon, das dann neu zertifizieren

Monina: zu lassen, ein neues Sicherheitskennzeichen rauszubringen.

Volker: Ja, aber grundsätzlich können wir erstmal sagen, dass wir so ein Kennzeichen

Volker: an sich erstmal gut finden.

Volker: Also es ist ja eher erstmal hilfreich als schädlich, oder?

Monina: Natürlich. Also als Verbraucher definitiv. Ich kann mich ja nicht als Verbraucher

Monina: damit beschäftigen, wie ich jetzt eine Firmware von einem Gerät runterbekomme,

Monina: was ich als Verbraucher gar nicht soll, das wollen Firmen ja eigentlich auch

Monina: gar nicht, um die dann den Hashwert von dieser Firmware gegenzuprüfen mit einer

Monina: Internet-Datenbank, die mir sagt, ob dieser Hashwert sagt, dass diese Firmware-Version okay ist.

Monina: Das kann man nicht erwarten von einem Verbraucher, der einfach ein Gerät verwenden

Monina: möchte. Das würde ich nicht mal als IT-Laber bei meinen IoT-Geräten jetzt unbedingt bei jedem machen.

Volker: Also IoT, kurz eingeworfene Internet of Things.

Volker: Also irgendwie alles, was nicht zum Computing primär gedacht ist und trotzdem

Volker: ans Netz angeschlossen.

Volker: So würde ich das mal ganz einfach definieren hier.

Ingo: Was wir im Haushalt so vorfinden, ne? Also die Spülmaschine.

Volker: Die Smart-Kaffeemaschine zum Beispiel. Ich habe hier gerade nur so ein IT-Sicherheitskennzeichen

Volker: aufgemacht und da kann ich eigentlich ganz gut, also ich habe schon danach gesucht,

Volker: aber ganz gut mein Problem damit formulieren.

Volker: Ich sage jetzt nicht wofür, aber da steht halt, Laufzeit ist vor ungefähr einem

Volker: Jahr abgelaufen, nach nur einem halben Jahr, über das die Laufzeit bestanden

Volker: hat für das Produkt und es steht,

Volker: nach Auskunft des Herstellers endet der Support Zeitraum am 31.01.

Volker: Das bedeutet, dass der Hersteller ab diesem Zeitpunkt nicht länger zusichert,

Volker: das Produkt mit Sicherheitsupdates zu versorgen.

Volker: Was sagt mir das jetzt? Kaufen? Nicht kaufen? Schlecht? Oder war einfach zu

Volker: teuer und der Hersteller hat keine Lust mehr?

Volker: Ich wüsste jetzt auch selbst als Experte schon nicht, was ich genau von dieser Aussage halten sollte.

Ingo: Tja, vielleicht sehen wir daran eine mangelnde Regulierung. Die Frage ist ja immer,

Ingo: wie gefährlich sind Produkte, die wir in den Markt bringen und welche Form von

Ingo: Zulassung haben wir für diese Geräte. Wenn wir im Elektro-Bereich sind,

Ingo: dann gehen wir üblicherweise davon aus, dass es bestimmte Einhaltungen von VDI-Normen gibt.

Ingo: Und dass eben Geräte einer Art gefertigt sind, dass wenn ich sie anfasse,

Ingo: ich keinen Stromschlag bekomme.

Ingo: Und gleiches würde ich als Verbraucher auch gerne von...

Ingo: IT-basierten Systemen erwarten. Andersrum muss ich ganz ehrlich sagen,

Ingo: ich möchte aber nicht darauf warten, dass alles freigegeben ist oder dass alles

Ingo: entsprechend entwickelt wurde.

Ingo: Ich möchte sie ja direkt benutzen, wenn sie in China auf dem Markt sind und

Ingo: ich dann Lust habe, ein solches Gerät auch bei mir im Haus auszuprobieren.

Ingo: Also regulieren oder nicht, aber das ist eine der Fragen, die wir uns hier stellen.

Ingo: Also auch die Frage von Ablaufzeiten, von Sicherheitsfeatures,

Ingo: muss es da vielleicht eine Mindestlaufzeit geben, so wie eine Gewährleistung auf dem Produkt.

Ingo: Mindestens zwei Jahre muss man schon mal das Produkt pflegen.

Monina: Das ist ja tatsächlich für manche Elektrogeräte auch schon in der Diskussion,

Monina: dass es sowas geben soll.

Monina: Wird ja, glaube ich, auch für manche Geräte schon eingebracht.

Monina: Da kenne ich mir jetzt leider nicht so gut aus, aktuell, was da der Stand ist.

Monina: Aber das ist oft in der Diskussion politisch gesehen, dass das für größere Elektrogeräte sinnvoll wäre.

Volker: Aber ich glaube, die Mindestlaufzeit gibt es bei diesem Logo oder eine Laufzeit

Volker: generell, wo du dann eine Rezertifizierung wieder beantragen musst.

Volker: Und das BSI kann lediglich die Laufzeit vorher beenden, indem sie einfach Hinweise

Volker: darauf haben, dass das nicht eingehalten wird, die Randbedingungen.

Volker: Oder du selbst kannst die Laufzeit kürzer beantragen, irgendwie so.

Volker: Aber ich glaube, die Laufzeit an sich, also ein Ablaufdatum,

Volker: hat so ein Sicherheitsfeature von einem Produkt.

Volker: Das kann man so ein bisschen als Hacker schmunzeln, wenn das dann bei in zwei

Volker: Jahren liegt, dieses Ablaufdatum, wo ich frage, ob in zwei Jahren überhaupt

Volker: die Software, die ich auf meinem Rechner habe, generell überhaupt noch auf dem Markt so existiert.

Volker: Aber mein Gott, auch da wieder irgendwas muss man ja machen.

Monina: Ich würde erwarten, dass diese zwei Jahre ja dann ausdrücken,

Monina: dass sich so lange zumindest jemand damit beschäftigt und versucht,

Monina: wenn eine Sicherheitslücke bekannt wird, das Produkt auch wieder auf den Stand

Monina: zu bringen, dass diese Sicherheitslücke geschlossen wird oder andere Probleme

Monina: behebt, die da auftauchen.

Monina: Also das wäre zumindest das, was ich als Consumer erwarten würde,

Monina: da ist zwei Jahre lang jetzt so ein Siegel gültig auf diesem Produkt.

Ingo: Aber das Problem ist doch ein relativ großes. Also wenn ich mir das mal als

Ingo: Verbraucher überlege. Also wir haben Produkte, die kommen auf den Markt.

Ingo: Die haben eine bestimmte Laufzeit, in der Software gepflegt wird und sich automatisch aktualisiert.

Ingo: Ich gehe davon aus, dass ich so ein Produkt, wenn ich es einsetze,

Ingo: sicher einsetzen kann. Ich habe alles prima gemacht.

