"Das Angriffspotenzial ist riesig"
Während das Internet der Dinge im Alltag Einzug hält und sich auf die Industrie- und Businesswelt ausweitet, stellen sich Fragen zur Cybersecurity. An der IT-SA 2018, der "IT-Security Messe und Kongress" in Nürnberg, lieferte Richard Werner von Trend Micro Deutschland Antworten.
Was sind die grössten Bedrohungen im Internet der Dinge?
Richard Werner: Mit dem IoT haben Cyberattacken plötzlich auch in der physischen Welt Konsequenzen. Ich denke da etwa an selbstfahrende Autos. 2015 zeigten Sicherheitsforscher, dass sie einen Jeep Cherokee hacken konnten. Aus der Ferne liessen sich etwa die Bremsen eines fahrenden Jeeps betätigen. Das waren Sicherheitsforscher mit guten Absichten, aber die Sicherheitslücke hätte auch von böswilligen Hackern entdeckt werden können. Stellen Sie sich vor, was passiert wäre, wenn diese auf der Autobahn eine Vollbremsung verursachen würden!
Was machten die Sicherheitsforscher mit dem Wissen?
Sie kontaktierten den Hersteller. Daraufhin rief dieser sämtliche Fahrzeuge zurück, um das Problem zu beheben. Das kostete viel Geld. Bösartige Hacker hätten Jeep aber auch erpressen können. Was macht man als Autohersteller, wenn Cyberkriminelle drohen, alle Fahrzeuge zu stoppen?
Gute Frage. Was macht ein Hersteller in der Situation?
Er muss herausfinden, ob das angedrohte Szenario realistisch ist oder nicht. Dafür braucht er Informationen über die betroffenen Systeme. Im Idealfall will der Hersteller natürlich herausfinden, wie sich diese Angriffe identifizieren und unterbinden lassen. Auf diesen Informationen aufbauend muss er dann entscheiden, ob er das Risiko eingehen will oder nicht. Wenn Menschenleben auf dem Spiel stehen, ist diese Entscheidung alles andere als lustig.
Beim Auto spricht die Brisanz für sich. Aber wie überzeugt man einen Kühlschrankhersteller, dass Security wichtig ist?
Hersteller von Grossgeräten muss man nicht mehr überzeugen. Kühlschrankbauer etwa wissen, dass es schlecht fürs Geschäft ist, wenn ein Hacker sämtliche Geräte abschaltet. Die Kunden interessiert es nicht, dass eine Ransomware schuld ist, wenn sie auf faulenden Lebensmitteln hocken. Sie werden ihre Wiedergutmachungen beim Hersteller einfordern. Nutzer erwarten, dass ihre Geräte sicher sind und sie haben auch ein Recht darauf. Hersteller wissen das.
Was macht Trend Micro im Bereich IoT?
Wir bieten verschiedene Lösungen an. Diese fokussieren etwa den IIoT-Bereich, also das Industrial-IoT. Damit können Unternehmen ihre Produktionsstrassen und Roboter schützen. Diese Lösungen sind speziell auf Industrial-Control-Systeme wie etwa Scada zugeschnitten.
Schützen Sie auch IoT-Geräte?
Wir haben auch Lösungen für die einzelnen vernetzten Geräte. Sie richten sich an die Hersteller der Geräte und ermöglicht es unter anderem, Anomalien zu erkennen. Diese weisen darauf hin, ob gerade ein Angriff stattfindet. Zudem erkennen unsere Lösungen auch Schwachstellen im System. Schwierig wird es aber, wenn es um Kleinstgeräte geht. Hersteller von Netzwerkkameras, die noch keine 30 US-Dollar kosten, interessieren sich nicht für IT-Security. Falls es die Unternehmen überhaupt noch gibt, wenn die Probleme auftauchen. Die Nutzer interessiert es aber auch nicht. Wenn solche Geräte nicht mehr richtig funktionieren, werden sie weggeworfen und ausgetauscht. Das Angriffspotenzial ist riesig.
Wieso?
Hersteller von Netzwerkkameras die noch keine 30 US-Dollar kosten, interessieren sich nicht für IT-Security. Falls es die Unternehmen überhaupt noch gibt, wenn die Probleme auftauchen. Die Nutzer interessiert es aber auch nicht. Wenn solche Geräte nicht mehr richtig funktionieren, werden sie weggeworfen und ausgetauscht. Das Angriffspotenzial ist riesig.
Wie nutzen Cyberkriminelle das aus?
In den letzten Jahren gab es vermehrt DDoS-Attacken, die über vernetzte Geräte wie Netzwerkkameras liefen. Derartige Attacken können erwiesenermassen ganze Websites und Online-Services lahmlegen. DDoS-Attacken sollten nicht unterschätzt werden. Wenn Millionen vernetzter Geräte zusammenkommen, kann ein enormer Schaden entstehen. Und die Gesetzgebung hinkt in diesem Bereich noch hinterher.
Wo ist da das Problem?
Wenn etwa eine Website angegriffen wird, ist der Geschädigte bekannt. Aber wer ist verantwortlich für den Schaden? Kann das Opfer den Hersteller der Geräte zur Verantwortung ziehen? Oder gar jeden einzelnen Nutzer, der seine Geräte nicht ausreichend geschützt hat? Diese Fragen warten noch immer auf Antworten.
Kann man die Nutzer wirklich zur Verantwortung ziehen?
Wenn es um PCs geht, ist die Lage klar. Jedes Unternehmen, dessen PCs mit Malware infiziert sind und nichts dagegen unternimmt, ist potenziell haftbar für den Schaden, der daraus resultiert. Daher verwenden Unternehmen mindestens eine simple Anti-Virus-Lösung. So könnten sie zur Not zeigen, dass sie versucht haben, etwas gegen das Problem zu unternehmen.
Update: Amazon bestreitet Datenleck
BACS und ITsec4KMU laden zu Sensibilisierungsanlass für KMUs
Schweizer CISOs fühlen sich in der Führungsetage nicht verstanden
Youtuber basteln Destillanzug genau wie in Dune ... naja, fast
Swisscom, Sunrise und Anapaya lancieren gemeinsame Security-Lösung
EU-Kommission eröffnet Verfahren gegen Meta
Gefahren digitaler Technologien geben Bevölkerung öfter zu denken
Kapo Zürich warnt vor dubioser Werbung
Signal-Präsidentin und Telegram-Gründer geben sich aufs Dach
