Angriff programmiert

Führende Hacker sind entsetzt, wie wenig Wert Politik und Industrie auf den Schutz der digital vernetzten Stadt vor Cyberattacken legen.

Der schwierigste Teil des Hacks war die Beschaffung eines mehrere Tausend Dollar teuren Anschlussknotens, an dem die Sensordaten ausgelesen werden – ein Gerät, das üblicherweise nicht an Privatpersonen verkauft wird. Doch Cesar Cerrudo organisierte es sich mit einem Trick. Dann belegte er, wie sich aus wenigen Metern Entfernung oder mit einer starken Antenne der Datenverkehr einer Ampelkreuzung abfangen und manipulieren lässt.

Staus, blockierte Kreuzungen und sogar Unfälle könnten die Folge sein, wenn Rot- und Grünphasen an den verschiedenen Einmündungen plötzlich verrücktspielten. Zum Glück ist Cerrudo so etwas wie ein guter Hacker. Der Technische Direktor des in Seattle ansässigen Unternehmens IOActive sucht im Kundenauftrag nach Lücken in deren IT-Systemen. Panikmache ist nicht seine Art, dennoch hält er es "nur für eine Frage der Zeit", bis jemand einen Computerangriff auf eine städtische Infrastruktur starten werde. "Je mehr vernetzte Technik eine Stadt einsetzt, desto verletzlicher wird sie für Cyberangriffe."

Zuletzt hat Cerrudo mit einiger Spezialausrüstung im Rucksack viel Zeit an Straßenkreuzungen mit Ampeln verbracht. Bei Touren durch Millionenstädte wie New York, Washington oder Seattle konnte er 2014 zeigen, dass zur Messung der Verkehrsströme in die Straßen eingelassene Sensoren völlig unverschlüsselt mit den Knotenpunkten für die Ampelsteuerung kommunizierten. 200000 dieser Sensoren sind nach Schätzung Cerrudos in Städten von 40 Staaten weltweit verbaut worden. Noch im April stellte Cerrudo bei einem Test in San Francisco fest, dass das Problem nicht behoben war.

Er findet das Desinteresse vieler Hersteller und politischer Entscheider bezüglich der Sicherheit von Smart-City-Anwendungen schockierend. Dabei haben Hacker ohne kriminelle Absichten, die sogenannten "White Hats", wiederholt bewiesen, dass Videoüberwachungssysteme, Fahrkartensysteme für den öffentlichen Nahverkehr, intelligente Stromzähler oder Sensoren verwundbar sind. So einfach wie das Lahmlegen einer Website sind Hackerangriffe auf eine vernetzte Stadt zwar nicht, räumt Cerrudo ein. "Aber sie sind alles andere als unmöglich."

Die Verschlüsselung etwa sei bei vielen Produkten ein großes Problem. "Sie ist entweder gar nicht vorhanden, zu schwach oder wird von den Nutzern abgeschaltet, weil sie diese zu kompliziert zu bedienen finden." Würden Sicherheitslücken entdeckt, dauere es oft Monate, bis ein Update zu ihrer Behebung installiert sei. "Viele Städte glauben den Herstellern einfach, wenn diese ihre Produkte als sicher anpreisen", kritisiert Cerrudo. Ein hoher Beamter des US-Verkehrsministeriums, dem er von seiner Forschung berichtet habe, habe nur mit einem trockenen "Wir haben wirklich andere Probleme" reagiert. "Vielleicht sind alle nur so sorglos, weil noch nichts wirklich Schlimmes passiert ist."

So mancher will vielleicht auch nicht die äußerst lukrativen Aussichten für den Markt der Smart-City-Anwendungen durch Warnungen vor Risiken getrübt sehen: Dessen Volumen beläuft sich nach Schätzungen der US-Beratungsfirma Frost & Sullivan bis 2020 auf mehr als eine Billion Dollar, zurückhaltendere Schätzungen gehen immerhin noch von mehreren Milliarden aus.

