M2M-Kommunikation

Maschine! Bitte ausweisen!

Dr. Friedrich Tönsing studierte Mathematik an der Technischen Universität Braunschweig und promovierte dort auch. Nach einer vierjährigen Assistenztätigkeit an der TU Braunschweig wechselte er zu T-Mobile und anschließend in das damalige Technologiezentrum der Deutschen Telekom. Dort arbeitete er an der Entwicklung von Sicherheitslösungen und Produkten, insbesondere im Mobilfunk. Heute ist Tönsing Abteilungsleiter bei der T-Systems International GmbH und verantwortet dort die Gebiete Smart Cards, insbesondere das Kartenbetriebssystem TCOS, und Security Engineering.
Der Diebstahl von digitalen Identitäten ist jetzt schon Alltag. Doch was passiert erst, wenn immer mehr Maschinen im Internet der Dinge vernetzt sind, Menschen und andere Maschinen ihnen Befehle erteilen?

Im April 2014 stahlen Hacker 18 Millionen digitale Identitäten. Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) nur die Spitze des Eisbergs. Denn immer häufiger gehen kriminelle Hacker auf Diebestour im Internet - und meist bleibt der Klau von E-Mail-Adressen, Passwörtern und PINs unerkannt. Das BSI zählt Identitäts­diebstahl inzwi­schen zu einer der größten Risiken der Internetnutzung. Die Kriminellen gehen mit den Zugangsdaten auf Einkaufstour in Online-Shops, treten unter fremden Namen in Social-Media-Plattformen auf oder versenden massenhaft E-Mails, um weiteren Schaden auf fremden Rechnern anzurichten und noch mehr Daten abzuziehen.

Jeder Internetnutzer ist heute mit Dutzenden an digitalen Identitäten unterwegs - zum Einkaufen, sich Ausweisen oder auch zum persönlichen Zeitvertreib in sozialen Netzen. Der Diebstahl dieser persönlichen Informationen ist zumeist äußerst lukrativ.
Jeder Internetnutzer ist heute mit Dutzenden an digitalen Identitäten unterwegs - zum Einkaufen, sich Ausweisen oder auch zum persönlichen Zeitvertreib in sozialen Netzen. Der Diebstahl dieser persönlichen Informationen ist zumeist äußerst lukrativ.
Foto: BioID AG

Längst haben sich digitale Identitäten zu einer lukrativen Handelsware auf dem Schwarzmarkt im Internet entwickelt. Gehandelt wird mit allem, wofür Zugangsdaten erforderlich sind: PayPal oder eBay, Zugänge zu Webmail-Services wie Hotmail und Gmail oder Facebook- und Twitter-Seiten. Ein E-Mail-Konto oder Zugang zu einem sozialen Netzwerk ist laut Recherchen des IT-Sicherheitsdienstleisters Panda Security bereits ab zehn Dollar zu bekommen.

Digitale Identitäten zur Maschinensteuerung

Der Diebstahl von digitalen Identitäten droht Unternehmen und Betreibern von Infrastrukturen zunehmend aus einer gänzlich anderen Ecke: Internet der Dinge, Machine-to-Machine-Kommunikation und Industrie 4.0. Laut Gartner sollen im Jahr 2020 rund 25 Milliarden Geräte mit dem Internet verbunden sein. Vernetzte Maschinen steuern dann ganze Produktionsabläufe. Bisher waren Industrielle Steuerungssysteme (ICS) von anderen IT-Systemen und Netzen entkoppelt. Von außen konnte man nicht an die Steuerungssoftware einer Produktionsstraße heran. Inzwischen bekommen Maschinen wie Rechner, Drucker oder Smartphones eigene IP-Adressen, womit man sie übers Netz aus der Ferne ansteuern kann. Zudem tauschen die Maschinen untereinander Daten aus, mit denen sie die Produktion selbständig steuern.

Aus produktionstechnischer Sicht und für den Service bringen die Maschine-to-Maschine-Kommunikation und Industrie 4.0 enorme Vorteile. Aber es bringt auch neue Sicherheitsrisiken mit sich. Denn nun bekommt jemand, der eine einfache, passwortgeschützte digitale Identität eines Mitarbeiters eines produzierenden Unternehmens klaut, aus der Ferne über das Internet Zugriff auf eine Maschine.

Was passiert, wenn Angreifer mit einer gestohlenen digitalen Identität gezielt die Arbeit von Maschinen manipulieren? Oder eine Maschine mit einer gestohlenen Identität einer anderen Maschine falsche Befehle erteilt? Das könnte dramatische Folgen für ganze Industrien haben. Denn konfiguriert ein Hacker mit "offizieller" digitaler Erlaubnis die Elektronik eines Autobauteils um, dann fällt dies erst auf, wenn dies zum Beispiel Unfälle nach sich zieht. Eine Katastrophe für einzelne Unternehmen und die ganze Wirtschaft.

Schon heute sind mehr als 50.000 Steuerungssysteme deutscher Unternehmen direkt ans Internet angeschlossen - und dabei kaum geschützt. Von Sicherheitsbehörden beauftragte professionelle Hacker konnten Passwörter mit einfachen Mitteln herauszufinden. Oder noch erstaunlicher: Selbst die Steuerung einer hochsensiblen Kraftwerksanlage wäre ohne Passwort möglich gewesen.