IT-Sicherheit:Wie gefährlich Hacker wirklich sind

Illustration Internet der Dinge

Illustration: Stefan Dimitrov

Apps im Auto, Wlan im Flugzeug, vernetzte Krankenhäuser und ferngesteuerte Smart Homes - die Digitalisierung macht den Alltag hackbar. Wie realistisch sind solche Angriffe? Ein Faktencheck.

Von SZ-Autoren

Wir haben es ja so bequem: Die Heizung lässt sich von unterwegs aus hochregeln, geweckt werden wir vom Duft des Morgenkaffees, interessiert sehen wir zu, wenn der Roboter-Rasenmäher im Garten seine Runden dreht - und mit dem Smartphone halten wir die Universalbedienung unseres vernetzten Lebens in der Hand. Wir lassen vom Urlaubsdomizil aus die Rollläden am Haus in der Heimat rauf- und runterfahren und gucken, ob die internettaugliche Überwachungskamera irgendetwas Verdächtiges aufgenommen hat.

Ja, es ist alles bequem, teilweise sogar lebensrettend, denn die Digitalisierung macht auch vor der Medizintechnik nicht halt. Doch jedes vernetzte Gerät ist angreifbar. Wenn es sich für Kriminelle lohnt, werden sie die vielen neuen Möglichkeiten auch nutzen, die sich ihnen in der Welt der vernetzten Alltagsgegenstände bieten. Wie Sicherheitsforscher immer wieder feststellen, machen es ihnen die Hersteller aber auch oft viel zu leicht.

Obwohl seit langem bekannt ist, wie man mit Passwörtern einigermaßen sicher umgeht, sparen sich viele Firmen den Aufwand, setzen leicht erratbare Standard-Passwörter oder verschlüsseln Daten nicht, die via Internet bei irgendwelchen Speicherdiensten abgelegt werden. Wie sieht es konkret aus bei der Heimvernetzung, bei internetfähigen Autos, bei der digitalisierten Medizintechnik und im Flugzeug? Das haben sich SZ-Autoren genauer angesehen.

Flugzeuge: Auf Absturz programmiert

Für Flugreisende ist Wlan an Bord komfortabel - für Hacker ist es ein potenzielles Angriffsziel. Die Airlines aber wiegeln ab.

Autos: Vernetzung als Sicherheitsrisiko

Digitale Technik kann Autos sicherer machen - aber eben auch angreifbar. Als Schwachpunkt erweisen sich Passwörter.

Medizintechnik: Nächtliches Desaster

In der Medizintechnik hinkt die Sicherheit dem Stand der Technik hinterher - wenn sich der Prakti ins Netz einklinkt, droht Gefahr.

Haushaltsgeräte: Sicherheitsrisiko Standard-Passwort

Inzwischen lassen sich zu Hause eine Menge Dinge fernsteuern. In puncto Sicherheit haben die Hersteller Nachholbedarf.

Flugzeuge: Auf Absturz programmiert

Boeing 737-800

Bei manchen modernen Flugzeugen wie dieser Boeing 737-800 sollen Cockpit- und Kabinen-Netzwerke miteinander verbunden sein - ein Sicherheitsrisiko.

(Foto: dpa)

Für Flugreisende ist Wlan an Bord komfortabel - für Hacker ist es ein potenzielles Angriffsziel. Die Airlines aber wiegeln ab. Von Simon Hurtz

Manchmal reicht ein einziger Tweet, um eine ganze Branche in Aufregung zu versetzen. "Sollen wir mal mit den Warnungen für die Crew herumspielen? Oder die Sauerstoffmasken anschalten?" Das fragte Chris Roberts im April auf Twitter. Der IT-Sicherheitsforscher meinte das als Scherz, zumindest setzte er einen Smiley dahinter. Sein Problem: Für derlei Scherze ist das FBI nicht empfänglich - erst recht nicht, wenn man sie an Bord eines Flugzeugs macht. Denn als Roberts den Tweet abschickte, befand er sich hoch in der Luft, und als die Boeing 737 in Chicago landete, warteten bereits zwei Polizisten und zwei FBI-Beamte auf ihn.

