Das Internet der Dinge ist seit einiger Zeit in aller Munde – nicht nur weil es das allermodernste ist, was die IT-Technik zu bieten hat, sondern vor allem auch wegen seiner Schwachstellen, die regelmäßig ausgenutzt werden.

Sicherheitsexperten ist der laxe Umgang mit der Sicherheit von IoT-Geräten schon länger ein Dorn im Auge, insbesondere, wenn es um private Geräte geht. Sie prangern an, dass es bis dato noch nicht einmal einen Minimalstandard gibt für die Sicherheit solcher Geräte. Und das, obwohl die Hersteller nur allzu gut wissen, dass es alle Nase lang eine neue Lücke in der Software gibt, die gepatcht werden muss und auch, dass alle Geräte mit voreingestelltem Passwort ausgeliefert werden. Vielleicht hilft den Verbrauchern da nur Beharrlich zu bleiben und immer wieder Fragen wie diese zu stellen:

1. Wie lange nach dem Kauf kann ich Sicherheitsupdates erwarten?
   Da ja bekannt ist, dass alle IoT-Geräte Schwachstellen haben, könnten wir Verbraucher doch von den Herstellern erwarten, dass sie ihre Kunden ein paar Jahre lang mit kostenlosen Softwareupdates versorgen. Und, wenn das Gerät mit einem speziellen Algorithmus läuft, der ab einem bestimmten Zeitpunkt fehlerhaft ist, sollte es doch zurückgerufen werden und durch ein neues ersetzt werden, oder nicht?
2. Wie erfahre ich eigentlich von Sicherheitsupdates?
   Falls es solche gibt, wie und wo finde ich sie wohl? Gibt es eine E-Mail Benachrichtigung oder eine Herstellerwebsite mit den stets neuesten Firmware-Versionen? Es funktioniert bei allen kleinen Apps auf Smartphones, es müsste also doch auch für IoT-Software funktionieren.
3. Kann ich bitte mal den Penetrationstest für dieses Gerät sehen?
   Solche Testinformationen mitzuliefern könnte genau den Unterschied machen und die Spreu vom Weizen trennen, was die Hersteller angeht. Und es entscheidet damit auch, ob ein Gerät gekauft wird oder nicht. Es würde uns Käufern gleich sagen, dass der Hersteller seine Hausaufgaben gemacht hat und sein Produkt mit einer Sicherheitssoftware ausgestattet hat.
4. Wie und wo kann ich Schwachstellen melden?
   Wenn wir Verbraucher etwas Verdächtiges bemerken, wo können wir unser Problem hintragen? Es wäre schön, wenn es auf der Herstellerhomepage eine Möglichkeit gäbe.
5. Das Gerät hat eine Verschlüsselung – welche denn?
   Natürlich ist das eine ungewöhnlich spezielle Frage, aber manchen interessiert sie dennoch. Ein paar Details preiszugeben würde Verbrauchern bestätigen, dass Hersteller auch hier ihre Hausaufgaben gemacht haben.

Bestimmt gibt es noch viele andere Fragen, die wir Verbraucher an Hersteller von IoT-Geräten stellen könnten – und wir sollten bei jeder Gelegenheit es auch tun. Ob wir eine Antwort auf unsere Fragen erhalten, ist eine andere Sache. Vermutlich werden wir hier enttäuscht werden.

Aber wer weiß, wenn wir alle beharrlich weiterfragen, müssen die Hersteller irgendwann reagieren. Hersteller könnten ja schon mal den ersten Schritt in die richtige Richtung tun, in dem sie Verbraucher keine andere Wahl lassen, als das werkseitig voreingestellte Passwort bei erstmaliger Inbetriebnahme zu ändern. Das wäre wirklich ein guter Anfang.

Artikel von isc.sans.edu, 12.12.2016: 5 Questions to Ask your IoT Vendors; But Do Not Expect an Answer