Das Internet der gehackten Dinge

Auf der Hackerkonferenz Defcon zeigen Forscher, wie sich Autos, Toiletten und ganze Smart Homes hacken lassen. Das Internet der Dinge ist oft ungesichert.

Quelle: Die Zeit vom 29.07.13

Denn Smart Homes müssen vor dem Zugriff durch Unbefugte gesichert sein. Die bisherigen Sicherheitsmaßnahmen mancher Anbieter verdienen jedoch diesen Namen nicht. 

Was für Häuser gilt, gilt erst recht für Autos. In ihnen stecken längst diverse Computer und auch die können gehackt werden. Die Sicherheitsforscher Charlie Miller und Chris Valasek haben zum Beispiel einen Weg gefunden, die Bremsen eines Ford Escape und eines Toyota Prius per Laptop zu manipulieren. Sie können die Bremse schlicht deaktivieren. Der Fahrer tritt also im Zweifel aufs Bremspedal, ohne dass sein Auto sich dafür interessiert. Umgekehrt funktioniert es auch, Miller und Valasek können bremsen, ohne dass der Fahrer es beeinflussen kann.

Der Forscher Flavio Garcia von der Universität von Birmingham und zwei seiner Kollegen wurden vor wenigen Tagen per Gerichtsentscheid gezwungen, die von ihnen entdeckte Sicherheitslücke unter Verschluss zu halten. Sie hatten den Code geknackt, mit dem die Elektronik von Luxusautos der Marken Lamborghini, Audi, Bentley und Porsche den Zündschlüssel beim Anlassen verifiziert. Gut organisierte Kriminelle hätten damit eigene Schlüssel herstellen und Autos problemlos stehlen können.

Der Dachkonzern Volkswagen wusste sich nicht anders zu helfen als mit einem Antrag auf einstweilige Verfügung.

Zum Glück wird dieselbe Technologie auch immer häufiger im Infrastrukturbereich eingesetzt ... spannende Zeiten ... aber es ist eh noch nichts schlimmes passiert, würde der Optimist sagen, Vorsicht Truthahn-Illusion der Realist.

Truthahn-Illusion 

Ein Truthahn, der Tag für Tag von seinem Besitzer gefüttert wird, hat nicht die geringste Ahnung, was am Tag X passieren wird. Er muss aufgrund seiner täglich positiven Erfahrung annehmen, dass die Wahrscheinlichkeit, dass etwas Gravierendes passiert von Tag zu Tag kleiner wird, bzw. steigt das Vertrauen mit jeder positiven Erfahrung (Fütterung). Am Tag vor Thanksgiving wird jedoch ein entscheidender Wendepunkt eintreten, mit fatalen Folgen für den Truthahn. Die Truthhahn-Illusion steht auch für die Überzeugung, dass sich jedes Risiko berechnen lässt, obwohl das nicht möglich ist. Risiken lassen sich berechnen, wenn drei Bedingungen erfüllt sind:

• Geringer Grad an Ungewissheit: Die Welt ist stabil und vorhersagbar.

• Wenig Alternativen: Es müssen nicht zu viele Risikofaktoren abgeschätzt werden.

• Es steht eine große Datenmenge für diese Schätzungen zur Verfügung.

Parameter, die in einer zunehmend vernetzten und dadurch dynamischer werdenden Welt immer seltener zusammentreffen. Hinzu kommt, dass wir gerne die Abwesenheit eines Beweises für eine Gefahr mit dem Beweis für die Abwesenheit, das heißt, die Nichtexistenz dieser Gefahr, verwechseln. Entscheidend ist dabei, dass der Schaden in der Zukunft und nicht in der sauber definierten Vergangenheit liegt.

Ein Risiko wird generell aus dem Produkt der Eintrittswahrscheinlichkeit eines Ereignisses mit den möglichen Konsequenzen berechnet. Daraus werden dann Maßnahmen bzw. das einzugehende Restrisiko abgeleitet. Es gibt durchaus Bereiche, wo diese Methode sehr erfolgreich einsetzbar ist und auch eingesetzt wurde. Damit ist aber auch eine gewisse Illusion entstanden, dass alles berechenbar und steuerbar ist. Das Problem dabei ist, dass die Konsequenzen umso schwerwiegender sind, je seltener das Ereignis eintritt. Dadurch werden seltene Ereignisse massiv unterschätzt bzw. gerne vernachlässigt.

Eine einfache Möglichkeit damit umzugehen ist Subtraktion statt Addition von Wissen. Was wir heute wissen, kann sich morgen als falsch erweisen, aber etwas, von dem wir wissen, dass es falsch ist, kann sich nicht – jedenfalls nicht so ohne Weiteres – als richtig herausstellen. Falsifikation ist schlüssiger als Bestätigung. Wir wissen wesentlich besser, was falsch, als was richtig ist, oder negatives Wissen (Was ist falsch? Was funktioniert nicht?) ist robuster gegen Irrtümer als positives Wissen (Was ist richtig? Was funktioniert?)

Siehe auch Nassim Taleb und Gerd Gigerenzer.