Ingo: Aber ein Produkt, was ich kaufe, werde ich ja nach zwei Jahren nicht aus dem

Ingo: Haus schmeißen. Also ich gehe mal ganz kurz zu meiner Spülmaschine.

Ingo: Meine Spülmaschine ist auch mit dem Internet verbunden. Wir hören,

Ingo: glaube ich, nachher noch was von der Kaffeemaschine, aber die Spülmaschine,

Ingo: die kann mir dann eben auch einen Push geben, wenn sie dann fertig ist oder

Ingo: ich kann sie zu einer bestimmten Zeit starten, wenn vielleicht der Akku voll

Ingo: ist oder die Solarzellen laufen.

Ingo: Aber ich würde diese Spülmaschine ja nicht nach zwei Jahren rausschmeißen,

Ingo: weil sie keine Sicherheitsupdates mehr bekommt.

Ingo: Also stellt sich eigentlich eine Frage und das ist eine Frage,

Ingo: die ich glaube viele eindeutig beantworten.

Ingo: Was mache ich, wenn eine Software nicht mehr Sicherheitsupdates bekommt von

Ingo: einem Produkt, das ich eigentlich gar nicht als Computer wahrnehme,

Ingo: weil es ja ein IoT-Gerät ist.

Ingo: Also irgendwas ist, was mit dem Netz verbunden ist, für mich aber eigentlich

Ingo: eher ein relativ simples Gerät ist.

Ingo: Warum nutze ich nicht einfach ein unsicheres IoT-System? Also das ist doch so

Ingo: schlimm, ich würde mich schon nicht treffen.

Monina: Du kannst dir schon auch ein unsicheres IoT-System nehmen, wenn du es in der

Monina: Umgebung betreiben kannst, die du nach außen hin halt irgendwie zumachen kannst.

Monina: Also wenn du sagst, okay, das kann schon hier im Netzwerk sich austoben,

Monina: aber das Netzwerk hat hier eine harte Grenze.

Monina: Die ist da, wo ich die enden lasse und das ist vor dem großen, weiten Internet.

Monina: Und da drin kann das Dinge tun, aber nach außen nicht.

Monina: Also ich habe zum Beispiel ein abgeschottetes eigenes kleines Netzwerk daheim,

Monina: da sind alle IoT-Geräte drin, da können die untereinander fröhlich zwitschern.

Monina: Da kann auch auf irgendeinem Malwertsland die ganze Zeit versucht nach Hause zu funken.

Monina: Funktioniert halt nicht, weil es gibt da eine Firewall, es gibt da irgendwie

Monina: Regeln, die sagen, nee, okay, ihr dürft intern reden, außerhalb nicht mehr.

Monina: Dann kann es vielleicht noch intern ein bisschen sich irgendwann aufhängen,

Monina: weil es versucht, Sachen zu machen, die es nicht machen soll.

Monina: Aber es hat zumindest, kann man es dann noch mehr oder weniger,

Monina: ich sag mal, gedankenlos weiter betreiben, wenn es keine Sicherheitsupdates mehr hat.

Volker: Nur ist das deine Fähigkeiten in allen Ehren, Molina.

Volker: Aber ich glaube, dass Standardanwender schon das Problem haben,

Volker: in ihrer Fritzbox das Guest-VPN oder das Guest-WLAN zu aktivieren und gar nicht wissen,

Volker: dass sie überhaupt die Möglichkeit haben, zwei unterschiedlich geschützte Systeme zu aktivieren.

Volker: Jetzt noch mit einem privaten Netzwerk, möglicherweise dann noch mit einem VPN

Volker: geschützt für alle eigenen IoT-Geräte.

Volker: Ich befürchte, da legen wir die Stange gerade ein bisschen höher als mit einem BSI-Sicherheitslogo.

Monina: Gut, was es tatsächlich oft bei IoT-Geräten immerhin gibt, ist,

Monina: dass die über ein Bridge-Device verbunden sind.

Monina: Das heißt, die Waschmaschine sprechen, glaube ich, direkt WLAN.

Monina: Korrigiere mich bitte, du kennst deine Waschmaschine nicht.

Ingo: Also Spülmaschine, Waschmaschine ist noch gut.

Monina: Ja, Spülmaschine. Ja, es gibt

Monina: einige Geräte, die man mittlerweile über Bridge-Systeme anbinden kann.

Monina: Das heißt, sie sind dann über die Bridge angebunden und nicht mehr über ein WLAN.

Monina: Das heißt, da hat man schon mal nochmal eine Grenze.

Monina: Ich weiß nicht, ob das tatsächlich geht mit einer WLAN-Waschmaschine.

Ingo: Also soweit die Bridge natürlich sicher ist, ne?

Monina: Ja, natürlich. Also ich sage mal, es gibt da große Hersteller,

Monina: denen ich jetzt nicht unbedingt so richtig weit vertrauen würde.

Monina: Die haben ihre eigenen Interessen, was sie vielleicht damit tun,

Monina: aber es wäre zumindest schon mal eine Abstraktionsebene, die für den Benutzer

Monina: relativ benutzerfreundlich gemacht wird und da gibt es dann auch ...

Monina: Halbwegs noch leicht zu bedienen in Open-Source-Versionen davon.

Monina: Es gibt einen Home Assistant, der ist immer noch ein bisschen was dabei und

Monina: vielleicht ist das immer noch ein bisschen hochgehängt, diese Messlatte,

Monina: Smart Home Assistant daheim zu installieren.

Monina: Aber das gibt es mittlerweile viel Support für und kriegt man relativ einfach

Monina: hin. Damit kann man das schon mal ein bisschen abstrahieren, so Geräte.

Ingo: Vielleicht sollten wir noch mal ganz kurz bei Interessen bleiben.

Ingo: Also ich fand das spannend.

Ingo: Ich bin ja neben KI-Forschung auch noch Wirtschaftsinformatiker und als Wirtschaftsinformatiker

Ingo: frage ich mich oft nach, was ist das Ziel, was ist die Absicht,

Ingo: was ist der Nutzen und was sind eigentlich Interessen an Geräten,

Ingo: die nicht auf Dauer sicher sind?

Ingo: Also wer hat ein Interesse dafür, dass es sicher ist und wer hat ein Interesse

Ingo: dafür, dass es nicht sicher ist?

Ingo: Also wie stelle ich mir das vor?

Volker: Ich habe da noch eine dritte Frage.

Volker: Inwiefern? Gehen wir doch mal von dieser Idee organisierte Kriminalität aus

Volker: und dass die Angreifer schon ein Wirtschaftsinteresse verfolgen.

Volker: Das heißt, sie sind bereit Geld zu investieren dafür, dass sie was zurückbekommen.

