bedeckt München 21°
vgwortpixel

Sicherheit vernetzter Geräte: "Das Internet der Dinge ist ein Kuddelmuddel"

Mit dem mobilen Datennetz 5G sollen noch viel mehr Geräte online gehen.

(Foto: AFP)

Milliarden Briefkästen, Überwachungskameras und andere Geräte gehen online. Das 5G-Zeitalter bietet deshalb Hackern immer neue Angriffsziele.

Da ist das Schloss, mit dem man die Kiste vor der Haustüre verschließen kann. Kommt das Paket vom Lieferdienst, kann es genau für diesen Fahrer und nur ein einziges Mal geöffnet werden. Der Fahrer legt das Paket hinein, verschließt die Kiste wieder mit dem Schloss, und alles ist gut. Da sind viele andere Geräte, die auf dem Mobile World Congress an nahezu jeder Ecke zu sehen sind. Und wenn erst einmal das mobile Datennetz 5G verbreitet ist, wird es noch viel mehr davon geben - sie alle einzubinden, ist ja eine Stärke von 5G.

Doch mit den vielen neuen Möglichkeiten wachsen auch die Sicherheitsrisiken. Noch sei zwar nicht geklärt, welche Standards bei 5G genau zum Einsatz kommen werden, aber eines ist klar: "Es werden sich Gigabytes in Sekunden übertragen lassen", sagt Gary Davis vom US-Sicherheitsanbieter McAfee, "bis man überhaupt merkt, dass man angegriffen wurde, sind die Daten schon weg". Oder das bestellte Paket. Denn McAfee fand in der Software für das fernsteuerbare Schloss eine Sicherheitslücke, die erlaubte, den Anmeldeprozess mit Benutzernamen und Passwort einfach zu umgehen. Hacker hätten das Schloss also leicht knacken können.

Box Lock, der Hersteller des Schlosses, reagierte aber schnell und stellte ein Update zur Verfügung, mit dem das Problem behoben war. Doch damit ist die Firma eher eine Ausnahme. Denn viele Hersteller verfahren nach dem Prinzip: Aus den Augen, aus dem Sinn. Ist ein Gerät erst einmal verkauft, wird der Nutzer damit alleine gelassen, Updates gibt es keine, ja oftmals nicht einmal die Möglichkeit für den Kunden, sie einzuspielen.

Jedes vernetzte Gerät aber kann als Tor funktionieren, durch das ein Hacker in ein Netz eindringen kann. Das können vernetzte Alltagsgegenstände sein, aber natürlich auch Smartphones. Alleine in den vergangenen sechs Monaten hat die Zahl so genannter Fake-Apps um 550 Prozent zugenommen, sagt Raj Samani von McAfee. Fake Apps, das sind Handy-Programme, die vorgeben, einen bestimmten Zweck zu erfüllen und oft ähnlich wie bekannte Apps genannt werden. In Wirklichkeit aber handelt es sich um bösartige Programme, die sich zum Beispiel bei mobilen Bankgeschäften zwischenschalten, Daten abgreifen und letztlich das Konto leerräumen. "Es gibt mehr und mehr Wege, Böses zu tun", sagt Samani, "ich habe auf meinem Smartphone allein neun Apps für Kommunikation."

50 Milliarden Geräte werden online sein

Geradezu astronomische Dimensionen erreichen die Vorhersagen, wenn es um vernetzte Geräte geht. Schon in zehn, 15 Jahren soll es 50 Milliarden davon geben - da leuchtet es ein, dass es schwierig wird, sie alle mit einer eigenen Sicherheitssoftware zu versehen. "Man darf nicht nur an die Endpunkte denken", sagt Brian Shen von Trend Micro, einem der fünf größten Sicherheitsanbieter der Welt, "es geht auch um das Netz und um die Telekommunikationsanbieter." Trend Micro, die sowohl Produkte für Endkunden im Programm haben, als auch Lösungen für Großkunden und Telekommunikationsanbieter, erkennt vor allem in der Kooperation zwischen diesen Beteiligten eine Chance, mehr Sicherheit zu erreichen.

Das sieht man auch bei Fortinet so, einem der weiteren großen Sicherheitsanbieter, der aber vor allem Unternehmenskunden bedient. Wenn etwa zwei vernetzte Autos, die hintereinander fahren, miteinander kommunizierten, würden diese direkt verbunden, oder aber über einen Rechner in der Nähe des nächsten Funkmasten - an jedem dieser Punkte müsse auch an Sicherheit gedacht werden, sagt Benjamin David von Fortinet. Mit verteilten Sicherheitssystemen wie denen von Trend Micro könnten sowohl Heimanwender gewarnt werden, wenn sie etwa ein Gerät in ihr Netz einbinden, das eine Schwachstelle hat. Aber auch der Internetanbieter würde das sehen und könnte den Kunden zusätzlich informieren und gleichzeitig verhindern, dass durch das Gerät Schaden entsteht.

