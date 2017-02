Zum Glück gehört Antony Gambacorta zu den Guten. Darüber würde sich – wenn er es denn wüsste – wohl auch jener Fabrikbesitzer aus Michigan freuen, dessen Sicherheitssystem der Informatiker gerade innerhalb weniger Minuten ausgehebelt hat. «Ich könnte jetzt von San Francisco aus alle seine Maschinen abschalten, neu kalibrieren oder individuell steuern», erklärt Gambacorta und ist sichtlich zufrieden damit, wie eindrücklich er gerade die Sicherheitsrisiken des «Internets der Dinge» aufgezeigt hat.

Das Internet of Things (IoT), wie es im Englischen heisst, hat sich zum geflügelten Wort und zum ganz grossen Geschäft entwickelt – für all jene, die internetfähige Geräte produzieren, aber auch für alle, welche diese Produkte manipulieren und für kriminelle Zwecke missbrauchen.

Davon handelte die Präsentation von Antony Gambacorta an der RSA-Konferenz, der weltweit grössten Veranstaltung zum Thema Cybersecurity. Diese fand vergangene Woche in San Francisco statt und hatte 43 000 Teilnehmer. Für die «Nordwestschweiz» demonstrierte Gambacorta nach seinem Vortrag, wie Hacker von diesen Sicherheitslücken profitieren können: Neben den Maschinen in Michigan verschaffte sich der Hacker mit Ethos problemlos auch Zugriff auf die Geräte einer kanadischen Autowaschanlage und auf mehrere Sicherheitskameras in Indonesien. So richtig gehackt hat er dafür aber nicht – er musste keine Viren verschicken, keine Passwörter knacken und keine Schlösser aufsprengen. Die digitalen Türen standen bereits sperrangelweit offen.

Vom Ausnutzen und Ausbessern

Im Gegensatz zu Computern und Smartphones sind IoT-Geräte häufig kaum geschützt. So können Hacker sehr einfach Daten stehlen, Personen ausspionieren oder gar physischen Schaden anrichten. Das gilt nicht nur für Maschinenanlagen, sondern auch für vernetzte Gegenstände: Kühlschränke, Glühbirnen, Autos, Sexspielzeuge und sogar Zahnbürsten.

In der Vergangenheit haben Sicherheitsexperten bereits aufgezeigt, dass sie über das Internet mit verhältnismässig einfachen Mitteln die Bremsen von bestimmten Autos während der Fahrt deaktivieren und sogar einzelne Herzschrittmacher gezielt ansteuern und nach ihren Vorstellungen manipulieren können. Es sind nicht mehr nur die biologischen Viren, die lebensgefährlich sein können, sondern neu auch die digitalen. Das Internet der Dinge stellt Computerspezialisten vor ganz neue Herausforderungen und macht ihren Job wichtiger als je zuvor. Bereits heute gibt es rund 15 Milliarden Geräte, welche mit dem Internet verbunden sind – bis 2020 soll diese Zahl gemäss Experten auf zwischen 30 und 50 Milliarden ansteigen.

Auf der ganzen Welt sucht man nach Lücken in Computer-Systemen. Die einen Spezialisten wollen diese ausnutzen, die anderen wollen sie ausbessern; eine klare Rollenverteilung und ein stetiges Wettrennen.

Firmen wie Microsoft und Apple haben Tausende Entwickler angestellt, um die Sicherheit ihrer Betriebssysteme zu garantieren. Das ist teuer. Und auch wenn man sich mit den Ausstellern an der RSA über ihre Software-Lösungen unterhält, wird einem schnell klar, dass Sicherheit kostet. Ein Preis, der im kompetitiven Markt nur sehr ungern bezahlt wird: «Wenn eine Firma ihr Produkt entweder sicher oder billig machen kann, dann wählt sie meist letzteres», sagte dazu Bruce Schneier, Sicherheitsverantwortlicher bei IBM. Vor allem in Asien würden viele Geräte produziert, die überhaupt nicht gegen Hacking-Angriffe geschützt sind: «Wenn man die Firmen nicht zwingt, gewisse Sicherheitsstandards einzuhalten, dann machen sie es auch nicht. Und der Kunde kann das selber nicht einschätzen, bemerkt die Sicherheitslücken also erst, wenn es schon zu spät ist.»

Die Forderung von Schneier ist deshalb klar und wurde an der RSA auch von seinen Kollegen stets wiederholt: Es braucht striktere Gesetze für IoT-Geräte. Dass man solche Aussagen an einer Technologie-Konferenz hört, ist selten. Normalerweise werden sie nämlich verteufelt, all die Regulierungen, welche Innovation und technischen Fortschritt mit unsinnigen Verboten hemmen. Beim Internet der Dinge steht aber zu viel auf dem Spiel.

Ein erzwungener Neustart

Je mehr Geräte mit dem Internet verbunden sind, desto grösser ist auch die Angriffsfläche für eine Hacking-Attacke. Und desto grösser ist der Schaden, welcher daraus entstehen kann. Denn Hacker können internetfähige Geräte nicht nur einzeln nutzen, sondern auch zusammenschliessen, um gross angelegte DDoS-Angriffe zu starten. Bei einer solchen Attacke werden Internetseiten so lange mit Daten überflutet, bis sie nicht mehr funktionieren. Auf diese Weise haben vor einem halben Jahr unter anderem gehackte Kühlschränke und DVD-Player dabei geholfen, Websites wie Twitter und Spotify lahmzulegen.

Das Internet der Dinge ist ein erzwungener Neustart für die Sicherheitsexperten. Es gilt, neue Standards zu definieren und gesetzliche Regelungen zu erlassen. Weil IoT-Geräte anders als Computer-Betriebssysteme nicht nur von einzelnen, sondern von unzähligen Firmen produziert werden, wird der Kampf zwischen den Guten und den Bösen im Netz ein langwieriger. Deshalb zählen schon die ganz kleinen Schritte in die richtige Richtung. Wie beispielsweise jenes Telefonat zwischen einem Sicherheitsexperten aus San Francisco und einem Fabrikbesitzer aus Michigan, welches für ein wichtiges Computerupdate und damit für ein bisschen mehr Sicherheit im digitalen Netz sorgte.