Volker: Das bedeutet für mich als Anwender vielleicht,

Volker: dass mein digitaler Bilderrahmen in die Cloud der Hacker durchaus günstiger

Volker: ist als andere digitale Bilderrahmen, weil die mich ja natürlich auch motivieren

Volker: wollen, ihren digitalen Bilderrahmen zu kaufen.

Volker: Wäre ich nicht sogar bereit, sagen wir mal, ein Hacker-sponsort Bilderrahmen

Volker: zu kaufen, weil ich sage, mir kann eh nichts passieren.

Ingo: Ja, und führen wir das Ganze noch auf die Spitze. Was ist eigentlich unsicher oder sicher?

Ingo: Also ist ein Bilderrahmen, dessen Herstellerfirma Daten sammelt und verkauft,

Ingo: ein Sicherheitsrisiko für mich, weil er möglicherweise ein Profil von mir zu

Ingo: erstellen vereinfacht?

Ingo: Und damit auch wieder neue Angriffsmöglichkeiten eröffnet oder jedenfalls Manipulations-

Ingo: oder als Phishing-Device dann auftritt, aber in einer direkten Form,

Ingo: in dem es eben direkt auf meine Daten zugreift und viel mehr Daten abfragt,

Ingo: als eigentlich notwendig sind, um den Dienst zu erbringen.

Monina: Ich finde, die Frage ist fast schon philosophisch. Das ist ja quasi so,

Monina: als würde man hinterfragen, ob man nach Amazon Alexa oder einem ähnlichen Gerät,

Monina: es gibt ja von verschiedenen Herstellern, seine Daten anvertrauen möchte.

Monina: Da kann man jetzt, wenn man eine philosophische Frage außen vor lassen möchte,

Monina: erstmal auf die direkten Angriffswege gehen, die Volker gerade angesprochen

Monina: hat. Also was ist der direkte, offensichtliche Nutzen, den man direkt haben

Monina: kann? Also das eine ist Rechenleistung.

Monina: Man stellt sich da irgendwo anders hin in ein anderes Netzwerk,

Monina: ein Gerät, das das Netzwerk verwenden kann.

Monina: Wenn man das kontrollieren kann, dann hat man da ein Proxy. Man kann über diese

Monina: IP-Adresse eigenen Traffic leiten.

Monina: Man kann das Gerät benutzen, um davon Aktionen auszuführen als Angreifer.

Monina: Das machen Botnetze ja super viel. Genau.

Ingo: Um ein kleines Beispiel zu machen, wo man das gut sehen kann,

Ingo: wenn wir in Social Media, also in sozialen Netzwerken wie Ex oder ehemals Twitter

Ingo: zum Beispiel sehen, wie viele Nachrichten dort automatisch von Computern geschrieben werden.

Ingo: Die brauchen ja auch eigene IP-Adressen, IP-Räume, damit sie von dem System

Ingo: nicht als offensichtlich maschinell erstellte Nachrichten erkannt werden.

Ingo: Und da reicht natürlich ein Bilderrahmen in der ganz einfachen Rechenleistung

Ingo: völlig aus, um Tweets weiterzuschicken, die eben manipulativ oder in eine bestimmte

Ingo: politische Richtung oder so sich entwickeln.

Ingo: Und das sind ganz einfache Wege, wo dieses Netz dann hilfreich sein kann.

Ingo: Also um das auch nochmal plastisch zu machen von unseren Zuhörern,

Ingo: die vielleicht nicht so sehr in den Sicherheitswelten auch unterwegs sind.

Monina: Ja, es kann ja sogar noch schlimmer werden. Nicht, dass das nicht schlimm wäre,

Monina: Falschnachrichten dergleichen zu verbreiten, aber das ist so meistens nicht

Monina: direkt strafbar bisher bei uns.

Monina: Aber es könnte theoretisch ja auch, wenn das jetzt einen Speicher hat,

Monina: auf dem Sachen gespeichert werden kann, bis dahin gehen, dass es Content teilt, der illegal ist.

Monina: Also illegale, sagen wir jetzt der Harmlosigkeit halber illegale Filmdownloads oder dergleichen.

Monina: Die können darüber dann geteilt werden oder darüber irgendwie bezogen werden,

Monina: dass am Ende diese IP irgendwo steht, wo die Polizei dann mal reinschaut und

Monina: sieht, oh, die IP hat das gemacht. Da gehen wir mal hinterher.

Volker: Das heißt doch für uns aber, dass wir zunächst einmal den Verbrauchern,

Volker: die Verbraucherinnen aus dem digitalen Verbraucherschutz,

Volker: einerseits wir wollen sich damit doch gerne schützen, andererseits aber auch

Volker: aus der digitalen Verantwortung tatsächlich nicht entlassen wollen und sagen,

Volker: boah, mach doch einfach, was

Volker: du willst, weil klar, solange du als Verbraucherin selbst betroffen bist,

Volker: egal, also uns egal, Aber meistens entlegen wir in einer vernetzten Welt und

Volker: das Risiko, das wir jetzt haben,

Volker: ist, dass wir als Infizierte Systeme andere Infizierten oder dass wir sogar

Volker: Plattformen für illegal betriebene Geschäfte werden.

Volker: Und ich glaube, das müssen wir auf jeden Fall auch in die Verantwortung von

Volker: mündigen Verbrauchern und Verbraucherinnen legen, oder?

Monina: Aber du hast ja auch schon vorhin gesagt, dass es tatsächlich schwierig ist,

Monina: weil die Meistlatte relativ hoch ist.

Monina: Man hat bei einem Gerät wie einer Waschmaschine, einer Kaffeemaschine ja nicht

Monina: mehr die Anzeige, dass man sieht, was das Gerät wirklich tut.

Monina: Also es ist wirklich schwierig als Benutzer, selbst wenn ich jetzt möchte,

Monina: dass das Ding sicher ist und mir davon eine Kaffeemaschine von einer namenhaften

Monina: Firma kauft, die viel Geld kostet, weil ich mir denke, dann wird das Ding ja

Monina: auch gut sein und sicher sein und lange funktionieren.

Monina: Dann habe ich mich ja quasi schon

Monina: drum gekümmert. Ich kenne mich jetzt zum Beispiel dann nicht mit IT aus.

Monina: Was mache ich denn dann noch? Also das ist wirklich schwierig von einem Verbraucher,

Monina: der sich früher ja überhaupt nicht mit IT auskennen musste,

Monina: weil er einfach seine Küche zum Beispiel neu ausgestattet hat,

Monina: auf einmal zu erwarten, dass er in der IT genug Durchblick hat,

Monina: diese Geräte irgendwie auch abzusichern.

Ingo: Also um es ganz einfach zu sagen, was uns natürlich fehlt, sind richtig gute neue Router,

Ingo: also so Verbindungsstücke, mit denen man ins Internet kommt zu Hause,

Ingo: die mit Software und mit einem KI-Chat-System ausgerüstet sind.

