33C3: Hacker rufen nach Mindesthaltbarkeitsdatum für vernetzte Geräte
Nach dem "Plasterouter-Massaker" bei der Telekom und vielen noch "schlafenden Cyberpathogenen" im Internet der Dinge fordern CCC-Experten mehr oder weniger ernst gemeinte Gegenmaßnahmen. Ransomware habe "noch Potenzial".
Das sich ausweitende "Internet of Things" (IoT) lässt aufrechte Hacker auch 2017 schlecht schlafen. Frank Rieger und Ron Hendrik Fulda vom Chaos Computer Club (CCC) brandmarkten am Freitag insbesondere vernetzte Dinge, "die es in Anspruch nehmen, für euch zu denken" (DDD), als einen der "Sicherheits-Albträume" des kommenden Jahres. DDD kämen "mit neuronalen Netzen" drin, erläuterte Fulda auf dem 33. Chaos Communication Congress (33C3) in Hamburg. Die könne man "nicht wegpatchen und nicht ausschalten".
Im Kampf gegen "böse Ware" in "bösen Netzen" regte der Sicherheitsexperte in dem traditionellen, mit viel Hackerironie gewürzten Aus- und Rückblick auf alte und neue Security-Debakel eine "IoT-Befragung im eigenen Netzwerk" an. Wer habe schon einen Überblick über alle Geräte "mit Akku und IP-Adresse" in seinem Haushalt? Mit einem einschlägigen Scan gelte es, die sich in Form "technischer Schulden" anhäufenden "schlafenden Cyberpathogene" ausfindig zu machen. Zugleich forderte er, dass ein "Mindesthaltbarkeitsdatum" auf die vernetzten Dinge aufgedruckt werden müsse: "Das entspricht der Zeit, in der man Security-Updates kriegt."
Neues Berufsbild: IoT-Wünschelrutenläufer
Ganz in diesem Sinne prognostizierte Rieger, dass "IoT-Wünschelrutenläufer" zum neuen Berufsbild werde, das ein neues Betätigungsfeld für Kammerjäger auf der Suche nach kaputten Heimgeräten mit Internetanschluss darstellen könne. Hilfreich seien auch Warnaufkleber wie "enthält Künstliche Intelligenz, Internet oder Cyber". In den drohenden "Autoupdate-Religionskriegen" plädierte der CCC-Sprecher dafür, dass Sicherheitsflicken tatsächlich quasi von selbst eingespielt werden sollten. Bei "Feature-Updates" müssten die Nutzer aber ein Mitspracherecht behalten, damit die Funktionalität ihres Rechners nicht hinterrücks eingeschränkt werden könne.
"Noch Potenzial" hat Rieger zufolge 2017 Ransomware. Die Preise für "ordentliche Exploits", mit denen sich Sicherheitslücken ausnutzen lassen, seien 2016 weiter gestiegen, da die Verwertungskette offenbar ganz gut funktioniere. Auf diesem Gebiet sei ein "weites Feld von Talenten anwendbar". Denkbar seien etwa Trojaner, die die Ladeleistung des Akkus eines Smartphones auf 60 Prozent begrenzten und das Inkasso gleich mit dem Verkauf einer Gegen-App erledigten.
"Richtig interessant" dürften dem Insider zufolge Erpressungstrojaner werden, die verhinderten, dass Leute ihr Auto abschließen könnten. Hänge man da eine App dran, wo die Fahrzeuge stehen, habe man ein Geschäftsmodell für "Instant-Carsharing". Generell müssten Autobesitzer wohl künftig einen "Krypto-Signaturtanz" aufführen, um künftig noch Komponenten wie Sensoren oder Infrarotkameras austauschen zu können. Fulda ergänzte schmunzelnd: "Ein autonomes Fahrzeug gehört sich hoffentlich eh selbst." Daran eine Reifenkralle zu schrauben, könnte als Freiheitsberaubung verfolgt werden.
Informationspflicht für Behörden und Unternehmen
Angesichts des von weiten Teilen der Bundesregierung propagierten "Datenreichtums" betonte Rieger: "Wir müssen unsere Forderung nach einem Datenbrief wieder auflegen." Einmal pro Jahr hätten Behörden und Unternehmen die Bürger von sich aus darüber in Kenntnis zu setzen, welche Informationen sie über sie angehäuft hätten.
Noch falle die Verteilung des "neuen Öls" sehr asymmetrisch aus, rügte Fulda. Bei den unerwünschten Datenabflüssen habe es dieses Jahr auffällig viele Wählerregister etwa in Mexiko, der Türkei oder auf den Philippinen erwischt, während parallel "computer-aided Industriespionage" in Industrie 4.0 umbenannt worden sei. Bedauerlicherweise seien zudem Wahlcomputer "immer noch nicht weg". Dieser "Asbest der Demokratie" müsse endlich überall rausgerissen werden.
Filterblasen würden kommendes Jahr weiter wachsen, wagte Rieger einen weiteren Blick in die Glaskugel. "Ad-Blocker werden Realitätstunnel", konstatierte er. Sie bekämen eine "Content-Filtering-Engine", um auch gleich Kommentare oder Sport-News "rauszutun". Da die Gegenseite ebenfalls aufrüsten werde, "brauchen wir Werbe-Blocker-Blocker". Am besten wäre es, dafür eine "verteilte Intelligenz" zu bauen, was aber mittelfristig wohl zu verschiedenen "Lagern von Maschinenwissen" führe, "die um unsere Aufmerksamkeit kämpfen".
Performance-Kunst mit Robotern
Nach dem mit der Großstörung bei der Deutschen Telekom allen offenbar gewordenen, schon seit Jahren vorausgesagten "Plasterouter-Massaker" riet Rieger der versammelten Hackergemeinde auch, sich auf die digitale Zombie-Apokalypse vorzubereiten. Dazu gehörten neben Photovoltaik-Anlagen der Freifunk, um nach dem Zusammenbruch der Netze "noch Porn gucken" zu können, sowie ein YouTube-Archiv. In der Wikipedia stehe ja noch nicht, "wie ich ein Tier häute, das ich im Hinterhof erschlagen habe". Als weiteren Trend für 2017 machte Fulda "Performance-Kunst" mit Robotern, Drohnen und digitalen Assistenten aus. Rieger fügte schwärmend an, das sich "mit umprogrammierten Mähdreschern tolle Kornkreise" fabrizieren ließen. ()
