Das Internet der Dinge lädt ein zu Cyberattacken
Die Zahl vernetzter Geräte hat im Internet der Dinge massiv zugenommen. Sie stellen eine wachsende Gefahr dar, zumal ihre Anfälligkeit für Attacken unterschätzt wird. Auch die Bundeswehr sieht sich mit erhöhten Anforderungen an IT-Sicherheit konfrontiert.
Ein verzweifelter Familienvater steht mit seiner Frau und zwei heulenden Kindern vor dem Eingang zum Vergnügungspark. Er habe die Eintrittskarten ausgedruckt, aber leider zu Hause vergessen, erklärt er der Dame an der Kasse. Ob sie nicht einfach schnell seinen Mailaccount öffnen und die Tickets noch einmal ausdrucken könne? Sonst wären zwei Stunden Fahrt umsonst gewesen. Inzwischen ist auch die Ehefrau in Tränen aufgelöst. Die Kassiererin kann das nicht länger ansehen, ruft die Mail des Besuchers (der ihr vertrauensvoll das Passwort nennt) auf, gibt den Druckbefehl.
Was dann passierte, erinnerte Martin Göttler (Firma MagSoft) der bei der Cyber Defence Conference in Bonn von dem Vorfall berichtete, nicht mehr in allen Einzelheiten. Jedenfalls brach das Computersystem des Vergnügungsparks zusammen, nachdem über den Druckbefehl Schadsoftware eingeschleust worden war, was den Betreiber erpressbar machte. Die Cyberattacke ereignete sich vor wenigen Jahren in den USA.
Unter dem Radar
Drucker dürften zu den ersten vernetzten Geräten zählen, die keine Computer waren. Im Zusammenhang mit dem Internet der Dinge hat die Zahl dieser Geräte mittlerweile exponentiell zugenommen. In der Regel spielen Sicherheitserwägungen bei ihnen jedoch eine deutlich geringere Rolle als bei "richtigen" Rechnern.
Solche Geräte seien daher eine unterschätzte Gefahr, sagte Peter Weidenbach vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Er unterstrich das mit einer Live-Demonstration: Während seines Vortrags spielte er Malware auf einen Drucker, auf dessen Display auf einmal ein Totenkopf mit zwei gekreuzten Schwertern erschien und der ansonsten jeden weiteren Betrieb einstellte.
Die Gesamtkosten für so einen Angriff lägen bei weniger als 10.000 Euro, der Schaden für eine Firma mit 1.000 Mitarbeitern könne sich aber leicht auf 75.000 Euro beziffern, allein für den Verlust der Drucker. Folgekosten für Produktionsausfälle oder verpasste Termine kämen noch hinzu. Zudem könne vom Drucker auch ein Tunnel ins Netzwerk gelegt und darüber weitere Geräte infiziert oder Daten gestohlen werden.
Unterschätzte Gefahr
Eine Sicherheitsbewertung müsse daher für jedes vernetzte Gerät vorgenommen werden, forderte Weidenbach. Den hier bestehenden Nachholbedarf unterstrich er mit dem Hinweis, dass im Newsticker von heise online allein im letzten Monat über 10 Fälle von Sicherheitslücken in vernetzten Geräten berichtet worden sei. "Und das ist nur die Spitze des Eisbergs", betonte er. Es gebe noch weit mehr Schwachstellen, die es nicht in die Nachrichten schafften.
Wie ausgeklügelt manche Angriffe erfolgen verdeutlichte Volker Kozok vom Bundesverteidigungsministerium am Beispiel einer Attacke auf die Demokratische Partei in den USA während des Präsidentschaftswahlkampfes. Ein russischer Kollege habe ihm bei einer Konferenz freimütig bestätigt, dass dieser Angriff, der unter dem Kürzel APT (Advanced Persistent Threat) 29 oder "Hammertoss" bekannt ist, in russischen Labors entwickelt worden sei. Dabei wurden zunächst E-Mails verschickt, die lediglich eine einfache Routine enthielten. Die wiederum aktivierte eine tägliche Abfrage nach Nachrichten auf einem bestimmten Twitter-Account, wo dann ein Link gepostet wurde – "stets während der russischen Arbeitszeiten", wie Kozok betonte –, der den Download eines Bildes veranlasste. Die darin versteckte Malware veranlasste die infizierten Rechner zum Hochladen von Daten in eine Cloud.
Cyber-Bundeswehr
"Die Fortschritte in der Digitalisierung betreffen die Bundeswehr massiv", sagte Armin Fleischmann, Abteilungsleiter Planung im neu eingerichteten Kommando Cyber- und Infomationsraum (KdoCIR) der Bundeswehr. Dieser neue Organisationsbereich sei am 5. April 2017 aufgestellt worden, nur ein knappes Jahr nach einer entsprechenden Anordnung der Verteidigungsministerin.
Die volle Einsatzfähigkeit werde aber erst im Jahr 2021 erreicht sein, da es Zeit brauche, das nötige Fachpersonal zu rekrutieren. Unterstützung bekommt das CIR dabei von einem Cyber-Cluster, der an der Universität der Bundeswehr München eingerichtet wird. Elf Professuren sollen dort eingerichtet und bis Ende 2018 besetzt sein, erläuterte Gabi Dreo Rodosek von der Bundeswehr-Uni. Mit Stefan Brunthaler habe der erste Professor bereits am 1. Oktober dieses Jahres die Arbeit aufgenommen, sodass ab 1. Januar 2018 die ersten Studenten den Master-Studiengang Cybersicherheit belegen könnten.
Daneben hat die Bundeswehr das "Cyber Innovation Hub" (CIH) eingerichtet, das als Schnittstelle zu Innovationstreibern, insbesondere zur Startup-Szene dienen soll. Der traditionelle Ansatz der Technologieentwicklung mit Eigenmitteln durch das Militär selbst sei überholt, sagte Jan Byok von der der Führungsakademie der Bundeswehr. Stattdessen sollen die Produkte, die die Probleme der Bundeswehr lösen können, von der Gründerszene bereitgestellt werden.
Reibungspunkte
Jan Andresen, der selbst aus der freien Wirtschaft kommt und jetzt das CIH betreut, sah aber einige Reibungspunkte. So beiße sich die bei der Bundeswehr übliche Beschaffungsdauer von zwei Jahren und mehr mit der Dynamik von Startups, die sich alle paar Jahre erneuerten. Die beim Militär verbreitete Angst, Fehler zu begehen, sei auch nicht förderlich. Ein weiteres Hindernis seien starre Regeln bei der Personalgewinnung: Hochqualifizierte Leute mit 20 oder 30 Jahren Erfahrung könnten nicht engagiert werden, weil sie über keinen Hochschulabschluss verfügten.
Das CIH hat bis 2019 Zeit, sich zu bewähren. Für diese drei Jahre stehen 30 Millionen Euro zur Verfügung. Ob das wohl reiche, fragte Byok und Andresen antwortete: "Ich würde sogar Geld zurückgeben, wenn ich Prozesse neu schreiben dürfte." (jk)