Die Konsequenzen für Roberts waren unangenehm: Er wurde stundenlang verhört, seine IT-Ausrüstung wurde beschlagnahmt, die Airline erteilte ihm Flugverbot. Die Konsequenzen für die Luftfahrtbranche aber waren schwerwiegender: Seit Roberts' Tweet wird kontrovers über die Sicherheit von Flugzeugen diskutiert. Kein Wunder, denn was er behauptete, klingt furchteinflößend: Er könne seinen Laptop an eine Schnittstelle unter den Sitzen anschließen, auf das In-Flight-Unterhaltungssystem zugreifen und von dort aus ins Steuerungssystem eindringen. Das ermögliche es ihm, den Kurs des Flugzeugs und die Leistung der Triebwerke zu manipulieren. Ein Alptraum für Passagiere, Piloten und Fluggesellschaften.

Sogar das FBI warnte die Fluggesellschaften

Roberts beschäftigt sich seit Jahren mit Flugzeug-Sicherheit und hat Hersteller immer wieder darauf hingewiesen, dass ihre Systeme anfällig für Cyber-Attacken seien. Auch der US-Rechnungshof, die Transportsicherheitsbehörde und das FBI hatten im Frühjahr gewarnt, dass in manchen modernen Flugzeugen das Wlan für die Passagiere und das Bordnetzwerk des Flugzeugs miteinander verbunden seien. Seit Jahren werden auf Hacker-Konferenzen mögliche Angriffe auf Flugzeuge vorgestellt. 2013 demonstrierte der spanische Sicherheitsforscher Hugo Teso, wie er mit einem Android-Smartphone in den Datenaustausch zwischen Flugzeug und Bodenkontrollsystemen eingreifen kann. Ein Jahr später zeigte der IT-Experte Ruben Santamarta, wie anfällig die Satellitenkommunikation von Flugzeugen gegenüber Cyber-Attacken ist.

Diese Warnungen werden ernst genommen: Die Vereinigung Cockpit lud Teso zur Jahresversammlung ein - und war nach dessen Auftritt anwesenden Piloten zufolge ernsthaft beunruhigt. Das Bundesamt für Sicherheit in der Informationstechnik bescheinigte Teso "Schwachstellen offengelegt zu haben, die beseitigt werden müssen". Der Versicherungskonzern Allianz schrieb in einer Studie, dass sich Cyberattacken zur "Waffe der ersten Wahl" gegen die Luftfahrtindustrie entwickeln könnten.

Wird Fliegen also bald ähnlich gefährlich wie Autofahren? Hersteller wie Boeing und Airbus und Fluggesellschaften wie die Lufthansa halten diese Furcht für unbegründet. Cockpit und Kabine teilten sich eben nicht dasselbe Computer-Netzwerk; außerdem weisen sie darauf hin, dass alle vermeintlichen Hacks nur unter Laborbedingungen im Simulator durchgeführt worden seien. In der Realität habe immer der Pilot die Kontrolle: Er müsse allen Änderungen am Kurs oder der Schubsteuerung zustimmen und könne sie jederzeit manuell überschreiben.

Autos: Vernetzung als Sicherheitsrisiko

BMW i3 ActiceAssist Smartwatch

Früher musste man Autos per Hand verriegeln - heute geht das per Smartwatch.

(Foto: Bloomberg)

Digitale Technik kann Autos sicherer machen - aber eben auch angreifbar. Als Schwachpunkt erweisen sich Passwörter. Von Mirjam Hauck

Im Januar fuhr ein Audi 900 Kilometer zur Elektronik-Messe CES nach Las Vegas, ohne dass der Fahrer viel hätte tun müssen. Porsche bietet eine Smartphone-App an, die anzeigt, ob der Tank noch gut gefüllt, ob der Reifendruck optimal ist. Zudem löst sie bei einem Unfall automatisch einen Pannennotruf aus. BMW hat eine App entwickelt, mit der Smart Home-Funktionen gesteuert werden können - direkt aus dem Auto heraus.