Mobile World Congress

Das sind die besten Gadgets der Smartphone-Messe

Diese haben zwar meist nur eine geringe Rechenleistung, können also alleine nicht viel ausrichten. Angriffe auf Server, um diese mit einer Vielzahl von sinnlosen Anfragen lahmzulegen, sogenannte DDOS-Attacken, seien bisher hauptsächlich von Computern ausgegangen, die mit dem Internet verbunden waren, sagt Benjamin David. Aber wenn viele davon zusammen agierten, könne der Schaden auch beträchtlich sein. Und das ist auch schon passiert: Hacker kaperten - ausgerechnet - Überwachungskameras eines chinesischen Herstellers, der es erlaubten, die Kamera mit einem voreingestellten Standardpasswort zu nutzen. Das aber war für alle gleich und somit bekannt. Es gibt sogar Suchmaschinen für verwundbare vernetzte Geräte - man könnte das geradezu als eine Einladung für Hacker bezeichnen.

Die Sicherheitsanbieter leben zwar davon, dass sie Gefahren an die Wand malen, manchmal vielleicht auch etwas zu drastisch. Doch andererseits hat sich auch gezeigt: Wo Geld oder Informationen zu holen sind, sind Kriminelle und Spione nicht weit. Das gilt eben auch für das Netz. "Das Internet der Dinge ist ein Kuddelmuddel", sagt Sergey Kravchenko von Kaspersky, einer bekannten russischen Sicherheitsfirma. Regulierung gebe es so gut wie keine. Das Schlimme daran aber sei: Wenn diese Geräte nicht sicher seien, könnten heutzutage Leib und Leben in Gefahr sein. Etwa wenn eine per Funk steuerbare Insulinpumpe angegriffen werden kann - ein Szenario, das daherkommt wie aus einem James-Bond-Film, aber keineswegs völlig aus der Welt ist.

"Ändern Sie Ihre Passwörter"

Die Ratschläge der Experten, wie man das eigene Risiko minimieren kann, sind über die Jahre eigentlich immer dieselben geblieben. Gary Davis von McAfee: "Ändern Sie Ihre Passwörter", viele seien längst auf Listen zu finden, die bei Raubzügen im Netz erbeutet wurden. Bei E-Mails, auch solchen, die scheinbar von bekannten Personen kommen, lieber noch einmal kurz nachdenken, bevor man auf den Anhang klickt. Wenn darin eine schädliche Software versteckt ist, ist der Schaden meist schon passiert, wenn man versucht hat, sie per Doppelklick zu öffnen. Zudem: Immer die angebotenen Software-Updates einspielen - die meisten enthalten auch Sicherheitsverbesserungen. Ratsam außerdem: Eine Sicherheitssoftware.

Bei manchen Bedrohungen kann die allerdings machtlos sein. So warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) passend zur Mobilfunkmesse Mobile World Congress in Barcelona vor Smartphones eines hier eher unbekannten chinesischen Herstellers, die ab Werk mit einer bösartigen Software verseucht waren. Das Problem daran: Der bösartige Code steckte im Kern des Betriebssystems, an den kommen die Nutzer nicht heran, man kann die Schadsoftware also nicht löschen. Ähnliches fand das BSI auch bei Tablets aus China, und die Geräte kommunizierten auch fleißig mit Servern, von denen aus die Attacken gesteuert wurden. Die sogenannten Command&Control-Server konnten über die in die Geräte eingebaute Lücke auch andere Schadsoftware nachladen. Damit hätten die Angreifer dann zum Beispiel Banking-Informationen abgreifen können.

Besonders verletzlich im Netz sind - wie in der analogen Welt auch - Kinder. Raj Samani von McAfee weiß, wovon er spricht. Er hat einen sieben Jahre alten Sohn und eine 13-jährige Tochter. "Mein Sohn spielt ein Online-Spiel, darin gibt es eine Chat-Funktion", sagt er, "wer weiß, wer da mit ihm kommuniziert?" Und dergleichen Möglichkeiten gebe es immer mehr. Samani rät natürlich dazu, die üblichen technischen Sicherheitsvorkehrungen zu treffen. Aber er gibt auch ganz offen zu, dass man sich als Eltern auch darum kümmern muss, was die Kinder im Netz treiben. Also hat er sich auch bei dem Spiel angemeldet und erhält eine Benachrichtigung, wenn jemand mit seinem Sohn Kontakt aufnimmt. "Es ist nicht mehr wie früher, dass man eine CD mit einem Antivirus-Programm einlegt und es installiert, "man muss immer dahinter sein, das ist ganz schön schwer".

IT-Sicherheit "30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst"

Cybersicherheit

"30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst"

Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma Crowdstrike, über die Frage, warum russische Hacker die schnellsten sind, was an Nordkorea innovativ ist und warum KI seine Firma nie ersetzen wird.   Interview von Max Muth