38C3: CCC-Hacker fordern maschinenlesbare TÜV-Plakette für vernetzte Geräte

Hacker vom Chaos Computer Club (CCC) drängen auf die Einführung einer Art regelmäßiger Hauptuntersuchung für vernetzte Geräte. "Wir brauchen eine maschinenlesbare TÜV-Plakette", forderte Ron Hendrik Fulda am Montag auf dem 38. Chaos Communications Congress (38C3) in Hamburg mit Blick auf "böse" Hard und Software wie Plaste-Router oder "intelligente", mit dem Internet verknüpfte Uhren. Eine solche Kennzeichnung könnte natürlich auch "on the Blockchain" erfolgen, unkte der CCC-Veteran bei der traditionellen, nicht immer ganz ernst gemeinten Vor- und Rückschau auf die größten Albträume im Security-Bereich kurz vor Ende der Konferenz.

"Wir wollen ein MHD auf Packungen sehen", machte sich Fulda für ein Mindesthaltbarkeitsdatum im Internet der Dinge stark. Ein solches sollte "Auswahlbestandteil des informierten Bürgers" werden. Sonst würde nur noch mehr Elektroschrott produziert. Viele vernetzte Geräte wie Laptops oder Smartphones seien "auch gut für zehn Jahre", nicht nur für vier oder fünf. In diesem Rahmen können Verbraucher derzeit mit Sicherheitsupdates rechnen.

Auswerten könnten die Plaketten "dieselben Leute, die IP-Adressen bewachen, über die man Sinkholes aufruft", meinte Fulda. Aktuell ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Sicherheitsgesetz 2.0 befugt, Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einzusetzen. Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der Mitte Dezember in Kraft getreten ist.

Zwangsabschaltung für Robo-Fahrzeuge

Für Rasenmäher-Roboter und autonome Mähdrescher, die nicht nur Igel und Rehkitze töten könnten, verlangte der altgediente "Security Nightmares"-Experte eine Option zur Zwangsabschaltung. Gegen solche Entwicklungen müsse man noch stärker vorgehen als gegen "Oldtimer-Geräte". Autonomes Fahren und die Folgen hatten die Hacker schon vor zehn Jahren auf ihrer Liste der drohenden Sicherheitsdebakel. Glücklicherweise zeichne sich in diesem Bereich ein "gewisses Zyklusende" ab, konstatierte CCC-Sprecherin Constanze Kurz. Zumindest würden Pilotprojekte gehäuft nicht mehr fortgeführt.

Aufscheinen sah Kurz beim Blick in die mit viel Hackerironie polierte Glaskugel unschöne Entwicklungen wie "Beschaffungskriminalität" für Künstliche Intelligenz (KI). "Das Zeug braucht so viel Strom", ergänzte Fulda, da würden sich die Betreiber sicher einiges ausdenken. "Wir kriegen Nuklearmaterial, das dann übrig bleibt", befürchtete Kurz. Microsoft etwa habe das stillgelegte Atomkraftwerk Three Mile Island, in dem sich 1979 eine Kernschmelze im Reaktor des Blocks II ereignete, für 20 Jahre gepachtet.

Nur die Spitze des Eisbergs gesehen

Da der Wehrdienst wieder im Gespräch sei, empfahl Fulda der versammelten Hackergemeinde: "Richtet Euch darauf ein: die Forderung für einen Cyber-Dienst für Informatik-Studierte wird kommen." Begründung: Das sei gut für die Gemeinschaft. Kurz witzelte, dass die Politik aber zumindest eine Altersgrenze vorsehen sollte.

Nicht zum Lachen fand die Hackerin die neueste Finte des FBI im Rahmen der Crypto Wars, wonach die US-Polizeibehörde nun nach "Responsibly Managed Encryption" rufe. Der Druck auf Hersteller, Sollbruchstellen in verschlüsselte Kommunikationsdienste einzuführen, werde immer größer. Dabei habe Salt Typhoon gerade erst praktisch demonstriert: "Hintertüren gibt es halt nicht nur für die good guys."

Andererseits lobte Kurz, dass die US-Regierung 2024 die Sanktionen gegen die Intellexa Alliance verschärft habe. Dieses Firmenkonglomerat steht hinter Staatstrojanern wie Predator. Die Strafmaßnahmen richteten sich erstmals auch gegen Personen, nämlich den Gründer der Gruppe, Tal Dilian, und seine rechte Hand, Sara Hamou, hob die Informatikerin hervor. Generell kritisierte sie, dass auch angesichts fataler Ereignisse wie der xz-Backdoor in SSH, dem fehlerhaften Crowdstrike-Update und dem damit verknüpften massiven IT-Ausfall oder explodierender Pager sich immer mehr Menschen einfach mit der Security-Krise abfänden. Für viele seien solche Vorgänge normal geworden, sie hörten nach zwei Minuten gar nicht mehr hin. Dabei habe sie persönlich das Gefühl des Eisbergs: "Bisher haben wir nur die Spitze gesehen."

(ea)