Schon jetzt fahren weltweit etwa 25 Millionen vernetzte Autos auf den Straßen, doch das ist erst der Anfang: Die Marktforscher der Beratungsfirma Gartner sagen voraus, dass im Jahr 2020 bereits 250 Millionen vernetzte Autos unterwegs sein werden. Doch wie sieht es mit ihrer Sicherheit aus? Bei einer Umfrage des IT-Branchenverbandes Eco unter Computer-Experten sagte fast ein Drittel davon, vernetzte Autos würden eher für weniger als für mehr Sicherheit auf den Straßen sorgen. Nur 14 Prozent nehmen an, dass die neuen Technologien auch mehr Sicherheit bedeuten werden.

Zugangsdaten als Sicherheitsrisiko

Die Probleme der vernetzten Autos liegen laut einer Studie des Antivirensoftware-Herstellers Kaspersky vor allem im Umgang mit Zugangsdaten. Auch seien Funktionen wie ein automatischer Notruf eine Schwachstelle. Insgesamt böten alle über Funk angesteuerten Bereiche wie Türschlösser und Wegfahrsperre eine Angriffsfläche. Für Vicente Diaz, Virus-Analyst bei Kaspersky, erschaffen vernetzte Autos ein komplett neues Ökosystem für Nutzer. Um damit losfahren zu können, braucht jeder Besitzer zunächst einen Account auf einer Website und eine App auf dem Smartphone.

Dann ist im Auto selbst noch ein Computer verbaut, der mit dem Internet verbunden ist und beispielsweise das ganze Infotainmentsystem steuert. Das ist auf der einen Seite kompliziert für den Anwender und bietet andererseits viele Angriffsflächen. Nutzer können so einfach durch eine Phishing-Mail zum Opfer von Hackern werden: "Ein kleines Informationsleck kann schnell zu einem Diebstahl des Autos führen".

Die Industrie ist in der Pflicht

Aber auch ausgefeiltere Attacken seien denkbar - wie etwa Angriffe, die die Kontrolle über das Auto übernehmen. So könnten im vernetzten Auto Hacker auf das Gas- oder Bremspedal zugreifen, aber für sehr wahrscheinlich hält Diaz dieses Szenario nicht. "Hier muss man sich fragen, wem nützt das. Wenn Hacker damit keinen Gewinn erzielen können, werden sie es auch nicht machen." Aber grundsätzlich könne alles in einem modernen Auto angegriffen werden. Eine Lösung sei es, sicherheitsrelevante Fahrzeugelemente wie Motorsteuerung, Bremse, ABS und Airbags von IT-Systemen wie Navigation und Smartphone-Anbindung zu trennen.

Diaz sieht hier vor allem die Industrie in der Pflicht, für sichere vernetzte Autos zu sorgen. Wie das aussehen kann, macht beispielsweise BMW mit seiner "Start-up Garage" vor. Mit diesem Projekt will der Großkonzern gezielt technologische Start-ups ansprechen, um mit ihnen zusammenzuarbeiten. "Zum Beispiel im Bereich Cyber-Security haben sie mehr Wissen als wir", sagte Gründer und Co-Chef Gregor Gimmy auf der DLD-Konferenz in München. "Beim E-Car steht noch nicht fest, ob es sich durchsetzen wird. Aber das vernetzte Auto, das wird sicher kommen."

Medizintechnik: Nächtliches Desaster

Operation Krankenhaus

Die Hersteller von Medizintechnik kennen die Gefahr, die von zunehmender Vernetzung ausgeht - doch sie reagieren oft unzureichend.

