Relevante Gefahren von home über fon bis zu allen vernetzten Dingen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals am Mittwoch einen Bericht zum digitalen Verbraucherschutz veröffentlicht. Besonders im Fokus sind komplexe Vernetzungen wie das sogenannte Internet der Dinge, Apps aus dem Gesundheitsbereich oder schwerwiegende Versäumnisse in der Sicherheitsarchitektur von zahlreichen Produkten.
Viel zu oft seien „hochkomplexe Schwachstellen“ in Software und Systemen Ursache für die Überforderung auch erfahrener und versierter User. Verbraucher seien dem oft hilflos ausgeliefert, auch versierte Anwender stünden teils vor erheblichen Problemen mit digitalen Kausalitäten und mangelnder Nachvollziehbarkeit. Das führe auch dazu, dass selbst souveräne Benutzer betroffener Strukturen und Systeme die eigene Betroffenheit von relevanten Sicherheitsproblemen nicht oder nur sehr schwierig erkennen können. Zudem mangele es erheblich an der Reaktionsbereitschaft der zuständigen Anbieter von Produkten und Dienstleistern.
Diese Faktoren führen im Alltag zwangsläufig nach Überforderung zur Vernachlässigung vieler dringend notwendiger Sicherheitsmaßnahmen. Das Spektrum reiche dabei von gefährlichen Lücken in der angeblich smarten Türklingel über den Kühlschrank bis zum vernetzten Spielzeugen aller Art.
Besondere Bedeutung hat laut BSI weiterhin das Herzstück jedes vernetzten Haushaltes, die oft sehr unterschätzte Konfiguration des WLAN-Routers sowie von verschiedenen Endgeräten und ihren Anwendungen, deren IT-Sicherheitsmängel quasi täglich vor der Nase der Verbraucher stattfinden, aber dem Nutzer im Alltag doch unbekannt und damit unsichtbar blieben.
Die „schiere Masse gefundener Sicherheitslücken“ zeige, dass Entwickler beim technischen Design diese Probleme nicht ausreichend berücksichtigen, und so ganzheitlich sichere Produkte nicht entstehen können, ein wirklich bedeutendes Versäumnis. Banale Versäumnisse beispielsweise an Servern führten zu leckenden IT-Systemen, bei denen Kriminelle fast mühelos Unmengen an Kundendaten stehlen können, betroffene Anbieter erpresst oder die Daten durch Verkauf unberechtigt gehandelt werden.
Keinen Plan, kein Verständnis
Ein Schwerpunkt der BSI-Verbraucherarbeit in den vergangenen Monaten lag auf dem Thema Cyber-Sicherheit im Gesundheitswesen, wozu das BSI schon spezielle Berichte veröffentlicht hat. Dazu kommt jetzt eine neue Studie, in der Fachleute sieben ausgewählte und nicht auf Rezept freigegebene Gesundheits-Apps untersuchten und nach groben Schwachstellen suchen. Resümee von Nicolaus Stöcker, BSI: „Wir mussten feststellen, dass ein ganzheitliches Verständnis von IT-Sicherheit schlichtweg fehlt.“
Alle Apps hätten Cloud-Umgebungen mehrerer Anbieter gleichzeitig genutzt, was ein erhöhtes Risiko darstelle, führte Stöcker aus. Sechs von sieben Anwendungen seien anfällig gewesen für einen „Man-in-the-Middle“-Angriff. Nach dem Überwinden der Transportverschlüsselung hätte sich gezeigt, dass ebenso viele „Passwörter im Klartext übertragen“ wurden. Die Hersteller, mit denen man im Gespräch sei und daher noch keine Namen nenne, hätten so gängige Standards und Empfehlungen missachtet. Die Hälfte habe auch keinen Plan zum Umgang mit gefundenen Schwachstellen gehabt.
Die Covid-19-Pandemie hat laut dem BSI generell vor Augen geführt, „wie schnell und flexibel Cyberkriminelle agieren können“. Die vielfältige Anwendung von Angriffswerkzeugen wie „Phishing-Mails oder DDoS-Attacken auf digitale Angebote“ böten einen „beispielhaften Einblick in die Gefahrenlage“.
Auch deshalb sollten künftig „so viele Consumer-Produkte wie möglich über ein IT-Sicherheitskennzeichen verfügen“.
Nun dann.
G. Hammer
SIKKER. Ist sicher.