Die unsichtbare Gefahr

19. Oktober 2019

Die Wahlen stehen vor der Tür und die Themen Klima, Gesundheitskosten oder die Beziehungen zur EU sind in aller Munde. Zurecht, aber es gibt noch andere wichtige politische Angelegenheiten. Wie steht es um die allgemeine IT-Sicherheit und unsere Netzpolitik? Ist uns bewusst, wie gefährlich das Internet der Dinge sein kann?

Auf diese Fragen erhielt ich nur ernüchternde Antworten. Bei mir löst dies ein mulmiges Gefühl aus, denn die Informationssicherheit betrifft uns alle. Leider ist sie nicht greifbar und nicht hörbar, sie ist schlicht und einfach unsichtbar. Die Auswirkungen spüren wir meist zu spät. Beispielsweise erst dann, wenn private Bilder, aufgenommen vom neuen Smart-TV, im Facebook kursieren oder eine Lösegeldforderung eintrifft, um die verschlüsselte Festplatte zu entsperren.

Das Internet der Dinge (Internet of Things oder IoT) ist kurz erklärt die konsequente Vernetzung von möglichst vielen Dingen über das Internet. Es versteckt sich im Kühlschrank, in Webcams, im Babyphone und in der intelligenten Mülltonne, die mir sagt, wann sie voll ist. Eigentlich sehr praktisch, solange es funktioniert und sicher ist.

Wir alle könnten uns mit sicheren Passwörtern (teilweise) schützen. Allerdings verkaufen viele Produzenten nach wie vor unsichere Geräte. Kostendruck und hohe Ansprüche an die Benutzerfreundlichkeit haben zu einer Vernachlässigung der Sicherheit geführt. Eine Produkthaftung sowie eine Deklarationspflicht würde bereits Abhilfe schaffen, um uns Konsumenten zu schützen. Doch zurzeit werden weiterhin tausende Geräte ohne sichere Passwörter und Technik an das Internet der Dinge angeschlossen. Teilweise ist dies auch gewollt, denn die Hersteller bauen einen Servicezugang ein, welcher für eine allfällige Fernwartung genutzt werden kann. Die ideale Einladung für Internetkriminelle.

Einmal in einem Netzwerk drin, lässt sich relativ einfach über eine Schadsoftware ein sogenanntes Botnetzwerk aufbauen, um damit Angriffe durchzuführen. Das ist keine Science-Fiction, sondern ein virtuelles Netz aus Laptops, Waschmaschinen, Überwachungskameras und anderen Geräten mit Internetanschluss. Alle Geräte innerhalb dieses Geflechts können die Internetkriminellen jetzt zentral steuern. Das Heimtückische, wir kriegen davon nichts mit. Solche Botnetze sind das Schweizer Taschenmesser der Cyberkriminalität. So ziemlich alles, was man in der Cyberkriminalität tun kann, lässt sich mit Bots machen.

Mit solchen Netzen wurden Angriffe auf PayPal, Netflix oder Digitec ausgeübt. Die betroffenen Internetseiten fielen für Stunden aus. Halb so schlimm denken sich vielleicht einige, schliesslich dauerte der Ausfall nur ein paar Stunden. Was wenn aber plötzlich weder das Auto noch der Bankautomat ihre Dienste verrichten? Oder die Stromversorgung und staatliche Sicherheitswarnsysteme, wie Alarmsirenen, lahmgelegt oder für andere Zwecke missbraucht werden?

Die WannaCry-Erpressersoftware verschlüsselte im Jahr 2017 medizinische Geräte in dutzenden Spitälern in Grossbritannien. Theoretisch könnte man mit solchen Netzen auch Angriffe auf das E-Voting ausüben. Das klingt alles sehr absurd und die wenigsten verstehen es, aber es funktioniert trotzdem.

Leider interessiert Netzpolitik (fast) niemanden und man kämpft gegen die Ignoranz vieler Politiker und Mitbürger. Mich lässt der Gedanke nicht los, dass es zuerst «räble» muss, bevor wirklich Initiative ergriffen wird. Sogar der riesige Datenklau beim wichtigsten Rüstungsbetrieb der Schweiz (RUAG) verblasste im politischen Tagesgeschäft.