(Foto: dpa)

In der Medizintechnik hinkt die Sicherheit dem Stand der Technik hinterher - wenn sich der Prakti ins Netz einklinkt, droht Gefahr. Von Hakan Tanrivedi

Wenn Florian Grunow anfängt zu erzählen, fallen einem sofort Agenten-Geschichten ein. Grunow arbeitet als IT-Sicherheitsforscher bei der Firma ERNW in Heidelberg, er interessiert sich für die Geräte, die in Krankenhäusern stehen: Magnetresonanztomografen, Patientenmonitore und Spritzenpumpen. Also ging Grunow eine Kooperation mit dem örtlichen Krankenhaus ein. Sie stellten ihm die Geräte zur Verfügung, er nahm ihre Software mit seinem Computer auseinander.

Spritzenpumpen werden zum Beispiel in der Schmerztherapie benutzt, Patienten bekommen Medikamente intravenös. "Die Pumpe hat eine Pin, die man eingeben muss, um die Dosis ändern zu können", sagt Grunow, und man weiß schon, wie dieser Satz enden wird. Wenn die Pumpe an das Krankenhaus-Netzwerk angeschlossen war, konnte Grunow die Pin auslesen. "Das taugt natürlich für eine Geheimagenten-Geschichte", sagt Grunow. Ein Angreifer, der ins Krankenhaus kommt, sich ins Netz einklinkt und die Dosis des Opfers so verändert, das es stirbt. Grunow ist überzeugt, dass diese Angriffe auch aus der Ferne möglich gewesen wären. "Aber das Krankenhaus wollte das System am nächsten Tag wieder einsetzen, also mussten wir uns zurückhalten."

Stoff für Agententhriller

Mittlerweile haben mehrere Forscher medizinische Geräte technisch angegriffen. Ein Mitarbeiter der Firma McAfee konnte nach eigenen Angaben seine Umgebung nach einem Herzschrittmacher scannen - und dessen Stromkreis kurzschließen. Auch das: Stoff für Agententhriller. In der US-Erfolgsserie "Homeland" bringen Terroristen den Vizepräsidenten auf diese Art und Weise um.

"Für normale Bürger sind diese Angriffe natürlich eher unwahrscheinlich", wie Grunow sagt. Die Gefahr liege eher darin, dass Systeme, die in Krankenhäusern eingesetzt werden, teilweise bereits bei banalen Anfragen nicht mehr funktionierten. Ein Beispiel: Es ist einfach, sich in Netzwerken "umzuschauen". Dazu gehöre es, Daten an fremde Geräte im selben Netz zu schicken. Sind es die falschen Daten, kann also ein Gerät mit der Anfrage nichts anfangen, gibt es zwei Möglichkeiten: Die Anfrage wird ignoriert - oder aber das Gerät in die Knie gezwungen.

Die Hersteller lernen nicht aus ihren Fehlern

Grunow sei es gelungen, Patientenmonitore auf diese Art und Weise außer Gefecht zu setzen: "Die fuhren herunter - aber nicht mehr hoch." Daher sieht er in diesem unfreiwilligen Übergriff die tatsächliche Gefahr: "Wenn sich jemand in diesem Krankenhaus langweilt und während eines Nachtdienstes seinen Laptop anschließt, um sich umzuschauen, kann das im Zweifel ausreichen", so Grunow. Während einer Operation plötzlich keinen Monitor mehr zu haben, wäre ein Desaster für den Arzt.

Die Hersteller der Geräte konfrontierte der Forscher mit seinen Ergebnissen. Die Reaktion war deutlich: "Die waren sich des Problems bewusst und haben mir gesagt, dass da noch Schlimmeres möglich sei." Was genau, das sagten sie nicht. Grunow sieht die Hersteller in der Pflicht, ihre Geräte besser abzusichern: "Das sind Fehler, wie wir sie vor 20 Jahren hatten. Die Lernkurve ist nicht da. Die Hersteller lernen nicht von anderen Technikbereichen."

Haushaltsgeräte: Sicherheitsrisiko Standard-Passwort

Google Nest Labs Smart Home

Ob Beleuchtung oder Temperatur, im Smart Home lässt sich vieles fernsteuern. Praktisch - aber nicht ohne Risiko.

