Weg vom Internet der (unsicheren) Dinge

Produktauswahl, Installation, nach dem Kauf

Die Produktauswahl

So, jetzt haben Sie sich entschieden, ein neumodisches Dingsda zu kaufen. Welcher Hersteller und welches Produkt darf es denn sein? Zuerst:
  • Hat der Hersteller langjährige Erfahrung mit Software-Entwicklung, -Pflege und IT-Sicherheit? Wenn nicht, sollten Sie die Finger davon lassen.
Okay, damit ist Ihr Einkauf schon gescheitert; das hat die Anzahl möglicher Firmen wohl auf Null schrumpfen lassen. Aber genau dies zeigt, wie schwierig dieses Geschäft ist. Hat der Hersteller jahrzehntelang gezeigt, dass er komplizierte, einbruchssichere Türschlösser aus gehärtetem Spezialstahl herstellen kann? Grossartige Leistung, gratuliere! Aber wieso genau befähigt diese Erfahrung in Sicherheitsstahl den Hersteller bei IT-Sicherheit? Kann er damit automatisch Millionen von Webservern sicher im Internet betreiben, einen in jedem verkauften Produkt, auch bei Ihnen daheim oder in der Firma? Nein, nicht automatisch. Aber vielleicht hat er sich die Expertise ja zugekauft. Das können Sie mit folgenden Fragen feststellen:
  • Sind die Geräte von Anfang an sicher konfiguriert? Wird für die Konfiguration ein einmaliges, nicht erratbares Administratorkennwort genutzt?
  • Können Sie das Passwort ändern? Können Sie es zurücksetzen, falls Sie es vergessen haben? Wie wird ein Unbefugter daran gehindert?
  • Kann sich jeder ohne Anmeldung mit dem Gerät verbinden? (Bei Bluetooth-Lautsprechern kann das okay sein, bei den meisten anderen Geräten nicht.)
  • Wie lange wollen Sie das Gerät betreiben? Wird es dann den Hersteller noch geben?
  • Werden Sicherheits-Updates geliefert? Wie häufig? Für wie lange? Wollen Sie das Gerät länger betreiben?
  • Müssen Sie die Sicherheits-Updates manuell installieren? Werden Sie das auch wirklich regelmässig tun? Bestehen Sie lieber auf automatischen Updates!
  • Erfasst, speichert und übermittelt das Gerät auch nur Daten, so lange sie benötigt werden? Diese Datensparsamkeit zeugt vom bewussten Umgang mit Risiken.
  • Welche Daten erfährt der Hersteller und wie genau nutzt er diese? Informiert er Sie aktiv vor einer Nutzungsänderung? Können Sie dem widersprechen und das Gerät trotzdem wie bis anhin verwenden?
  • Bietet das Gerät Funktionen an, die Sie nicht wirklich benötigen? Jede zusätzliche Funktion ist ein potenzielles Einfallstor.
Falls Sie die Geräte nicht nur als Privatperson einsetzen möchten, sondern als wichtige Komponente Ihrer Firma («Industrie 4.0»), sollten Sie noch folgende Fragen klären:
  • Nutzt das Entwicklungsteam definierte Prozesse für die Software-Entwicklung, Qualitätssicherung und Tests? Nutzt es mindestens Werkzeuge wie Versionsverwaltung und Bugtracker? Was machen dessen Software-Zulieferer? Wie gewährleisten sie die Sicherheit? 

Bei der Installation

  • Wählen Sie ein neues, sicheres Passwort. Speichern Sie es in Ihrem Passwort-Manager (evtl. integriert in den Webbrowser) und legen Sie es in Papierform bei Ihren wichtigen Dokumenten ab, sodass Sie es wiederfinden können.
  • Muss das Gerät wirklich Internetzugang haben? Oder reicht der Zugang innerhalb Ihres Heimnetzwerks? Oder sollte es meist ganz ohne Netz funktionieren? Richten Sie das Gerät und Ihren Heim-Router entsprechend ein; besonders in Bezug auf Freigaben, Filter und Kindersicherung. 

Nach dem Kauf

Stellen Sie sicher, dass sich der Hersteller auch nach dem Verkauf noch um Sie und Ihr Gerät kümmert.
  • Haben Sie von einem Sicherheitsproblem gehört oder glauben, eines gefunden zu haben? Nehmen Sie sofort mit dem Hersteller Kontakt auf. Verlangen Sie besonders in der Garantiezeit schriftlich eine Lösung des Problems in angemessener Zeit (wenige Wochen).
  • Ist Ihnen durch in das Gerät eingedrungene Bösewichte Schaden entstanden? Reden Sie mit dem Juristen Ihres Vertrauens, ob eine Schadenersatzforderung sinnvoll wäre.
Viel Spass mit Ihrem neuen Produkt, möge es Ihnen lange Freude bereiten!
Information
Noch mehr IoT-Horror-Müsterchen gefällig? Lesen Sie «Smart Home des Grauens».



Kommentare

Es sind keine Kommentare vorhanden.