Wenn das Auto mit dem Tod droht
Erpressung. Die zunehmende Vernetzung ermöglicht völlig neue Angriffsszenarien für Cyberkriminelle
Der Vorfall in einem österreichischen Hotel, in dem Hacker das elektronische Zugangssystem zu den Zimmern kaperten, wird dieser Tage auch auf der RSA-Sicherheitskonferenz in San Francisco heftig diskutiert. Um den Hotelbetrieb nicht zu gefährden, bezahlten die Eigentümer an die Erpresser 1500 Euro für die Freischaltung. Offenbar konnten keine Schlüsselkarten ausgestellt und folglich auch keine Türen zu Hotelzimmern geöffnet werden. Derartige Angriffe werden sich in Zukunft häufen, warnen Sicherheitsexperten. Betreffen könnte dies nicht nur Unternehmen, sondern auch Privatpersonen.
Haustür bleibt zu
„Haustüren, die per Smartphone geöffnet werden können, Heizungsthermostate, die sich über das Internet regeln lassen, und Autos, die mit sämtlichen technischen Spielereien ausgestattet sind, sind jetzt schon Realität. Nutzer nach einem Hack dieser Systeme zu erpressen, ist der nächste logische Schritt“, erklärt Aaron Guzman von der Sicherheitsfirma Secure- Works. „Was würden Sie tun, wenn Sie in der Kälte vor der Haustür stehen, weil das System kompromittiert wurde und sie ausgesperrt hat? Oder wenn Ihr Auto im digitalen Armaturendisplay plötzlich mit einem tödlichen Unfall droht, indem die Bremsen außer Gefecht gesetzt werden oder das Licht auf der Autobahn zu flackern beginnt“, gibt Gib Sorebo vom Cybersecurity-Unternehmen Leidos zu bedenken.
Ransomware
Eine aktuell oft genutzte Angriffsmethode ist, über sogenannte Ransomware die Daten von Computern zu verschlüsseln und von den Besitzern anschließend Geld für die Freigabe zu verlangen. „Bei Ransomware geht es ein Stück weit um Angstmache, indem Menschen suggeriert wird, die Angreifer hätten die Kontrolle über das System“, sagt Sorebo: „Beim eigenen Computer kann ich vielleicht nachdenken, obdas stimmt und der Zugang zur verschlüsselten Festplatte tatsächlich nicht geknackt werden kann. Auf der Autobahn will ich das Risiko vermutlich aber nicht eingehen, und zahle eher das erpresste Geld, selbst wenn die Hacker gar nicht über die technischen Fähigkeiten verfügen, meine Bremspedale zu über- nehmen“. Die Liste der erwarteten Angriffsszenarien ist endlos, eben weil immer mehr Gegenstände und Geräte, die bisher offline waren, sukzessive mit dem Internet oder zumindest mit demeigenen Heimnetzwerk verbunden werden.
Internet der Dinge
Der etablierte Begriff „Internet der Dinge“ist schwer zu fassen. Konkret bedeutet er, dass vom Herzschrittmacher bis zum Kühlschrank, von der Beleuchtung bis zur Heizung und vom Auto bis zum Gehstock alles irgendwie vernetzt wird. Die Implikationen für industrielle Systeme in Fabriken, bei Energieversorgern, Transportunternehmen oder auch Krankenhausbetreibern sind entsprechend schwerwiegender. Werden dort essenzielle Kontroll- und Steuerungssysteme übernommen, die etwa die Produktion einer Fabrik oder den Krankenhausbe- trieb lahmlegen, könnten die Betriebsverantwortlichen gezwungen sein, hohe Summen an die Erpresser zu überweisen. In der Vergangenheit führten Cyberangriffe etwa in der Ukraine zu Stromausfällen.
„Natürlich sollte man kein Geld überweisen. Die Realität sieht oftmals aber leider anders aus“, erklärte Security-Experte Ed Skoudis.Unternehmen sollten sich jedenfalls vorher Gedanken machen, wie sie bei einer etwaigen Erpressung durch Schadsoftware reagieren. Vorfälle, wie im erwähnten Kärntner Hotel, sind den Sicherheitsforschern zufolge nur erste Testballone, um zu sehen, welche Art von Angriffen überhaupt möglich sind und wie viel Geld damit erpresst werden kann.
„Cyberkriminelle agieren nach herkömmlichen Marktprinzipien und werden sehr schnell den optimalen Preis herausfinden, den Leute bereit sind zu bezahlen, um noch größeren Schaden von ihrem Geschäft abzuwenden“, sagt Sorebo.
Tipps für Sicherheit
Dass viele der nun netzwerkund internetfähigen Objekte über laxe Sicherheitsvorkehrungen verfügen, ist kein Geheimnis. Security-Experten empfehlen, das oftmals vorgegebene Standard-Passwort des Geräts zu ändern. Besondere Vorsicht ist beim Zugriff über das Internet geboten. Auf diesen sollte verzichtet werden, rät Skoudis.
Um sich weiter zu schützen, empfiehlt er das Internet der Dinge vom HauptNetzwerk zu trennen: „Wer smarte Leuchten und den intelligenten Kühlschrank vernetzt, sollte ein separates WLAN-Netzwerk mit kompliziertem Passwort erstellen, in dem nicht die restlichen Arbeitsgeräte wie Laptops, PCs und Tablets hängen“. Sind Konten von Google, Apple oder Amazon zur Steuerung der Objekte notwendig, sollte ein separates Konto für diesen Zweck angelegt werden.