Trügerische Ruhe und Sicherheit: KRACK und das Internet of Things

KRACK, die Sicherheitslücke in der WPA2-Verschlüsslung von drahtlosen Netzwerken, hat es bis in die Tagesschau und nahezu jede bekannte Publikation geschafft. Auch wir haben natürlich berichtet. Unterdessen ist eine trügerische Ruhe eingekehrt, denn alle großen Anbieter wie Microsoft oder Apple haben Patches herausgebracht. Und wieder einmal gilt die Regel: Wo immer möglich gilt: Aktualisieren (patchen) Sie Ihre Geräte, um sie sicher zu machen!

Also alles in Butter? Nein, der Beitrag auf WIRED zeigt die Dimension eines solchen Problems. Im angebrochenen Zeitalter des Internet of Things geht es nicht mehr nur um die „großen“ Betriebssysteme. Es geht um daneben um Millionen von Routern und IoT-Geräten, für die es einen Patch geben müsste: Router, Überwachungskameras, das per W-LAN öffnende Garagentor, der Kühlschrank, die SmartHome-Geräte, alle Devices, die im W-LAN über WPA2 verbunden sind.

Krack zeigt erstmals einer breiteren Öffentlichkeit, wie weit die Sicherheitsprobleme gehen können. Und denken wir über das Smart Home hinaus an Krankenhäuser oder Fabriken, die in Industrie 4.0-Manier mit einer Vielzahl von Sensoren und intelligenten Devices vernetzt sind. Nicht umsonst hat auch Renate Stuecka hier in ihrem Interview auf das Internet der Dinge und Security aufmerksam gemacht.

Und das kann dauern, bis auch diese Devices alle „gepatcht“ und damit sicher sind, wie in dem Artikel korrekterweise beschrieben wird:

The extent of the Krack fallout remains to be seen. Security analysts say it’s a tricky vulnerability to take advantage of, and major platforms like iOS, macOS, and Windows are either unaffected or have already been patched. But given the millions of routers and other IoT devices that will likely never see a fix, the true cost of Krack could play out for years. …

“We’re probably still going to find vulnerable devices 20 years from now,” says HD Moore, a network security researcher at Atredis Partners.

That’s because even under the best of circumstances, IoT devices rarely receive the necessary software updates to correct security issues. For a problem as complex as Krack, which impacts the industry at a protocol level and requires a coordinated effort to fix, in many cases your best bet is just to buy new equipment once patched options are on the market.

via Why the Krack Wi-Fi Mess Will Take Decades to Clean Up | WIRED

Das Thema ist extrem komplex. Alte Geräte mögen häufig gar keine Patches bekommen und man müsste – wenn man sich des Problems überhaupt gegenwärtig ist – neue Devices kaufen. Wie benachrichtigen Hersteller überhaupt ihre Kunden über Probleme? Im privaten Smart Home-Umfeld – kennen die Hersteller ihre Kunden überhaupt? Sind automatische Updates eine Lösung oder stellen diese eine Data Privacy und Security-Bedrohung dar? KRACK zeigt exemplarisch, dass wir uns noch sehr intensiv mit dem Thema Sicherheit im digitalen Zeitalter auseinandersetzen müssen. Es ist ein erstes Fanal, was da noch auf uns zukommen mag.

(Stefan Pfeiffer)

Ein Kommentar

Kommentar verfassen