Auch Felix Lindner sieht die Begeisterung von Politikern und Industriefunktionären für die intelligente Stadt mit großer Skepsis. Der versierte White-Hat-Hacker mit dem kryptischen Beinamen "FX" berät mit seiner in Berlin ansässigen Firma Recurity Labs seit Jahren Unternehmen und Institutionen, wenn es um Systemsicherheit und die Entwicklung sicherer Softwarekomponenten für Produkte geht. Seine Kunden kommen aus verschiedensten Branchen wie dem Automobil-, Flugzeug- oder Maschinenbau. Das seien oft Industriebetriebe, die bislang im Internet kaum sichtbar waren und sich nun "plötzlich mit Computerangriffen auseinandersetzen müssen", sagt Lindner. "Wir entdecken nahezu immer Sicherheitslücken, die andere Leute auch finden würden, wenn sie denn Interesse hätten."

Der IT-Experte beobachtet mit Sorge, dass manche Unternehmen ohne viel Computer-Know-how ihre Produkte oder Produktionsanlagen digital vernetzen wollen, um auf dem lukrativen Markt der Smart-Anwendungen mitzuspielen. Im Rahmen des Multimedia-Projekts "Netwars" demonstrierte er im vergangenen Jahr einen sogenannten Penetrationstest am Beispiel der Stadtwerke Ettlingen. Er drang bis in die Leitzentrale vor, wo er die Elektrizitätsversorgung der 40000-Einwohner-Stadt hätte abschalten können. Ein solcher Angriff auf einen lokalen Versorger sei mit ausreichendem Personaleinsatz vielleicht noch einigermaßen schnell in den Griff zu bekommen, sagt Lindner. "Bei einem Smart Grid, in dem sich ein Stromzähler-Wurm per Funk verbreitet, ist es nicht so einfach, die Kontrolle wiederzubekommen."

Durch die Vielzahl der beteiligten Komponenten potenzierten sich die Sicherheitsprobleme, warnt er. Einfache "Crashtests" für Software-Anwendungen in einer vielfach verwobenen Kommunikation von Menschen, Maschinen und Steuersystemen gebe es nicht. "Es ist unmöglich, alle Testfälle durchzuspielen." Auch daran, dass sich bei der Herstellung von Software das Diktum einer "Security by Design" durchsetzen wird, glaubt Lindner nicht. "Geschäfte werden doch eher damit gemacht, dass man aktualisierte Versionen fehlerhafter Software verkauft. Gute Software verkauft sich genau einmal – wenn das Rad rund ist, muss es ja nicht runder werden."

Die vernetzte Stadt bietet nach seiner Ansicht große Verlockungen für böswillige Angreifer: "Wir können echt froh sein, dass es nicht so viele Leute mit einem kaputten moralischen Kompass gibt, die zugleich die technischen Fähigkeiten haben. Denn eigentlich braucht man nur drei Leute, denen man ein anständiges Jahresgehalt zahlt, und los geht's." Die Frage, was genau an der Smart City den Bürgern nutzen soll, habe ihm indes noch niemand beantworten können. "Smart wäre, wenn man den ganzen Quatsch lassen würde", resümiert Lindner.

Ganz so weit will Cerrudo nicht gehen. Zwar meint auch er, dass eine umfassend vernetzte Stadt zum attraktiven Ziel für finanzkräftige Angreifer werden könnte. "Das könnte eine ausländische Regierung sein oder auch Terrorgruppen wie der Islamische Staat, der in letzter Zeit offenbar zunehmend Universitätsabsolventen mit weitreichenden IT-Kenntnissen rekrutiert." Ganz auf die Vernetzung zu verzichten, ist für ihn allerdings keine Lösung.

Stattdessen wirbt der Sicherheitsexperte derzeit bei Kommunen weltweit, endlich Spezialistenteams für IT-Sicherheit und Notfallpläne für Cyberangriffe aufzustellen. Für Smart-City-Anwendungen fordert er verpflichtende Sicherheitstests und "Mechanismen, mit denen Hersteller gezwungen werden, ihre Produkte sicher zu machen". Alles andere, so Cerrudo, "wäre verantwortungslos". (bsc)