Vor 20 Jahren wurde im Netzwerk Insider über damals im Einsatz befindliche Protokolle und deren Sicherheitsprobleme berichtet. Es wurden Schwachstellen bei der Implementierung und der grundlegenden Philosophie, z.B. von SNMPv1 oder PGP, erwähnt.
Sichere Implementierungen vor 20 Jahren
Schon vor 20 Jahren war klar: Keine Software ist fehlerfrei. In der damaligen Ausgabe des Netzwerk Insiders wurden einige Fälle beschrieben, bei denen eine fehlerhafte Implementierung grundlegender Bestandteile eines Protokolls zu gravierenden Sicherheitslücken geführt hat. Dazu kam: In den meisten Fällen wurde die Sicherheit bei der Entwicklung der zugrunde liegenden Techniken nicht als Kernaspekt gesehen. Die Welt des Internets war anfangs ja noch in Ordnung!
Sicherheitsaspekte heute
Die gute Nachricht vorweg: So grundlegende Fehler bei der Implementierung eines Protokolls wie damals sind heute sehr, sehr selten. Einige der seinerzeit erwähnten Protokolle haben mittlerweile auch Nachfolger, bei denen die Sicherheit von Anfang an betrachtet wurde.
Allerdings gibt es einen neuen Bereich, in dem wir die Lektionen von einst anscheinend noch einmal lernen müssen: Bei der „Smartifizierung“ von allem Möglichen. Sei es ein Smart Building, ein Herzschrittmacher mit Bluetooth-Anbindung oder ein Smart Speaker (à la „Sprachassistent“).
Im Smart-Building-Bereich existieren inzwischen eine Vielzahl von Anbietern, und die genutzten Protokolle können sehr unterschiedlich sein. Hier gibt es auch Protokolle und Lösungen, bei denen die Sicherheit von Anfang an berücksichtigt wurde. Aber gerade im Segment der sehr günstigen Lösungen sieht man auch das andere Extrem: Von WLAN-basierten Komponenten mit unsicherer Übertragung der Zugangsdaten zum WLAN bis zu proprietären Systemen, bei denen nicht verschlüsselt wird (Begründung: „Dafür braucht man Spezialwissen!“), gibt es eine Unmenge von Systemen, die die zugrunde liegenden Standards und Protokolle unterschiedlich gut implementieren. An dieser Stelle wiederholt sich die Geschichte leider sehr genau. Dabei hätte man hoffen können, dass die Entwickler aus den Fehlern der Vergangenheit lernen.
Im medizinischen Bereich sieht es leider nicht viel besser aus. Hier werden in einigen Geräten mit Außenanbindung (z.B. per Bluetooth ansprechbare Herzschrittmacher) immer wieder Sicherheitslücken gefunden, wie wir sie in anderen Bereichen vor mehr als 10 Jahren gesehen haben. Jedoch reden wir von Geräten, von denen das Überleben ihrer Nutzer abhängen kann. Dass in manchen Fällen ein Firmware-Update eine Neuzertifizierung des Geräts erfordert, macht es nicht besser.
Im Bereich der Sprachassistenten ist die Situation eine andere: Dort erleben wir eine neue Generation von Sicherheitslücken. Zwar ist die Kommunikation zwischen den Geräten und der zugehörigen Cloud meist gut abgesichert, aber die Sprachschnittstelle an sich bietet ganz neue Angriffsmöglichkeiten. Hier konnte man nicht aus der Vergangenheit lernen.
Insgesamt ergibt sich also ein etwas differenzierteres Bild als vor 20 Jahren.
Fazit
Es scheint, als würden wir erleben, wie eine Branche im Rahmen der Digitalisierung Sicherheit von vorne lernen muss. Die Geräte und Protokolle haben sich vielleicht in den letzten 20 Jahren verändert, die Sicherheitsprobleme sehen wir aber momentan beim „Internet of Things“ erneut. Hoffen wir, dass sich das bei der nächsten großen Technologie ändert!