Ingo: Und das Chat-System, mit dem kann ich dann interaktiv meine Sicherheit bestimmen,

Ingo: die in meinem Haus gelten soll und welche Geräte welche Möglichkeiten erreichen

Ingo: sollen. Das wird im Hintergrund entsprechend dann geregelt.

Ingo: Weil ansonsten kommen wir da natürlich noch nicht weiter. Bis wir das haben,

Ingo: wäre aber eine Frage, nochmal zum Interesse zurück, also wer hat Interesse?

Ingo: Der Verbraucher hat Interesse an der hohen Sicherheit seiner Geräte,

Ingo: weil er möglicherweise in Geiselhaft genommen wird, beziehungsweise sich mitschuldig

Ingo: macht an einer Straftat oder weil persönliche Daten abfließen durch Phishing,

Ingo: also durch eben entsprechende Mechanismen der Interaktion mit dem Nutzer an

Ingo: dem Gerät oder eben auch Daten aus dem eigenen Netz abfließen können.

Ingo: Also man muss, glaube ich, dann mal verstehen, dass wenn man ein WLAN-Gerät

Ingo: zu Hause hat, dass das WLAN-Gerät den gesamten Traffic, den gesamten Datenverkehr

Ingo: sehen kann, der zu Hause läuft, solange er nicht verschlüsselt ist.

Ingo: Und das ist natürlich etwas, was potenziell immer schwierig ist,

Ingo: wenn das dann abfließen könnte.

Ingo: Und das ist also ein weiterer Punkt. Also der Verbraucher hat auf jeden Fall ein Interesse daran.

Ingo: Ein seriöser Hersteller, oder gehen wir erstmal in den Verkauf,

Ingo: ein Vertrieb, eine Firma, die Bilderrahm verkauft, hat ein großes Interesse

Ingo: daran, dass sie sicher sind, damit die Kunden was kaufen, was auch nützt.

Ingo: Und sich nicht ärgern darüber, dass sie ausgenutzt werden.

Ingo: Aber hat der Hersteller ein Interesse daran, ein sicheres Produkt für viele Jahre zu verarbeiten?

Ingo: Weil so ein Bilderrahmen kostet 30 bis 200 Euro, je nachdem welche Ausstattung, welches Material.

Ingo: Ist doch eigentlich nicht schlecht, wenn nach zwei Jahren ein neues Gerät gekauft

Ingo: werden muss, wenn man sagt, alle zwei Jahre kauft bitte neuen Bilderrahmen,

Ingo: weil er dann abgelaufen ist, als die Sicherheit abgelaufen ist.

Volker: Also das ist natürlich der böswillig umsatzmachende Hersteller.

Volker: Ich glaube, da gab es auch tatsächlich schon einige Beispiele auf dem Markt,

Volker: wo tatsächlich solche Akku-Timer auch bei höchstwertigen Handyherstellern mit

Volker: eingebaut wurden, wo man festgestellt hat, oh,

Volker: wenn Updates eingespielt wurden, dass die Akku-Lebensdauer plötzlich oder sukzessive

Volker: runterging, obwohl das Gerät gar nicht so alt war.

Volker: Ja, klar, das ist keine Frage.

Volker: Aber auf der anderen Seite glaube ich schon auch, dass die, ich sage mal zumindest

Volker: die höherwertigen Hersteller durchaus ein Interesse daran haben,

Volker: ihren eigenen Ruf zu behalten.

Volker: Und jetzt nehmen wir mal wirklich diese, ja, nennen wir sie gerne auch Wegwerfgeräte.

Volker: Ich unterstütze das zwar nicht für diese Haltung, aber nennen wir sie Wegwerfgeräte

Volker: in diesem digitalen Bilderrahmen.

Volker: Und wenn er mir nicht mehr gefällt, dann schmeiße ich ihn halt weg oder verschenke ihn weiter.

Volker: Lassen wir die mal zur Seite und überlegen tatsächlich mal mit den hochwertigen

Volker: Geräten, also eben zum Beispiel meine vernetzte Spülmaschine oder meine vernetzte Waschmaschine,

Volker: wo ich eben nicht gerade mal für 700 Euro oder 1200 Euro meine Küche oder mein

Volker: Badezimmer irgendwie neu ausstatten will.

Volker: Weil irgendein Sicherheitszertifikat abgelaufen ist. Ich glaube,

Volker: da ist vielmehr das Problem.

Volker: Die kriegen, also einerseits, oft haben solche Hersteller irgendeine Gateway-Funktion,

Volker: dass die Informationen, die ins Netz gegeben werden,

Volker: erstmal durch irgendein Cloud-System

Volker: laufen und dann wieder irgendwie zur Verfügung gestellt werden.

Volker: Finde ich im Übrigen hochgradig kritisch, weil sie dann einmal deine vier Wände

Volker: verlassen und dann wieder zurückgespielt werden in deine vier Wände. Ähm,

Volker: Ein Problem. Also wie kann man die Hersteller an diese Verantwortung kriegen

Volker: und dass sie nachhaltig IT wirtschaften?

Volker: Daher könnte dieser Cyber Resilience Act, der da irgendwie ab 2027 aktiv werden soll, helfen.

Volker: Zweite Frage, die ich aber noch viel dringender habe.

Volker: Wir können doch Nutzerinnen und Nutzer nicht in die Pflicht nehmen,

Volker: sich an Wireshark und Netzwerkmonitoring ausbilden zu lassen,

Volker: um zu sehen, was böse Dinge mit ihren Systemen gemacht werden.

Volker: Das heißt hier, Ingo, du bist doch so ein Regulierungsfetischist,

Volker: wenn ich das richtig verstanden habe.

Volker: Achso habe ich dich nicht richtig verstanden. Ich dachte, das hätte ich so mitgenommen. Na gut.

Volker: Dann hier müssen wir doch Regulierung haben, oder?

Ingo: Also um das mal ganz kurz auszuräumen, ich bin kein Regulierungsfischist,

Ingo: dass ich es unbedingt haben will in jeder Form,

Ingo: aber ich frage mich, warum wir uns als Gesellschaft es leisten,

Ingo: in einem Bereich, der sehr kritisch geworden ist, die Regulierung so weit nach hinten zu schieben.

Ingo: Also dass wir erlauben, dass Bilderrahmen auf den Markt kommen,

Ingo: die kein WSI-Siegel haben. Warum ist es keine Pflicht für alle Bilderrahmen?

Ingo: Warum ist es keine Pflicht für Heimautomatisierungsgeräte, die Internetfunktionalität

Ingo: haben, dass sie eben entsprechend auch zertifiziert werden müssen?

Ingo: Weil es natürlich die Kosten hochtreibt, aber viel schlimmer in diesem Bereich,

Ingo: weil natürlich die Zeit viel zu kurz ist, die Entwicklungzeit viel zu kurz ist,

Ingo: die Produktlebenszeit zu kurz ist.

