36C3: Ransomware als Rache nie aufgeräumter IT-Probleme
Office-Makros, Webcams mit Polizeianschluss, Schatten-Digitalisierung, Datenreichtum und E-Voting gehören zu den alt-neuen Sicherheitsalbträumen der Hacker.
Frank Rieger (links) und Ron Hendrik Fulda auf dem 36C3 in Leipzig
(Bild: CC by 4.0 36C3 media.ccc.de)
Erpressungstrojaner wie Emotet und GandCrab legen Ämter, Gerichte, Krankenhäuser, Universitäten und ganze Gemeinden lahm. Frank Rieger, Sprecher des Chaos Computers Clubs (CCC), hatte dafür am Montag auf dem 36. Chaos Communication Congress (36C3) in Leipzig eine Erklärung parat: "Der Schuldenberg an unaufgeräumten technologischen Problemen kommt zurück." Daher treffe es gerade Institutionen, wo es "am schlimmsten" sei, da sie mit "den ältesten IT-Systemen unterwegs sind".
Für erfolgreiche Angriffe genügen manchmal schon einfache Phishing-Mails. Einzelne Lösegeldzahlungen bis zu 600.000 US-Dollar durch Kommunalbehörden in Florida sind dokumentiert. Rieger schätzt aber, dass große Konzerne schon mehr gezahlt haben. Eine Gruppe von Cyberkriminellen habe sich einfach am Umsatz eines betroffenen Unternehmens orientiert und so eine sehr hohe Pauschale erpresst. Wenn die Produktion stillstehe, könne die Geschäftsführung eines Betriebs durchaus "ins Rechnen kommen".
Sicherheitsrisiken als Motivation
Die Zunahme der Sicherheitsrisiken steigere aber zumindest bei vielen "die intrinsische Motivation, sich um IT-Sicherheit zu kümmern", konstatierte der Hacker bei der traditionellen Vor- und Rückschau auf die größten Albträume im Security-Bereich auf dem Chaos Communication Congress. Dies könne "positive Auswirkungen in der Gesamtheit" haben.
(Bild: CC by 4.0 36C3 media.ccc.de )
Erschreckend sei andererseits, dass sich nun beim bereits 20. (0x14) Blick des CCC in die Glaskugel die Jahre 1999 bis 2019 in einem einzigen Bild zusammenfassen ließen, ergänzte Riegers Sparringpartner Ron Hendrik Fulda. Er bezog sich dabei auf das "Makro-Problem" in Microsoft Office. An dieser Front habe es "keinen wirklichen Fortschritt" gegeben, hieb Rieger in dieselbe Kerbe. Dabei stelle sich die Frage, ob die Menschheit lernfähig sei. Er appellierte an Microsoft, Makros "zum Wohle der Menschheit" komplett auszuschalten. Mehr als "Bullshit-Wirtschaft" mit 400-Megabyte-Excel-Dateien würde damit nicht wegbrechen.
Überwachung allerorten
Auch Google StreetView hatten die Sicherheitsexperten als drohendes Desaster bereits 1999 auf ihrer Liste. Damit habe sich der Suchmaschinenbetreiber so hart verbrannt, dass er lieber gar nichts mehr veröffentliche, bedauerte Fulda. Dafür hätten Luftbilder mittlerweile "zehn Zentimeter Auflösung", sodass man fast Nummernschilder lesen könne, warf Rieger in dem mit viel Hackerironie gewürzten Brainstorming ein.
Mit 5G dürfte es bald 360-Grad-Rundum-Kameras auf Taxis oder Müllautos geben, wofür dann gute Algorithmen zum Verpixeln etwa von Gesichtern oder Kfz-Kennzeichen nötig seien. Für einen Ladenbetreiber, der außen vor bleiben wolle, empfehle es sich da, für sein Logo gleich eine "Schriftart für Nummernschilder zu nehmen".
Als weiteren Dauerbrenner führen die Experten seit zwei Jahrzehnten auch intelligente Stromzähler als Bereich an, der sie schlecht schlafen lässt. Nun sollen Smart Meter 2020 tatsächlich im großen Stil in Haushalte einziehen. Dies dürfte zu einer größeren Debatte "Umwelt- vs. Datenschutz" führen, prognostizierte Rieger. Einige Aktivisten hielten den Überwachungsstaat für gerechtfertigt, um den Planeten zu retten. Auch bei den Grünen gebe es Leute, die Datenschutz nicht für ein gleichwertiges Ziel hielten.
Wiedergänger Wahlmaschine
Beim ebenfalls immer wiederkehrenden Thema E-Voting seien zuletzt Versuche in der Schweiz sowie die jüngste Online-Mitgliederbefragung der SPD mit Lösungen der spanischen Firma Scytl "kläglich gescheitert", trug der CCC-Sprecher vor. Auch bei der Bolivien-Wahl mit digitalen Systemen habe sich im Nachgang bei einem Audit herausgestellt, dass diese genauso "kaputt" gewesen seien "wie alle anderen". Das Problem sei dann nur, dass auch nicht mehr nachgewiesen werden könne, ob Auszählungen gefälscht worden seien.
Bei den leicht hackbaren Video-Klingeln und Überwachungskameras der Amazon-Tochter Ring macht Fulda eine "unheilige Allianz" zwischen lokalen Polizeidienststellen und dem Hersteller aus. Der soziale Druck, solche Spionagegeräte zu installieren, werde in den USA noch deutlich steigen, befürchtete Rieger. Um den Wert einer Nachbarschaft nicht zu mindern, dürfe kein Grundstückeigentümer von der Norm abweichen.
(Bild: CC by 4.0 36C3 media.ccc.de)
In China schnitten Dienstleister aus Streams von Kameras bereits alles heraus, was wie ein Gesicht aussehe, und glichen diese mit Datenbanken von Straftätern ab. Dabei störe es nicht, dass die Erkennungsquoten nur bei 80 Prozent lägen. Wer einschlägige Billigtechnik unter die Lupe nehme, könne auch feststellen, dass darin jeder in der Wertschöpfungskette eine "Duftmarke" hinterlasse in Form eines fest eincodierten Passwortes.
Drohende Datenschutz-Debakel
Für 2020 erwarten die Hacker neben einer verschärften Hintertür-Diskussion bei Verschlüsselung auch weitere große Debakel rund um die Privatsphäre. "Die Digitalisierungsstrategie von heute ist der Datenreichtum von morgen", unkte Rieger.
Schon 2019 seien bei immer mehr Firmen "sportliche" Mengen an Bits und Bytes rausgetragen oder auf rasch zusammengeklickten Cloud-Speichern vergessen worden. Fulda warnte vor einer verstärkten "Schatten-Digitalisierung", wenn etwa die Tante unachtsam mit den wachsenden Datenberge umgehe. Dies habe schon mit der Digitalfotografie angefangen, wo eine Festplatte unbedacht ans Netz geschlossen worden sei und sich plötzlich mit der Cloud synchronisiert habe. (ciw)
