29C3: Wenn Facebook in die Passwortprüfung einsteigt und die digitale Lebensberatung versagt

Der Chaos Computer Club (CCC) hat in seinem Blick in die Glaskugel für 2013 neue Geschäftsfelder, Trendsportarten und Sicherheits-Albträume rund ums Internet aufgezeigt. Vernetzte Dinge bedürfen demnach eines verbesserten Lebenszyklus-Managements.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 6 Min.

Der Chaos Computer Club (CCC) hat in seinem mit viel Hackerwitz geschärften Blick in die Glaskugel für 2013 neue Geschäftsfelder, Trendsportarten und Sicherheits-Albträume rund ums Internet aufgezeigt. Der frühere CCC-Sprecher Ron warf dabei etwa die Frage auf, ob Facebook im kommenden Jahr in die Passwortprüfung einsteigen werde. "Dreiviertel ihrer Freunde verwendeten das gleiche Password", könne eine automatische Analyse des sozialen Netzwerks dann etwa lauten. Oder: "Dieses bitte nicht für diese Bank, es gilt schon für die andere." Denkbar sei auch die Ansage: "Der Teilnehmer, zu dem sie gerade ihren Beziehungsstatus zu 'fest verbunden' verändert haben, benutzt nicht ihren Namen als Passwort."

Eine britische Studie habe herausgefunden, dass 50 Prozent der Befragten ihre Login-Daten fürs Firmennetzwerk bereits für 5 Pfund preisgeben wollten, wusste der Hacker auf dem 29. Chaos Communication Congress (29C3) in Hamburg weiter zu berichten. Ihr Social-Media-Passwort würden dagegen nur 34 Prozent und zudem erst bei 80 Pfund herausrücken. Die Schlussfolgerung daraus könne nur lauten, erklärte Ron ironisch, dass Unternehmen auf Facebook-Authentifizierung umsteigen müssten. Bei Einstellungstests würden bereits vermehrt Passwörter für das soziale Netzwerk abgefragt. Rons Kollege Frank Rieger ergänzte, dass die Polizei auch "schon mal Druck" in diese Richtung ausübe, um sich den Freundeskreis eines Verdächtigen oder eines Täters genauer anzuschauen.

Ron warb in dem verbalen Ping-Pong-Spiel für "Datenhygiene 2.0", einen Bereich, in dem jeder an sich zu arbeiten habe. Um der "Smart-Demenz" entgegenzuwirken und langfristig überlebensfähig zu bleiben, müsse die Menschheit ein Bewusstsein für ein verbessertes Lebenszyklus-Management vernetzter Dinge entwickeln. So sei etwa darauf zu achten, ob erstandene Geräte überhaupt mit Sicherheits- oder Firmewareupdates versehen würden.

Einerseits komme es dafür darauf ein, dass so ein Ding eine gewisse Popularität besitze. Andererseits akkumulierten sich die Sicherheitslücken, wenn eine neue Generation davon auf den Markt komme. Wer auf ein wenig verbreitetes "Flower-Power-Enterprise-Gerät" umsteige, trifft es Rieger zufolge auch nicht viel besser, da sich Angriffe auch gezielt gegen einzelne, gern von verschiedensten Herstellern eingesetzte Softwarekomponenten richteten.

Parallel werde der Konflikt zwischen Betriebssicherheit und damit verknüpften Zertifizierung und der IT-Sicherheit von Programmen oder Systemen immer schärfer, führte Ron aus. So müsse ein intelligenter Stromzähler "patchbar" sein, aber was sage das Eichamt zu solchen nachträglichen Änderungen? Ein ähnlicher Konflikt tue sich auf bei Autos, Industrieanlagen, Atomkraftwerken oder Geldautomaten. Zum Stichwort Smart Meter merkte Rieger noch an, dass die neueste Generation GSM bekomme und zwar aus Kostengründen mit "ganz billigen Baseband-Chips". So dürfte der alte Hackertraum von "Blinkenlights für Stadtteile" doch bald noch Realität werden.

Endgültig herausbilden werden sich nach Einschätzung der Hacker im kommenden Jahr auch "Corporate-franchise City States". Netzkonzerne wie Amazon, Apple, Google oder Facebook richteten ihren Nutzern demnach nach außen weitgehend abgeriegelte Staatengebilde ein "wie die Fürsten im Mittelalter", prophezeite Rieger. "Komm zu mir, hier ist alles schön sicher und die Ecken sind rund", könne ein Motto einer solchen Enklave lauten. Andere versprächen dagegen etwa mehr Handlungsfreiheit. Die User müssten sich dann sinnbildlich zwischen Singapur oder Sao Paulo entscheiden. Damit verbunden sei die den Online-Riesen übergegebene Gestaltungsmacht. Apple etwa habe schon deutlich gemacht, dass "die iDevices uns ja eh nicht mehr gehören", während Facebook Äußerungen etwa übers "Synchron-Poppen" zensiere.

Als künftige Horrorvorstellung jeder Regierung bezeichnete es Ron, dass Bürger immer mehr relevante Daten in Eigenregie produzierten, die offiziell nie verfügbar gemacht würden. Als Beispiel nannte er das auf dem Kongress vorgestellte Safecast-Projekt, das nach Fukushima per Crowdfunding für die massenhafte Produktion weltweit zuvor ausverkaufter Geigerzähler gesorgt und diese an die Bewohner vor Ort gebracht habe. Da Sensoren immer günstiger würden, sei diese Entwicklung im Kommen. Safecast wolle sich künftig die Luftqualität vornehmen.

Langfristig unterschätzt hätten die Club-Auguren trotz aller ständigen Warnungen vor "Superwürmern" den Stand der Trojaner-Programmierung, räumte Rieger im Rückblick ein. Dass Phisher inzwischen Kurzmitteilungen mit mobilen TANs abfangen und Konten leer räumen oder Browserhijacking vorgaukelten, habe man sich nicht ausmalen können. Es fehle nur noch der Trojaner, der neue Einträge in Listen für Root-Zertifizierungseinrichtungen mache, befand Ron. 2013 noch nicht soweit sein dürften ihm zufolge "verhaltensbasierte Scam-Matching-Trojaner".

Digitale Lebensberatung sei das Ziel von Diensten wie Google Now oder Siri, erläuterte Rieger. Dieses Feld werde immer wichtiger für Mobiltelefone. Noch gar nicht vorstellbar sei, was Malware damit alles machen könne, wenn es etwa um Täuschungen rund um standortbasierte Angebote gehe.

Überrascht zeigten sich die Hacker auch, dass die USA sich laut Rieger "mehr oder weniger dazu bekannt haben, Stuxnet gebaut zu haben". Zu erklären sei dies nur mit der Hoffnung, einen Abschreckungseffekt wie im Kalten Krieg erzeugen zu wollen. Bei digitalen Waffen wisse man schließlich nicht so genau, wo sie herkommen. Da müsse schon eine Partei hingehen und den Schrank einmal aufmachen. Vertan habe man sich offenbar auch mit der Vorhersage größerer Sicherheitsprobleme bei computergesteuerten Verkehrssystemen. Es werde aber kolportiert, dass die hiesigen Mautanlagen "nur Deko" seien und die Hardware nach der erfolgten Wirtschaftsförderung "geschont" werde. "Datenwegkommnisse" seien dagegen erwartungsgemäß zum "Grundrauschen" geworden. Bliebe dabei nur nicht das Problem, hakte Ron ein, "dass Daten von mir bei anderen wegkommen". Dies hätten vor allem "Adressbuch-Downloader-Apps" gezeigt. (hps)