Neben ihrem Programmcode bieten gerade vernetzte Geräte noch eine weitere Angriffsstelle: die von ihnen an andere Geräte übermittelte Information.
So ist ein Autoschlüssel ein unscheinbarer Gegenstand, enthält aber komplizierte Mathematik: Wer seinen Wagen aus ein paar Schritten Entfernung per Funk öffnet, will schließlich sicher sein, dass es Verbrechern nicht möglich ist, das Funksignal abzufangen und dem Auto den Befehl zum Öffnen auch ohne Schlüssel vorzuspielen; die Kommunikation zwischen Auto und Autoschlüssel wird deshalb mit mathematischen Verfahren verschlüsselt.
Begrenzte Ressourcen
Ein Autoschlüssel ist allerdings kein Hochleistungscomputer: Mit seinem billigen Chip und seiner kleinen Batterie schafft er keine komplizierten Berechnungen – und damit auch keine aufwändige Kryptografie. Ähnlich ein Herzschrittmacher: Ihn kann man per Funk einstellen, und selbstverständlich muss die Kommunikation hier ebenfalls abgesichert sein.
Wie der Autoschlüssel besitzt auch der Herzschrittmacher keinen leistungsstarken Computer für die Verschlüsselung, und es gibt bloß eine kleine Batterie. „Dick Cheney, der ehemalige Vizepräsident der USA, hat aus Angst vor einem Anschlag per Funk angeblich die Fernsteuerungsfunktion seines Herzschrittmachers deaktivieren lassen“, berichtet Gregor Leander von der Ruhr-Universität Bochum. Der IT-Wissenschaftler selbst ist da gelassener, obwohl er einen großen Nachholbedarf sieht: „In der Praxis werden häufig unsichere Algorithmen verwendet.“
Sparsam, aber dennoch sicher
Solche Geräte sind damit ein Härtefall für IT-Experten wie Leander. Er ist auf sogenannte Lightweight-Kryptografie spezialisiert und entwickelt sparsame Verschlüsselungsverfahren. Sie können in kleinen, billigen Sensoren und Chips eingesetzt werden, wo nur wenig Rechenleistung und Strom zur Verfügung stehen – etwa im Fensterrahmen, im Thermostatknopf oder im Autoschlüssel.
„Es ist kein Problem, ein sicheres oder ein einfaches Verschlüsselungsverfahren zu finden“, sagt der Wissenschaftler. „Aber die sicheren Verfahren sind meistens kompliziert, und die einfachen Verfahren sind meistens unsicher. Die Herausforderung besteht also darin, beides gleichzeitig zu schaffen: Sicherheit und Einfachheit.“
Das klingt selbstverständlich, aber das ist es nicht: „In der Industrie werden häufig superschlechte Algorithmen eingesetzt“, beklagt Leander. Er und seine Kollegen wollen deshalb Abhilfe schaffen.
RUBIN/ Aeneas Rooch, Ruhr-Universität Bochum
Stand: 29.07.2016
