Wenn Kühlschränke Autos angreifen
In der Wiener Hofburg erörtern mehr als tausend Experten und Forscher Fragen der IT-Sicherheit
Als Ende vergangener Woche eine Horde mit Schadsoftware ferngesteuerter, vernetzter Kühlschränke, Haushaltsgeräte und Webcams den Internetdienstleister Dyn mit Anfragen überflutete und Teile des Internets kurzzeitig lahmlegte, wurde offenbar, was viele schon wussten. Vernetzte Gegenstände sind, wenn überhaupt, nur unzureichend gesichert. Es habe einen Grund, dass das „Internet der Dinge“(Internet of Things) in Sicherheitskreisen „Internet of Targets“(Internet der Ziele) genannt werde, sagte der Sicherheitsforscher Edgar Weippl vom österreichischen Forschungszentrum SBA Research am Dienstag in der Wiener Hof burg.
Dort versammeln sich noch bis Freitag mehr als tausend Sicherheitsexperten aus 42 Ländern bei der ACM CCS, der international größten Konferenz für Kommunikationssicherheit und Cybersecurity, die erstmals in Wien stattfindet.
Neue Dimension
„Wir wussten nicht, das ein solcher Angriff in dieser Größenordnung funktioniert“, sagte Stefan Katzenbeisser von der TU Darmstadt. Das Hauptproblem sei, dass Haushaltsgeräte nicht gebaut wurden, um sicher zu sein. Im Vordergrund stehe die Funktionalität, meinte Katzenbeisser: „Jetzt sind sie vernetzt und es gibt Sicherheitsprobleme, die sich nur schwer beseitigen lassen.“
Die Hersteller vernetzter Geräte müssten sich ihrer Verantwortung stellen, forderte der Sicherheitsforscher Ahma-Reza Sadeghi, der vor Kurzem eine Schwachstelle in Apples mobilem Betriebssystem iOS offenlegte, das Angreifern über manipulierte Apps den Zugriff auf Kontaktdaten und Standortinfor- mationen von iPhone-Nutzern erlaubte. SmartphoneHersteller hätten die Probleme zumindest verstanden und würden schnell auf Sicherheitslücken reagieren, sagte Sadeghi. Für vernetzte Autos gelte dies nicht immer. „Es gibt Hersteller, die zwar viel über Sicherheit reden, sich aber überhaupt nicht darum kümmern.“Für Sicherheitsforscher werde es interessant, wenn selbstfahrende Autos auf die Straße kommen, meinte Sadeghi: „Es wird massiv Angriffe geben.“Das Know-how sei bei vielen Herstellern nicht vorhanden, meinte Stefan Mangard von der TU Graz. Generell würden viele Industrien heute vor großen Herausforderungen stehen. Sie müssten Kompetenzen in Software und Sicherheit auf bauen. Auch als Konsument müsse man Bewusstsein für IT-Security entwickeln, meinte Weippl. „Wenn sie durch ihre Kaufentscheidungen kommunizieren, dass Sicherheit für sie wichtig ist, müssen die Hersteller reagieren.“
Verschlüsselung
Einem anderen Sicherheitsproblem widmete sich der Stargast der Konferenz, Martin E. Hellman. Der 71-jährige US-Amerikaner hatte 1976 das Public-Key-Verfahren miterfunden, das heute die Grundlage für sicher verschlüsselte Datenübertragung im Internet bildet. 2015 erhielt er dafür den Turing-Award, gewissermaßen der „Nobelpreis für Informatiker“. Für seine Arbeit wurde der Wissenschaftler aber auch angefeindet. Allen voran vom US-Geheimdienst NSA. Der sah schon in den 70er-Jahren seine Spionageaktivitäten durch starke Verschlüsselung gefährdet und wollte die Publikation der Arbeiten des Kryptoexperten verhindern. Bei der Sicherheitskonferenz erteilte Hellman Bestrebungen von Geheimdiensten und Politikern eine Absage, sichere Verschlüsselung durch staatlich verordnete Hintertüren auszuhebeln: „Starke Verschlüsselung sollte eigentlich im Interesse der Strafverfolgungsbehörden liegen“, sagte Hellman: „Denn sie erhöht die Sicherheit und das ist die beste Verbrechensverhütung.“