(Foto: Bloomberg)

Inzwischen lassen sich zu Hause eine Menge Dinge fernsteuern. In puncto Sicherheit haben die Hersteller Nachholbedarf. Von Franziska Schwarz

Smart Home bedeutet, dass sich Geräte im Haus auch aus der Ferne steuern lassen. Bei einem ahnungslosen Mann im US-Bundesstaat Oregon ging 2013 plötzlich das Licht im Schlafzimmer aus und an - aber nicht, weil er es so wollte. Wenn es stimmt, was Forbes-Autorin Kashmir Hill damals berichtete, war sie es. Sie hatte demnach das Webportal seiner Smart-Home-Steuerung online ausfindig gemacht, und da der Mann es versäumt hatte, es durch ein Passwort zu schützen, konnte sie auf seine Beleuchtung zugreifen.

Das Arsenal an Haushaltsgeräten, die mit dem Internet verbunden sind, wächst: Thermostate merken sich die Vorlieben der Bewohner und regulieren die Heizung intelligent. Lampen, Toiletten und Garagentore lassen sich per App befehligen. Ein Blick auf das Smartphone verrät, ob der Herd noch an ist.

Drei Milliarden vernetzte Haushalts-Geräte bis Ende 2015

Noch leben erst wenige in einem vernetzten Haushalt. Doch das könnte sich ändern. Das US-Marktforschungsunternehmen Gartner schätzt, dass die Zahl der vernetzten Geräte in privaten Haushalten dieses Jahr auf fast drei Milliarden steigen könnte. Kritiker weisen dabei auf mögliche Risiken hin. Wer die Geräte installiert, sollte Sicherheitsvorkehrungen treffen, etwa sein Wlan absichern und für die Geräte-Zugänge sichere Passwörter auswählen. Ansonsten kann das smarte Haus angreifbar werden. Unter Umständen kann dann nicht nur der Eigentümer, sondern auch ein Fremder auf die Überwachungskamera zugreifen und sehen, was zu Hause so los ist.

Claudio Wolff, Sicherheitsleiter der Technologiefirma Hewlett Packard (HP) berichtet von Einbruchsversuchen, bei denen das Passwort geknackt und anschließend der Alarm unterdrückt oder der Video-Stream manipuliert wurde. Natürlich kann jegliches Equipment, das mit dem Netz verbunden ist, potenziell gehackt werden. Die Sicherheitsexperten bemängeln aber, dass manche Geräte nicht so sicher seien, wie es nach aktuellem Stand der Technik möglich wäre. HP vermisst nach einer Prüfung bei vielen eine automatische Sperre, sobald ein Passwort mehrmals falsch eingegeben wurde - eine solche könnte aber leicht verhindern, dass eine Software möglichst viele Zeichenkombinationen ausprobiert und erfolgreich ist.

Jedes fünfte Gerät verschlüsselt unzureichend

Zum gleichen Ergebnis kommt man bei der IT-Sicherheitsfirma Symantec. Weil viele Geräte die Cloud nutzen, sprechen die Tester eine Warnung aus: Symantec stellte bei einer Studie bei etwa 19 Prozent davon fest, dass sie Daten nicht ausreichend sicher verschlüsselten, wenn sie mit dem Datenspeicher im Netz kommunizierten. Ein Angreifer hätte sie also abgreifen können.

Also lieber noch keine derartigen Geräte anschaffen? Nein, das auf keinen Fall, sagt Wolff, die Idee des Smart Home "ist ja eine gute". Doch wie beim Autokauf sollten Verbraucher auf die Sicherheitsfunktionen achten. Die Sicherheitsexperten raten Nutzern dringend, das Standard-Passwort des Herstellers möglichst schnell zu ändern. An die Hersteller appellieren sie, zum Beispiel eine Zwei-Stufen-Authentifizierung für die Geräte einzuführen. Statt nur ein Passwort zu verlangen, fügt man hierbei noch einen zweiten Schritt hinzu, die Eingabe einer Pin etwa. "Wir durchlaufen hier die gleiche Lernkurve wie damals mit dem privaten Wlan" sagt Wolff.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: