Fast täglich lesen wir von neuen Cyberattacken, neuerdings auch auf unsere Smart Home Geräte, siehe hierzu In den USA wird Donald Trump Präsident, Finnen frieren wegen gehackten Heizungen und Nannybot greift Kleinkind an! .
In diesem Zusammenhang wird meist der Nutzer als Schuldiger identifiziert. Der hat es natürlich wieder versäumt, sein Passwort zu ändern oder ein aktuelles Update zu installieren. Menschliches Versagen gilt allgemein als die Hauptursache für erfolgreiche Cyberattacken.
Es ist an der Zeit, diese Situation einmal objektiv aus der Sicht eines Konsumenten zu betrachten. Die Internetindustrie überzeugt uns täglich davon, neue Devices und Apps anzuschaffen, überall einzigartige Passwörter zu vergeben und alles auf dem Laufenden zu halten. Konsumenten sind nicht dumm, sondern machen bewusst oder unterbewusst ihre eigene Kosten-Nutzen Rechnung. Jeder erinnert sich daran, wenn er einmal wegen eines sicheren, aber vergessenen Passworts an seine Daten nicht mehr heran kam. Wenn Daten abfließen oder Geräte sich in Botnetze verbinden, bekommt ein Konsument hiervon im Zweifel erst einmal gar nichts mit.
Wie man das Passwort-Dilemma beseitigen kann, habe ich im Trusted WEB 4.0 Bauplan für die digitale Gesellschaft beschrieben.
Inzwischen gibt es allerdings ein weitaus größeres Problem, eben das mit den Updates. Ich bin kein üblicher Konsument, sondern ich betreibe mehrere WEB-Seiten und warte ein Intranet mit mehreren Subnetzen selbst, und das seit vielen Jahren.
Aktuell stelle ich eine Entwicklung fest, die ich für höchst bedenklich halte! Unternehmen haben ihre Updatekonzepte nicht mehr im Griff. Updates funktionieren gar nicht oder bereiten sogar Probleme. Oft wird Hardware mit einem mehrere Jahre alten Softwarestatus verkauft. Der Kunde kann ja schließlich Updates installieren.
Hier einige meiner Erfahrungen der letzten Monate:
1. In der Cloud
- Bei Updates der Module in Prestashop – einer Standardsoftware für die Erstellung von Onlineshops – wurde die entscheidende JS-Datei (Programmdatei) gelöscht. Der gesamte Shop war im Internet nicht mehr erreichbar. Nur weil ich neben der Datenbank auch den Shop gesichert hatte und mich in der Programmiersystematik des Shops ein wenig auskenne, konnte ich den Shop wieder herstellen.
- In WordPress sollte ich das Standard Themes aktualisieren. Die Aktualisierung war nicht erfolgreich. Ich habe darauf verzichtet.
2. Mein Android-Tablet
- Mehrere Monate bekomme ich die Meldung angezeigt, dass das Tablet ein Systemupdate installieren möchte. Wenn ich auf die entsprechende Meldung klickte, geht es nicht weiter. Eine Fehlermeldung gibt es nicht. Ich habe einfach keine Zeit, mich weiter auch noch hierum zu kümmern! Es ist nicht sicherheitsrelevant, da ich das Tablet nur selten benutze und es nur in einem Gastnetz eingebunden ist.
3. Im Smart Home Bereich
- Der Wechselrichter für die neue Photovoltaikanlage forderte direkt nach der Installation ein Update. Beim Versuch dieses zu installieren, kam eine Fehlermeldung. Ich habe auf ein Update verzichtet und dem Wechselrichter die Internetverbindung gekappt. Immer mehr Anbieter bietet zusätzliche Analysetools auf ihrer Homepage an. Für Tools, welche für den Regelbetrieb nicht nötig sind, riskiert man eine offene Tür für Angreifer.
- Ich habe diverse Schaltaktoren von namhaften Herstellern installiert. Gleiche Aktoren verhielten sich unterschiedlich, weil sie unterschiedliche Softwareversionen aufwiesen. Alle wurden zur gleichen Zeit direkt vom Hersteller gekauft.
- Mehrere Tage habe ich gekämpft, weil ich immer wieder sieben Devices auf Werkseinstellung zurücksetzen musste. Jedes mal, wenn ich ein Passwort vergeben hatte, kam ich nicht mehr ins System. Nach einer Woche konnte ich ein neues Update installieren, welches den Fehler behob. Hätte ich auf automatische Updates gestellt, hätte ich an meinem Verstand gezweifelt, weil ich die Patch-Meldung der Fehlerbehebung nicht gesehen hätte. Ich habe jetzt alle Systeme auf einem gleichen funktionierenden Stand. Weitere Updates lasse ich nicht zu. Eine Verbindung zum Internet wird nur im Notfall aufgebaut.
Im Ergebnis werden Betatests auf einige Kunden mit Know-how verlagert und je nach Anzahl der Beschwerden nachgebessert. Beim Nutzer entstehen so immer mehr offene Türen.
Wenn wir ein sicheres Internet haben wollen, dann brauchen wir nicht eine Billion Devices mit einer Billion möglichst verschiedener Passwörter und unterschiedlichem Updatestatus, sondern wir brauchen ein Konzept zur einfachen Authentifizierung, wie in meinem Buch vorgeschlagen.
Wir brauchen zudem eine Verpflichtung aller Unternehmen, ihre Geräte alle mit der gleichen, getesteten Softwareversion auszuliefern.
Ein Konzept mit permanenter Updatemöglichkeit bietet für die Hersteller kurzfristig erhebliche Rationalisierungs- und Kostenvorteile. Der Kunde wird sich verärgert jedoch weiteren Systemkäufen verweigern, wenn ihm die Menge der bereits eingesetzten Systeme als nicht beherrschbar erscheint. In der Regel gibt der Kunde zudem bei seinen vorhandenen Systemen auf und kümmert sich nicht mehr um seine durch ihn nicht erreichbare Sicherheit.
Hersteller müssen ihre Innovationszyklen verlangsamen und die Geräte so weit möglich entnetzen. Damit wird die Lebensqualität der Nutzer steigen und nicht sinken. Die Wertschöpfung der Hersteller wird nachhaltig erfolgreicher werden. Markterschließungskosten werden gesenkt werden, wenn die Kundenzufriedenheit und damit die Akzeptanz der Produkte gesteigert werden kann. Menschliches Versagen wird da ausgeschlossen, wo Systeme fehler- und wartungsfrei funktionieren.
Es gibt eine Wettbewerbsspirale der immer kürzeren Innovationszyklen von halbfertigen Produkten.
Konsumenten, die in Zukunft nicht der Technik absolut ausgeliefert sein wollen, brauchen eine Stimme. Deshalb treiben wir den Aufbau von www.gisad.eu und www.gadt.eu voran.
Nur wenn der Konsument seine Bedürfnisse artikuliert, wird sich bei den Herstellern etwas ändern!