IT-Sicherheit in Zeiten von Alexa und Co.

Dr. Heiko Roßnagel ist seit 2008 am Fraunhofer IAO Leiter des Teams Identitätsmanagement und stellv. Leiter des Forschungsbereichs Human Computer Interaction. Er kann auf über 100 wissenschaftliche Veröffentlichungen zu Sicherheit, Identitätsmanagement und Privacy verweisen. Zudem ist er Koordinator der EU-Projekte LIGHTest und FutureID.

Im privaten Bereich sind digitale Assistenten und Wearables keine Seltenheit mehr. Diese Geräte erfahren viel von und über ihre Benutzer. Und das wirft viele Fragen zu Datenschutz und -sicherheit auf – Wo sehen Sie da im privaten Bereich die größten Gefahren?

Private Nutzer müssen sich im Klaren sein, dass die von den Assistenten gesammelten Daten – und das sind häufig sehr sensible Daten wie Gesprächsaufzeichnungen, Ortsdaten, Gesundheitsdaten – in der Regel nicht auf den Geräten verbleiben. Die „Intelligenz“ der Assistenten sitzt in der Cloud – an die dortigen Server der Hersteller oder auch an Dienstanbieter werden die Daten übertragen. Bei Geräten von Billiganbietern besteht zudem die Gefahr, dass die Daten in Länder mit niedrigen Datenschutz- und Sicherheitsstandards übertragen werden.

Für Angreifer ergeben sich damit zahlreiche Angriffspunkte, um gezielt private Daten abzugreifen. Gleichzeitig ist vielen Nutzern nicht bewusst, wie viele sensible Informationen die Anbieter auch im regulären Betrieb über die einzelnen Nutzer erhalten, speichern und verarbeiten. Einerseits werden natürlich erst so die vielen komfortablen Funktionen möglich. Es lässt sich damit jedoch auch gezielter Werbung schalten. Aber auch der Umgang mit den privaten Daten durch die Anbieter ist häufig problematisch: So wurde immer wieder bekannt, dass etwa Aufzeichnungen von Sprachassistenten von Angestellten der Assistenzbetreiber transkribiert werden. Dies geschieht zu Zwecken der Optimierung der Software und laut Vorgaben der Hersteller in anonymisierter Form. Allerdings ging aus den Veröffentlichungen hervor, dass die Angestellten natürlich erst einmal die Aufnahmen aus Wohn- und Schlafzimmern anhören mussten, und dabei auch sensible Informationen zu hören bekamen, welche sich anhand der Gesprächsinhalte de-anonymisieren ließen. Einige Hersteller haben inzwischen reagiert und fragen nach, ob die Nutzer dieser Verarbeitung der Daten zustimmen.

Neben dem problematischen Umgang mit den privaten Daten durch die Anbieter ergibt sich eine weitere Gefahr: Smarte Assistenten werden auch zur Steuerung von Smart Home genutzt. Hier bestünde die Möglichkeit, dass Angreifer gezielt die vernetzten Assistenten nutzen, um in das private Netzwerk eines Nutzers einzudringen. Viele smarte Geräte sind häufig nicht auf dem aktuellsten Softwarestand und weisen darum Sicherheitslücken auf, die es Angreifern einfach machen. Ist der Angreifer im Netzwerk, kann er Daten des Nutzers abgreifen oder auch das Smart Home direkt angreifen und dort Fehlfunktionen auslösen. Ein hypothetisches Szenario wäre etwa die Öffnung von Fenstern oder Türen. Weitere Probleme können auftreten, wenn ein Smart Home mit Cloud Services verbunden ist und dieser einen Angriff erfährt. Hierzu gab es in der Vergangenheit bereits Beispiele für Fehlfunktionen nach dem Ausfall von Cloud-Diensten durch Denial-of-Service Angriffe.

Welche Risiken bestehen, wenn Mitarbeiter ihre digitalen Assistenten bei der Arbeit nutzen?

Die soeben genannten Datenschutzherausforderungen privater Nutzer werden im beruflichen Kontext zu Herausforderungen für die unternehmerische IT-Sicherheit. Die Angriffspunkte sind im Prinzip dieselben. Wenn Mitarbeiter ihre digitalen Assistenten und Wearables bei der Arbeit nutzen, sammeln diese natürlich weiter fleißig Daten und übertragen diese nach draußen an andere Unternehmen. Auf dem Weg dorthin oder von schlecht gesicherten Servern können die Daten abgegriffen werden. Somit ergibt sich ein potenzielles Einfallstor für Wirtschaftsspionage.

Hierzu muss nicht einmal immer illegal in Systeme eingedrungen werden: Manchmal veröffentlichen Hersteller auch bewusst als Feature gesammelte Daten in aggregierter Form über Schnittstellen, die dann andere Anbieter nutzen können oder Community-Funktionen darstellen.

Für die US-Army wurde dies zum Problem, als der Hersteller einer Fitness-App eine Weltkarte veröffentlichte, auf der von der App über Fitness-Armbänder aufgezeichnete, beliebte Laufstecken abgebildet wurden. Soldaten auf geheimen Stützpunkten in wenig besiedelten Gegenden hatten ihre Laufrunden um den Stützpunkt mit der App aufgezeichnet. Auf der öffentlichen Karte fielen diese auf, da auf den offiziellen Karten dort eigentlich keine Siedlungen verzeichnet waren. Dieses, wenn auch etwas spezielle Beispiel, illustriert, wie problematisch es sein kann, wenn Daten unkontrolliert aus dem Unternehmen abfließen, auch wenn keinerlei böser Gedanke dahinter steckt.

