IT-Sicherheitsprobleme waren auch beim 36C3, dem Jahrestreffen des Chaos Computer Clubs, Ende Dezember 2019 in Leipzig wenig überraschend wieder eines der zentralen Themen. Die schnell voranschreitende Digitalisierung des Alltags stellt Hackerinnen und Sicherheitsexperten vor immer drängendere Fragen. Vor allem «der Schuldenberg an unaufgeräumten technologischen Problemen» aus der Vergangenheit drohe, so CCC-Sprecher Frank Rieger, zur Mammutaufgabe zu werden.
Ransomware bedroht Betriebe und Behörden
Ransomware ist ein gutes Beispiel für diese Entwicklung. Die Schadsoftware verschlüsselt Festplatten oder ganze Rechnernetzwerke und gibt sie nur gegen Zahlung eines Lösegelds wieder frei. Als Einfallstore nutzen Kriminelle oft Schwachstellen, die seit Jahren bekannt sind. Windows-Netzwerke trifft das besonders häufig, weil professionelle IT-Sicherheit dort aufwendig und teuer ist. Der Stadtrat von Riviera Beach in Florida zahlte im Sommer 2019 mehr als eine halbe Million Dollar Lösegeld an unbekannte Angreifer, die das Stadtnetz lahmgelegt und mit Datenlöschung gedroht hatten. Krankenhäuser, Kraftwerke und andere kritische Infrastrukturen waren ebenfalls schon Ziel solcher Angriffe. Gerade wichtige Institutionen nutzten oft die ältesten IT-Systeme, erklärt Rieger — Angriffe treffen also dort am härtesten, wo die Folgen am schlimmsten sind.
Per Phishingmail verteilte Makros als Einfallstor für Schadsoftware
Auch vergleichsweise einfache Tricks funktionieren bis heute zuverlässig. Ganz oben auf der Liste: in MS-Office-Dokumente einbettbare Makros, die programmierbare Scripts auf dem betroffenen Rechner ausführen. Verteilt werden solche manipulierten Dateien über Phishingmails — viele Nutzerinnen und Nutzer wissen schlicht nicht, dass auch Word- oder Excel-Dateien Schadcode enthalten können. Frank Rieger appellierte auf dem 36C3 deshalb an Microsoft, die Ausführung von Makros in Office-Dokumenten dauerhaft abzuschaffen. IT-Administratoren sollten zumindest mit ihren Vorgesetzten klären, ob Makros im Betrieb noch zeitgemäss sind. Immerhin führten die häufiger werdenden Lösegeldzahlungen zu einem Umdenken in IT-Abteilungen von Verwaltungen und Unternehmen: Der Schaden durch Cyberkriminelle lässt sich jetzt besser beziffern und gegen die Kosten professioneller IT-Sicherheit abwägen. Die grössten Sicherheitsprobleme der Zukunft sehen CCC-Sprecher Rieger und seine Mitstreiterinnen und Mitstreiter dennoch woanders.
5G, intelligente Stromzähler und smarte Türschlösser
In vielen heute achtlos installierten smarten Elektrogeräten sehen die Hackerinnen und Hacker tickende Zeitbomben — ob intelligente Türklingeln oder Audioassistenten wie Alexa. Je vernetzter die Welt wird, desto attraktiver werden solche Geräte als Angriffsziel. Auch die persönlichen Daten der Kundinnen und Kunden bei den Betreiberfirmen gelten als gefährdet. Die Video-Klingeln der Amazon-Marke Ring etwa lassen sich leicht hacken. Kriminelle können so aus der Ferne ausspähen, wann ein Einbruch sich lohnt — die eigentlich als Sicherheitstechnologie vermarktete Klingel wird zum Risikofaktor. Vom Eingriff in die Privatsphäre ganz zu schweigen. Auch bei den in Deutschland bald verpflichtend werdenden smarten Stromzählern bestehen weiterhin grosse Sicherheitsbedenken. Unklar bleibt vor allem, wie sich die Technik in den kommenden Jahren entwickelt. Gut möglich, dass Kundinnen und Kunden schon bald auf einem Berg nicht mehr aktualisierter Elektronik sitzen. Spätestens wenn die Milchkanne per 5G am Netz hängt, wird sich zeigen, ob Gerätehersteller Sicherheit diesmal von Anfang an mitdenken.
Auch in öffentlichen Datenquellen wie Google Streetview oder immer detaillierter werdenden Satellitenaufnahmen sehen die Hackerinnen und Hacker mögliche Gefahrenquellen. Persönliche Informationen über Privatpersonen geraten so oft unbeabsichtigt in die Öffentlichkeit. Mobilfunknetze der fünften Generation werden weitere Risiken schaffen. Besonders unangenehm: Betroffen sind mitunter Menschen, die die entsprechenden Dienste selbst gar nicht nutzen.
Jetzt für morgen planen
Für 2020 und die folgenden Jahre rechnen Frank Rieger und der CCC mit weiteren Datenschutz-Desastern. Die Digitalisierungsstrategie von heute sei der Datenreichtum von morgen, so Rieger. Immer mehr technisch unbedarfte Nutzerinnen und Nutzer greifen auf Cloud-Services zu — oft ohne es selbst zu wissen. In Rechenzentren von Google, Apple und Co. gespeicherte Adressbücher, Fotoalben und Dokumente sind potenzielle Angriffsflächen für die Kriminellen von morgen. Das gilt für private Anwenderinnen und Anwender genauso wie für Betriebe, denn auch dort verzahnt sich die lokale IT-Infrastruktur immer enger mit der Cloud — häufig unbemerkt. Wer nicht wieder mit unaufgeräumten technischen Problemen aus der Vergangenheit konfrontiert werden will, muss jetzt die Weichen richtig stellen.
Bei uns wird jeder Zugriff und jede Datei multidimensional auf Viren, Ransomware und sonstige Schadcodes geprüft. Mit unserem Safe bist du sicher.