Ingo: Also ein Bilderrahmen wird alle Jahre abgedatet, das ist ja wahrscheinlich noch

Ingo: ein relativ stabiles Gerät. Und wenn wir im Heimatomatisierungsbereich gehen,

Ingo: da kommen im Dreimonatsakt neue Geräte auf den Markt.

Ingo: Das kann man überhaupt nicht alles durchzertifizieren, was man dort findet.

Ingo: Trotzdem, also die Frage stellt sich nicht unbedingt einer Exklusivität.

Ingo: Also müssen wir alles regulieren, aber vielleicht auch als Hinweis für Verbraucherinnen

Ingo: und Verbraucher. Aber wenn ich ein wenig unsicher bin, dann suche ich mir vielleicht

Ingo: Geräte, die zertifiziert sind.

Ingo: Und auch wenn es nach zwei Jahren vielleicht keine Sicherheitsupdates mehr garantiert

Ingo: gibt, ist die Wahrscheinlichkeit, dass eine Firma, die schon mal zwei Jahre

Ingo: gemacht hat und sich dazu verpflichtet hat, das vielleicht auch weiterführt,

Ingo: wenn mal das Kritisches auftritt, zumindest wahrscheinlich.

Monina: Du meinst, man sieht zumindest, dass den Sicherheit schon mal jemand gesagt

Monina: hat, dass es wichtig ist, sich um Sicherheit zu kümmern.

Monina: Da möchte ich noch ein anderes Fass aufmachen und zwar, es ist mittlerweile

Monina: relativ hoch im Trend wohl auch,

Monina: dass so Geräte aussehen wie die Originalgeräte, aber mit billigerer Hardware

Monina: oder anderer Hardware und Software drin verbaut, verkauft werden.

Monina: Also ich habe da mittlerweile von mehreren Leuten aus näherem oder weiter weg

Monina: sich befindenden Kreisen gehört, dass es zum Beispiel gerade bei so Webcams

Monina: gerne vorkommt, dass die Hardware...

Monina: In Webcams verbaut haben, die zum Beispiel aus einer Generation,

Monina: drei Generationen vorher entspricht, aber halt für den Preis der neuen Hardware verkauft werden,

Monina: was dann natürlich jetzt gerade mit Umstellungen von Windows 10 auf Windows

Monina: 11 bei vielen Leuten ganz oft zu fehlern wird, dadurch fällt das auf momentan.

Monina: Aber das hat man ja dann zusätzlich, selbst wenn man dann sagt,

Monina: okay, ich kaufe mir das teure Gerät, ich kaufe das bei einem Internetanbieter,

Monina: gibt es ja einen Haufen davon,

Monina: dann brauche ich immer noch irgendwie zusätzlich noch die Versicherung,

Monina: dass das, was ich da kaufe, auch wirklich das beinhaltet, was ich gekauft habe.

Monina: Das heißt, das bringt mir noch nicht mal unbedingt rein, was,

Monina: wenn ich sage, es gibt ein Siegel, das diese Firma mal vertrieben hat,

Monina: sondern es muss auch wirklich aktiv jemand dahinter her sein,

Monina: irgendwie diese Geräte zu kontrollieren.

Monina: Und da, wie du sagtest, fängt es dann wirklich an, stark aufwendig zu werden,

Monina: weil da kommt ja eine derartige Masse rüber an Geräten und alleine von einem

Monina: Hersteller verschiedenste Versionen, verschiedene Geräte,

Monina: das kann keine Prüfinstanz mehr wirklich prüfen alles.

Volker: Ja, aber ich glaube, dass das ist tatsächlich Wert wirklich für eine eigene

Volker: Folge, weil meines Wissens nach ist das wirklich der Cyber Resilience Act,

Volker: der dort starten soll. Das heißt, irgendwie geplant ab 11.

Volker: Juni 26 oder sowas werden Assessment-Richtlinien festgelegt und ab Dezember

Volker: 27 soll er tatsächlich als Act,

Volker: also es ist ja keine Direktive, sondern es tritt direkt auf EU-Ebene in Kraft als Gesetzesvorhaben,

Volker: da passiert ja genau das.

Volker: Also bei dem Cyber Resilience Act, der soll ja quasi wie ein CE-Zertifikat kennzeichnen

Volker: oder es ist vielleicht sogar das CE-Kennzeichen für IT-Produkte,

Volker: das soll sicherstellen, dass die Hersteller aktiv Verwundbarkeiten offenlegen

Volker: und während des Lebenszyklus die Sicherheitsupdates liefern.

Volker: Jetzt liegt es natürlich an dem Hersteller, wie er den Lebenszyklus definiert,

Volker: aber ich glaube, das ist relativ schlechte Werbung, wenn man mit einem Produkt

Volker: rausgeht und gleich ein halbes Jahr später sagt, end of life,

Volker: weil kein Bock mehr auf Sicherheitsupdates.

Volker: Und ich schätze mal, dass wirklich, das wird eine starke Reinigung in den Markt bringen, aber...

Volker: Ich bin fast der Meinung, das wäre eine extra Sendung wert.

Monina: Ja, du meinst, es fällt dir zu weit, ja.

Volker: Ja, ich würde gar nicht sagen, dass es zu weit führt, aber das ist nochmal,

Volker: wie du so schon gerade vom Feierabendbierfass gesagt hast, das macht ein riesiges

Volker: Fass auf, da können wir fast drin schwimmen in dem Ding.

Volker: Ich würde gerne nochmal trotzdem diesen Ball aufgreifen und einmal weggehend

Volker: vom Endverbraucher hin zur Firmen und ob dieser digitale Bilderrahmen und da

Volker: meine ich jetzt nicht gerade irgendwelche Großunternehmen,

Volker: die eine große IT-Abteilung mit viel Sicherheitsfeatures hat.

Volker: Sondern eher so den Mittelständler.

Volker: Oder ich habe ein kleines Unternehmen mit 20 Personen und freue mich gerade,

Volker: dass ich meinen Mitarbeitern eine super tolle digitale Kaffeemaschine ins Büro gestellt habe.

Volker: Natürlich nicht ins Büro, die Dinger sind ja laut. Also stelle ich das Ding in die Küche.

Volker: Und jeder hat die Verpflichtung, wenn er sich einen Kaffee gezogen hat,

Volker: eine neue frische Tasse drunter zu stellen. Und warum haben wir diese Verpflichtung?

Volker: Ganz einfach, damit du dich mit deinem Handy ins Firmennetzwerk einwählen kannst,

Volker: die Smart-Kaffeemaschinen-App runterladen und schon vor dem Losgehen drücken

Volker: kannst, damit du, wenn du an der Kaffeemaschine bist, deinen Kaffee hast.

