Mit Sicherheit nicht sicher: Das Internet der Dinge
Im Rahmen des „Internet of Things“ (IoT) werden Verbrauchergeräte, angefangen bei Türschlössern, über Glühbirnen, bis hin zu Zahnbürsten und Plüschtieren für Kinder, immer intelligenter. Sie sind im Rahmen von Smart Homes mit anderen Geräten und Smarten Assistenten verbunden, in der Regel dauerhaft online, und durch Fehlkonfigurationen sind die Geräte selbst oder die gesammelten Daten potentiell öffentlich im Internet zugänglich. Den Überblick über die am Markt verfügbaren Geräte und ihre Funktionalität zu verlieren, ist leicht. Die entsprechenden Auswirkungen auf die Sicherheit und den Datenschutz sind noch weitgehend unerforscht, da diese Geräte einzeln auf ihre Sicherheitsmerkmale zu analysieren aufgrund der Gerätevielfalt kaum skaliert.
In dem vom Wiener Wissenschafts-, Forschungs- und Technologiefonds (WWTF) geförderten Projekt „IoTIO: Analyzing and Understanding the Internet of Insecure Things“ versuchen wir seit Juni 2020 mehr Licht in das Netz der unsicheren Dinge bringen. Anstatt eine Vielzahl an Geräten anzuschaffen und zu analysieren, konzentrieren wir uns auf die mobilen Steuerungs-Apps und Assistenten. Mit Hilfe von automatisierten Analysemethoden wollen wir auf der einen Seite Einblick in die Sicherheit der Kommunikationsprotokolle gewinnen. Zusätzlich untersuchen wir die Kommunikation mit den Servern in der Cloud, insbesondere welche Daten gesammelt werden, in welche Hände sie gelangen, und wie diese abgesichert sind – ohne dass die IoT Geräte selbst dazu erforderlich sind. Unser Ziel ist es VerbraucherInnen, HerstellerInnen und GesetzgeberInnen, Sicherheitslücken und Designfehler in IoT Geräten und deren Kommunikationsprotokollen aufzuzeigen, eine Entscheidungshilfe beim Kauf zu bieten, sowie Empfehlungen abzugeben, wie Geräte und Protokolle sicherer konzipiert werden können.
Dazu suchen ich derzeit Unterstützung: Zwei DoktoratsstudentInnen sollen das Projekt für die nächsten 3 bis 4 Jahre an der TU Wien unter meiner Leitung durchführen. Dabei haben sie auch die Chance, in einem wachsenden Team von international anerkannten ForscherInnen zu arbeiten: Unser Forschungsbereich Security & Privacy an der TU Wien kombiniert formale Methoden, Kryptographie und angewandte Sicherheitsforschung. Das Team umfasst Prof. Matteo Maffei, Prof. Georg Fuchsbauer und mich, sowie derzeit 15 StudentInnen und PostDocs.
Zusätzlich startet im Herbst das Doktoratskolleg „Secure and Intelligent Human-Centric Digital Technologies“ an der TU Wien: Übergreifend über die Fakultäten für Informatik, Elektrotechnik und Mathematik werden 10 DoktoratsstudentInnen die Möglichkeit haben, zukünftige Technologien mit einer Kombination aus Formalen Methoden, Machine Learning und Security sicherer und transparenter zu gestalten.
Gemeinsam mit der Universität Wien und dem IST Austria haben wir auch gerade das Vienna Cybersecurity and Privacy Research Center (ViSP) gegründet. Unser Ziel mit diesem Zentrum ist, die bisher in diesem Bereich aufgebauten Kompetenzen zu bündeln und international sichtbare Forschungsaktivität anzuregen. Weiters soll die Ansiedlung von internationalen Firmen erleichtert und Ausbildungsangebote für Security-ExpertInnen erweitert werden. Zusätzlich kollaborieren wir mit SBA Research, dem größten außer-universitäre Forschungszentrum Österreichs, das sich exklusiv mit Informationssicherheit befasst und das gerade von der FFG als Competence Centers for Excellent Technologies (COMET) für weitere vier Jahre gefördert wurde.
Im Punkto Sicherheitsforschung tut sich also was in Wien, und das ist gut so. Nicht nur in der Wirtschaft herrscht Fachkräftemangel, auch an den Universitäten ist es schwer, mit den Reizen der Wirtschaft und Gehältern von internationalen Großkonzernen mitzuhalten. Dabei ist offene Forschung vor allem im Sicherheitsbereich und beim Datenschutz enorm wichtig: Der Irrglaube mit der Geheimhaltung von Sicherheitslücken und Hintertüren einen Vorteil zu erlangen, hält sich leider noch immer, von der fehlenden Transparenz und Überprüfbarkeit beim Thema Datenschutz ganz zu schweigen.
Wer eine sichere Zukunft mitgestalten will, kann mehr Informationen auf der Website unseres Forschungsbereiches finden: https://secpriv.tuwien.ac.at/work/
Martina Lindorfer ist Assistenzprofessorin an der TU Wien im Forschungsbereich Security & Privacy und Key Researcherin bei SBA Research. Sie forscht an angewandten Sicherheitsfragen, wie zum Beispiel der Analyse von Schadsoftware, und dem Umgang von mobilen Applikationen mit privaten Daten. 2019 wurde sie von der Stadt Wien mit dem Hedy Lamarr Preis für innovative Frauen in der IT ausgezeichnet.