Wie können Unternehmen mit den neu entstandenen Risiken umgehen?

Der traditionelle und auch heute noch häufig gewählte Ansatz ist einfach das Verbot von digitalen Assistenten und Wearables bei der Arbeit. Gerade die jetzige Situation, in der viele Menschen von zuhause aus arbeiten, zeigt jedoch sehr gut, wie wenig zielführend dieser Ansatz sein kann. Auf einem streng abgesicherten Betriebsgelände, etwa in einer Entwicklungsabteilung, lässt sich ein solches Verbot vielleicht noch durchsetzen. Aber im normalen Büroalltag werden sich Smartwatches und Smartphones mit Siri und Co., GPS-Trackern usw. kaum verbieten lassen. Ganz zu schweigen von der Arbeit im Homeoffice, welche nach Ende der Corona-Situation vielleicht zurückgehen wird, aber kaum mehr auf das Maß wie zuvor. In der Privatwohnung stehen dann eben smarte Lautsprecher und es halten sich weitere Bewohner auf, die smarte Geräte bedienen.

Jedenfalls brauchen wir andere Maßnahmen, um mit den Risiken umzugehen. Wir sehen hier großes Potenzial in der Nutzung von Sicherheitsassistenten, die mit den Assistenten und Wearables verbunden werden und diese kontrollieren. Sie nutzen, ähnlich wie „gewöhnliche“ smarte Assistenten, ihre Intelligenz etwa für Kontexterkennung und proaktive Hinweise, nur eben für Sicherheit und Datenschutz. Je nach Situation werden bestimmte Funktionen smarter Assistenten direkt ausgeschaltet oder der Nutzer per Benachrichtigung gebeten, doch bitte sein Smartphone für ein vertrauliches Meeting in den Flugmodus zu schalten. Sicherheitsassistenten nutzen künstliche Intelligenz, um sowohl Sicherheitsverantwortliche, als auch Mitarbeiter bei einer Umsetzung einer IT-Security Policy für smarte Assistenten und Wearables zu unterstützen. Hervorzuheben ist dabei selbstverständlich, dass eine solche Policy auch die Sensibilisierung und Schulung der Mitarbeiter für die Thematik beinhalten muss.

In den USA telefoniert der Google Assistent schon fleißig. Müssen wir damit rechnen, dass die Enkeltricks und CEO-Frauds demnächst vollautomatisch am Telefon ablaufen können?

Solche Betrügereien, die unter die sogenannten Social-Engineering-Angriffe fallen, sind auch jetzt schon sehr erfolgreich. Hierbei werden nicht technische Schutzmaßnahmen angegriffen, sondern Menschen geschickt getäuscht, um Angriffe auszuführen. Die neuen technischen Möglichkeiten der Stimm- und sogar Videosynthese stellen tatsächlich nicht nur theoretisch eine Bedrohung dar, sondern verschärfen die Bedrohungslage noch weiter.

Dies zeigt der bereits im September 2019 berichtete Fall eines erfolgreichen CEO-Frauds mittels Stimmsynthese. Dass CEO-Fraud-Angriffe bereits in naher Zukunft vollautomatisiert durchgeführt werden können, ist vielleicht zu bezweifeln, da für einen Angriff doch auch spezifische Informationen über das Zielunternehmen vorhanden sein müssen. Aber die Automatisierung simplerer Betrugsmaschen, wie des Enkeltricks, könnte bereits in absehbarer Zeit Realität werden. Und auch so sind die Schadenpotenziale hoch: Bei einer Zunahme mobiler Arbeit und der Abnahme direkter, persönlicher Vor-Ort-Kontakte, müssen sich Unternehmen hier sicherlich durch einfache und zuverlässige Identifizierungsverfahren, Sicherheits-Policies und Mitarbeiteraufklärung gegen zunehmend ausgefeiltere Angriffe wappnen. 

Sprache und biometrische Daten aus Wearables können auch zur Authentifikation eingesetzt werden. Können digitale Assistenten und Wearables, wenn sie richtig eingesetzt werden, auch dabei helfen, die Sicherheit eines Unternehmens zu verbessern?

Das ist natürlich richtig. Zum Beispiel können, wie bereits genannt, Sicherheitsassistenten eingesetzt werden, um die Sicherheit und Privatsphäre zu schützen. Auch Spracherkennung kann, wenn richtig eingesetzt, einen wesentlichen Beitrag zur Sicherheit liefern, zum Beispiel zur stimmbasierten Authentisierung. Auch Kameras könnten helfen, den Kontext zu erfassen.

Die Herausforderung dabei ist aber, dies so zu gestalten, dass dabei keine Nachteile in Bezug auf Datenschutz und Privatsphäre entstehen. Wenn ich zum Beispiel eine stimmbasierte Authentisierung für Alexa und Co. einsetze, muss ich, damit das funktioniert, auch meine biometrischen Daten hinterlegen, indem ich das ganze trainiere. Das heißt, ich muss auch dem Anbieter bis zu einem gewissen Grad vertrauen. Ähnlich ist es bei einer Kamera, mit der ich erfasse, wer im Raum ist. Diese Information kann ein Security-Assistent nutzen, um den Kontext einzuschätzen und beispielsweise im Falle der Anwesenheit einer unbekannten Person bestimmte Sicherheitsvorkehrungen vorzunehmen. Aber auf der anderen Seite kann eben auch die Anwesenheit bekannter Personen bereits eine sensible Information sein. Hier müssen wir an Lösungen arbeiten, um die richtige Balance zu finden. Das wird eine große Herausforderung, aber auch eine große Chance, und erfordert noch einiges an Forschungsarbeit.