Volker: Also da muss ich sagen, davor habe ich Angst,

Volker: weil das betrifft jetzt nicht so die typischen unbedarften Haushalt,

Volker: der jetzt möglicherweise eine Plattform für irgendwelche Schwarzmärkte wird,

Volker: sondern das betrifft tatsächlich auch noch in oder direkt viele,

Volker: viele Arbeitsplätze und dann vielleicht noch die berühmten Supply Chain Attacks.

Volker: Dass Hacker sogar zu Unternehmensmaterial und Informationszugang haben und dort

Volker: ihre Mailware auch noch mit einstürzen. Also davor habe ich sogar Angst.

Ingo: Ja, das ist auch nicht ganz ohne. Das ist einerseits, das ist ja diese Beschaffung

Ingo: von einem Produkt, das nicht viel mit IT zu tun hat und man in diesem Augenblick

Ingo: bei der Beschaffung auch gar nicht darüber nachdenkt, IT-Sicherheit überhaupt zu hinterfragen.

Ingo: Und das ist glaube ich etwas, was auch mit einer, wir müssen ein gewisses Grundwissen

Ingo: haben, wir müssen eine gewisse Idee davon haben, was auch passieren kann,

Ingo: überhaupt bewusst zu sein, dass es dort Risiken geben kann und dass Risiken daraus entstehen.

Ingo: Das ist ganz wichtig. Also Awareness ist dann ein großes Thema,

Ingo: aber die Frage ist natürlich nicht nur die Frage, was mache ich,

Ingo: wenn der Chef etwas hinstellt, was er nicht sollte oder die Chefin,

Ingo: sondern auch vielleicht die Frage, was passiert denn eigentlich, wenn der Mitarbeiter,

Ingo: der das einfache WLAN-Passort sowieso kennt, seinen Bilderrahmen von zu Hause

Ingo: mitbringt, der gerade noch verkauft wurde, bevor der Bilderrahmen aus dem Laden

Ingo: zurückgezogen wurde und ihn eben schnell ins WLAN reinhängt,

Ingo: damit er immer die aktuellen Bilder seiner Familie oder ihrer Familie auf dem Tisch hat.

Ingo: Und dann haben wir bei der Mitarbeiterin oder beim Mitarbeiter auf einmal eine

Ingo: Wanze, von denen der Chef nicht mehr etwas weiß oder die Chefin,

Ingo: also in der eben auf dieser Ebene eine völlige Unkenntnis über die eigentlich

Ingo: im Unternehmen aktive IT-Software oder Hardware besteht.

Monina: Da müsste man als Konsequenz dann eigentlich so Sachen einführen wie,

Monina: es werden wichtige Gespräche noch in Räumen abgehalten, in denen keine nicht

Monina: zertifizierte IT drinsteht.

Monina: Auch am besten dann die Handys werden am besten auch rausgelassen.

Monina: Smartwatches auch, die haben ja auch Mikrofone.

Monina: Also das ist ein absolut schwieriges Thema, das mitzubetrachten.

Monina: Da hat man, glaube ich, als Chef nicht mehr oder als Firma schwer die Kontrolle drüber.

Monina: Wenn man jetzt nicht beispielsweise vorschreibt, wie die Büros auszusehen haben,

Monina: was ja, glaube ich, nicht in so vielen Firmen bei uns gang und gäbe ist,

Monina: da Richtlinien vorzugeben.

Ingo: Das geht ja bis zur Betriebsspionage. Also ich erinnere mich noch an meine ersten

Ingo: Tage in einem großen Unternehmen, in dem ich beraten hatte.

Ingo: Da wurden die Handys einmal angeschaut, ob die eine Kamera haben oder nicht.

Ingo: Wenn die keine Kamera haben, durfte man sie mit reinnehmen.

Ingo: Wenn sie eine haben, musste man es abgeben.

Ingo: Und es gab dann trotzdem ab und an mal Fotos von dem neuesten Produkt,

Ingo: was in genau diesem Produktionswerk dann aufgenommen wurde, das eigentlich noch

Ingo: gar nicht offentlich sichtbar sein sollte.

Ingo: Und das sind ganz leichte Probleme, die da zu haben, aber heute sind sie ja

Ingo: viel umfänglicher, weil wir sie ja wirklich allgegenwärtig haben und einer Form,

Ingo: in der man es kaum noch wahrnehmen kann.

Ingo: Also eine Uhr ist ja so klein, dass man sie bei Kontrollen ganz selber sehen könnte.

Ingo: Und das, also wir haben sehr viele schwierige Herausforderungen für Unternehmen,

Ingo: glaube ich auch, über die wir auch unbedingt in diesem Grunde nochmal sprechen sollten.

Volker: Ja, also ein bekannte oder sehr berühmter Fall, also neben der Herausforderung

Volker: für Unternehmer, und das war jetzt weniger, ich glaube IoT, das war der nette

Volker: Vortrag, wir wissen, wo dein Auto steht.

Volker: Eine große Herausforderung ist auch quasi diese versteckte Funktionalität oder

Volker: ich sage mal die Funktionalität, die ich gerne haben möchte,

Volker: aber die ich gerade nicht denke.

Volker: Zum Beispiel auf Strava, also Fitness-Logging-Portal,

Volker: als dort plötzlich so Ameisen- und Heatmap-Spuren irgendwo in ganz abgelegenen

Volker: wüstenähnlichen Landschaften aufgetaucht

Volker: sind, wo eigentlich sonst nur Militärsturzpunkte vermutet wurden.

Volker: Und ja, lustigerweise dann die Wachen bei ihren Wachgängen natürlich ihre Fitness

Volker: mittracken wollten und Strava das Ganze dann als Heatmap aufgezeichnet hat.

Volker: Also das ist so dieses Ganze. Und es ist auch nicht immer nur das Unternehmen schuld.

Volker: Und ich kann ja den Mitarbeitern, es sei denn, ich habe wirklich die höchste

Volker: Sicherheitsstufe, ich kann denen ja nicht alles abnehmen.

Volker: Also ja, natürlich werden die deutschen Sicherheitsdienste ihre Mitarbeiter

Volker: an den Eingangspforten ordentlich scannen und alles wegnehmen,

Volker: damit sowas nicht passiert. Aber gehen wir mal eine Stufe darunter.

Volker: Ich glaube nicht, dass diese Awareness wirklich flächendeckend da ist.

Monina: Ja, dazu müsste man tatsächlich kontinuierlich seine Leute schulen,

Monina: auf welche Schutzwerte man hat, also welche Sicherheitsanstufungen Sachen haben,

Monina: wie sicher man was haben möchte und was es dann für Gefahren geben kann aus

Monina: dem IT- und IoT-Bereich,

Monina: die gängig sind.

Monina: Also ich sage jetzt mal gängige Geräte eben, die Smartwatch und was man sonst

Monina: an Smart Gadgets bei sich tragen kann und worauf die Leute dann achten sollten

Monina: bei wichtigen Meetings,

Monina: wie zum Beispiel die Sachen nicht dabei zu haben oder bei Organisationen,

Monina: deren Ort nicht bekannt werden soll,

Monina: die Sachen nicht bei sich zu tragen mit einem angeschalteten GPS oder irgendwie

Monina: anderem Tracking, wenn man diese Orte besucht.

Monina: Aber das braucht dann halt kontinuierliches Schulungsaufwand und das auch nicht

Monina: nur einmal, sondern wirklich mindestens jedes Jahr.

Ingo: Und als alter Informatiker kann ich dazu noch sagen, solange ich ein Handy nur

Ingo: ausschalten kann mit einer Software-Taste oder mit einer Taste,

Ingo: die aber keine physische Stromunterbrechung herstellt,

Ingo: ist ja die Frage, ist das Handy dann überhaupt aus? Und wir wissen bei den Apple-Geräten

Ingo: beispielsweise, dass es nicht so ist.

Ingo: Apple-Geräte sind weiter trackbar.

Ingo: Das ist ja ein Feature, was verkauft wird, dass man sie eben auch,

Ingo: wenn der Akku leer ist oder sie ausgeschaltet sind, immer noch orten kann,

Ingo: um dann eben, wenn man es verloren hat, das wiederzufinden oder wenn es gestohlen wurde.

Volker: Ach, du meinst, ich äußere dann gerade gegenüber meinem Gerät einen frommen

Volker: Deaktivierungswunsch und das Gerät wird dann mal bei Lust und Laune dem auch nachgehen.

Volker: Ja. Genau, also es ist ein Gerät wirklich aus.

Volker: Wahrscheinlich wird es irgendwie auch in diese Richtung laufen,

Volker: dass Unternehmen Sicherheitsbereiche kennzeichnen und es ist ja nicht unbedingt

Volker: die böse Kaffeemaschine,

Volker: oder man muss ja nicht zwingend jeder Kaffeemaschine misstrauen, nur weil sie smart ist,

Volker: sondern es gibt halt bestimmte Bereiche, da gehört so ein System nicht hin. Punkt.

Ingo: Man muss auch nicht jede smarte Kaffeemaschine ins Netz hängen.

Volker: Aber selbst dann, also nehmen wir mal im, keine Ahnung, Gäste-,

Volker: Gästen- und Kundenbereich stets so ein Ding, dann würde ich sagen, okay,

Volker: also eine halbwegs fitter IT würde es schaffen, da so eine, ich sage mal,

Volker: demilitarisierte Zone im Netzwerk aufzubauen, wo so ein System schadfrei,

Volker: relativ schadfrei vielleicht integriert werden könnte, aber wo so eine smarte

Volker: Kaffee-Maschine eben überhaupt nicht hingehört ist, im Serverraum mit IT-Administrator-Passworten.

Volker: Okay, Monina kriegt gerade Atembeschwerden.

Ingo: Das hat auch Brandschutzaspekte, warum die da nicht stehen sollte.

Monina: Ja, aber der erste Punkt, der mir entfällt, ist, du kannst auch dem armen Informatiker,

Monina: der da angestellt ist, in einem kleinen Unternehmen nicht die Chance nehmen,

Monina: abzurechnen, dass er sich mit Kaffee und IT beschäftigen musste.

Monina: Das macht sich doch bestimmt gut auf der Zeitabrechnung, was er gemacht hat

Monina: an dem Tag. Musste sich mit der Kaffeemaschine beschäftigen.

Volker: Okay, dein Projekt, smarte Kaffeemaschine.

Monina: Genau.

Ingo: Ich glaube, wir gehen hier schon in einen Fehler. Wir haben hier schon den ersten

Ingo: Fehler wieder. Die meisten kleinen Unternehmen haben keine eigenen IT-Leute.

Ingo: Die kaufen die ein. Die beordern jemanden für einen Tag oder so mal vorbeizukommen,

Ingo: was zu machen oder haben einen Wartungsvertrag oder sowas.

Ingo: Und dem fällt überhaupt nicht auf, dass eine Kaufmaschine hingestellt wurde,

Ingo: weil er es gar nicht mitbekommen hat. Und wir waren jetzt aber ganz schön fatalistisch.

Ingo: Also man könnte ja fast glauben, wir sind jetzt alle in Holzhütten untergebracht

Ingo: mit dem Kaminofen und benutzen keine Technik.

Ingo: Ich würde ganz gerne einfach mal in die Runde fragen, was benutzt ihr denn an

Ingo: IoT, Hardware Software, bei der ihr euch bewusst seid, dass sie eigentlich nicht

Ingo: immer optimal ist, aber ihr glaubt das Risiko im Griff zu haben.

Ingo: Nur auch damit unsere Zuhörerinnen und Zuhörer nicht jetzt völlig verzweifelt

Ingo: das Handy wegschmeißen, mit dem sie den Podcast nächste Woche auch wieder hören

Ingo: sollen oder den nächsten Monat,

Ingo: wenn unser nächster Webisode rauskommt, wieder hören soll und dann kein Handy

Ingo: mehr hat. Das wäre dramatisch.

Ingo: Also von daher müssen wir auch ein bisschen Mut machen.

Volker: Okay, also ich mache mal den Mut. Ich poste mal kein Foto von meinem Schreibtisch.

Volker: Aber ich bin sehr, sehr darauf bedacht, genau zu wissen, welche Geräte ich tatsächlich

Volker: im Netz habe. Ich habe sehr, sehr viel im Netz.

Volker: Verfüge aber glücklicherweise auch durchaus über Sniffing-Fähigkeiten und über,

Volker: Hacking-Fähigkeiten, dass ich mir hin und wieder schon mal meinen Netzwerkverkehr

Volker: angucke und auch bestimmte URLs eingehen wie Ausgehen und Ports und IPs sperre.

Volker: Ich tue schon ganz viel dafür, dass ich hier auch jeglichen Mist in meinem Haus haben darf.

Volker: Und wenn der Mist zu groß ist, dann wird er bei mir auch nicht angeschlossen ans Netz.

Monina: Und momentan, ich bin umgezogen, mache ich mir da auch oder bin ich auch schon

Monina: noch dabei, mir die Mühe zu machen.

Monina: Die IoT-Geräte haben bereits ein eigenes Netzwerk.

Monina: Da kommt natürlich ein Smart Home Assistant ran, das ist Open Source,

Monina: da sind die eingebunden. Wenn die unbedingt reden wollen, dann reden die damit oder miteinander.

Monina: Das Ganze kriegt dann vermutlich auch noch ein Piehole, dass man da schön Blocking hat.

Monina: Und ich habe auch noch vor, dann Monitoring ranzubauen, dass ich dann auch wirklich

Monina: gut nachvollziehen kann, wie ihr redet.

Monina: Weil das ist ja auch spannend zu sehen, was die so kommunizieren.

Monina: Das ist wie so ein kleiner Zwitschern der Haufen an irgendwie Haustieren, die man hat.

Monina: Man muss sich schon ein bisschen drum kümmern und gucken, was die dann so treiben.

Monina: Ja, aber gut, was man dann immer noch nicht so ganz abgefangen bekommt,

Monina: ist, dass es immer noch irgendwie im Funk drinnen hängt. Das heißt,

Monina: wenn jemand wirklich nahe kommt.

Monina: Dagegen hat man dann wenig Absicherung, wenn die Geräte unsicher diesbezüglich wären.

Monina: Und ich muss sagen, ich bin auch immer noch kein Fan davon, dass meine Waschmaschine

Monina: oder meine Spülmaschine auch tatsächlich WLAN können und mein Herd.

Monina: Da muss ich noch gucken, ob ich denen das jemals erlauben möchte.

Ingo: Wenn man nicht ganz so tief in der Sicherheit hängt, so wie es bei mir zum Beispiel der Fall ist,

Ingo: dann segmentiert man vielleicht sein Netzwerk, wenn man ein bisschen mehr Informatikwissen hat,

Ingo: aber nicht zu viel IT-Security-Wissen hat und versucht eben in Segmenten des

Ingo: Netzwerkes die unsicheren Geräte zu bündeln und einfach die sicheren Netzsegmente

Ingo: vor allem zu schützen, was einem komisch vorkommt.

Ingo: Trotzdem glaube ich, dass wenn man aufgeklärt ist, wenn man ein bisschen auf

Ingo: die Produkte achtet, auch auf die Hersteller achtet, kann man schon mit einem

Ingo: überschaubaren Risiko die Sachen auch betreiben.

Ingo: Man sollte nur mehr überlegen, in welchem Bereich bin ich sehr abhängig davon

Ingo: und was ist ein sehr hohes Risiko für mich, wenn hier etwas schief geht.

Ingo: Und dort sollte ich ganz besonders reinschauen, denke ich. Das wäre jedenfalls

Ingo: eines der Takeaways, die ich gerne den Zuhörerinnen und Zuhörern mitgeben würde.

Ingo: Also nicht nur Angst vor IT haben, ganz im Gegenteil, es ist einfach ein bisschen

Ingo: Augen aufhalten, wenn man sich nicht so gut auskennt,

Ingo: vielleicht lieber mal beim BSI nachgucken und vielleicht auch das Teurere mit

Ingo: dem Siegel kaufen und ansonsten viel Spaß beim vielen Experimentieren mit diversen Geräten haben.

Monina: Ja und was man auch dazu immer sagen muss.

Monina: Auch wenn viele Sachen vielleicht mit sehr, sehr viel Aufwand möglich wären für den Angreifer.

Monina: Angreifer gehen prinzipiell auch erstmal den Weg des geringsten Widerstandes.

Monina: Das heißt, wenn die einen Haufen Geräte haben, die sie einfach vorinstalliert

Monina: mit Malware rausbringen können, dann machen die das.

Monina: Dann machen sie nicht den Aufwand zu versuchen, irgendwo anders irgendwie noch Geräte mitzubekommen.

Monina: Also insofern, wenn es schlechtere Geräte gibt, dann ist das ja schon mal ein

Monina: guter Punkt für einen Safer. Wenn man sich eine Stufe besser kauft,

Monina: ist das vielleicht schon mal okay. Oder besser auf jeden Fall.

Volker: So ein Aufrüstungswettbewerb. Und ich glaube, das ist auch ein gutes Fazit für

Volker: uns, dass wir sagen, naja, wir möchten den Komfort.

Volker: Wir als Anwenderinnen und Anwender, aber auch als Unternehmen haben durchaus

Volker: ein Interesse an einer vernetzten Internet-of-Things-Welt.

Volker: Aber Sicherheit ist eben auch Komfortreduktion. Wir müssen halt das Leben für

Volker: die Angreifer etwas schwerer machen,

Volker: als es für uns schwerer wird und damit vielleicht dann doch leider auf die intelligente

Volker: Kaffeemaschine verzichten und den Espresso aus dem Siebträger eventuell dann doch selbst zapfen.

Volker: Macht im Übrigen auch Spaß, kann ich von unserem Büro aus sagen.

Volker: Ja, hat auch viel mehr Stil.

Volker: Und ja, damit würde ich jetzt mal zu einer Zusammenfassung kurz einläuten.

Volker: Grundsätzlich finden wir den digitalen Verbraucherschutz und auch das Siegel vom BSI gut.

Volker: Das ist so, was es grundsätzlich erstmal gibt.

Volker: Allerdings an der Dynamik dieses Siegels müssten wir noch etwas arbeiten,

Volker: dass diese Dynamik mitgenommen wird und auch abrufbar wird.

Volker: Und ja, ich habe da jetzt auch keine Lösung, aber das Problem ist schlicht und

Volker: einfach, wenn Verbraucher das nicht wahrnehmen, dieses Logo,

Volker: dann hilft es uns auch nicht.

Volker: Aber Verbraucher und Verbraucherinnen sind eben auch selbst dafür verantwortlich,

Volker: wobei die Messlatte da sehr hoch werden kann, wie wir gesagt werden,

Volker: so ein Netzwerksniffing ist wahrscheinlich eher unrealistisch, dass wir das verlangen.

Volker: Also als kurzes Zwischenergebnis können wir sagen, vielleicht ist das Cyber

Volker: Resilience Act, die ja die Hersteller stark verpflichtet, eine Lösung.

Volker: Aber insbesondere Unternehmen und gerade kleine Unternehmen müssen hier sehr,

Volker: sehr vorsichtig werden,

Volker: dass es nicht auch in Richtung Industrie-Spionage geht, in Richtung Infrastrukturzerstörung

Volker: oder vielleicht sogar Teil einer Supply Chain Attack werden.

Volker: Das heißt, dass sie selbst Malware infiltriert kriegen, die die jetzt wieder

Volker: unbewusst weiter verteilen.

Volker: Dennoch sollten wir keine Angst vor der IT haben. Wir müssen lernen,

Volker: dieses Risiko handzuhaben, denn jeder von uns geht auch über eine Straße.

Volker: Wahrscheinlich alle bei grün, aber ich habe auch mal gesehen,

Volker: dass es manche Leute selbst bei einer roten Ampel hin und wieder versuchen.

Volker: Wir sind uns des Risikos bewusst und versuchen damit umzugehen.

Volker: Wir bedanken uns bei euch Zuhörerinnen und Zuhörern für die Aufmerksamkeit bei

Volker: unserer ersten Episode und sagen Tschüss, bis zum nächsten Mal.

Volker: Volker kware Monina Schwarz.

Ingo: Und Ingo Tim.