"Crash von gehacktem Auto und Absturz von Excel haben dieselbe Ursache"
Kühlschränke, Mikrowellenherde, Autos, aber auch Kraftwerke und Fabriken: "Wir bewegen uns auf eine Welt zu, in der alles zum Computer wird", sagt Bruce Schneier. Auf der Cyber Security Nordic Konferenz, die diese Woche in Helsinki stattfand, warnte der US-Sicherheitsexperte vor den Auswirkungen dieser Entwicklung. Durch die vernetzten Rechner, die alle Bereiche unseres Lebens erfassen, entstehen neue Gefahren, sagt Schneier, der die sich heute bereits abzeichnende Hyperkonnektivität auch in seinem jüngsten Buch "Click here to kill Everybody" ("Klicken Sie hier, um alle zu töten") zum Thema machte.
Die neue computerisierte Umwelt weite nicht nur die Internetsicherheit auf die physische Welt und alle Bereiche unseres Lebens aus, sie bringe sie auch an ihre Grenzen. "Wir haben einen Krisenpunkt erreicht."
"Angriffe werden leichter, besser schneller"
Die Gründe dafür sind vielfältig. Die meiste Software sei schlecht geschrieben und auch das Internet sei nicht im Hinblick auf Sicherheit konzipiert worden, erläutert Schneier. Computersysteme könnten darüber hinaus um beliebige Funktionen erweitert werden. Schadsoftware sei schließlich auch nichts anderes als ein Feature-Upgrade: "Ein Kühlschrank kann zum Teil eines Botnets werden." Durch die zunehmende Komplexität der Systeme würden auch Attacken einfacher. Die Vernetzung bringe neue Verwundbarkeiten mit sich, so Schneider: "Angriffe werden leichter, besser und schneller."
Letale Folgen
In der von Computern durchdrungenen Welt könnte Sicherheitsversagen aber letale Folgen haben, warnt Schneier: "Es gibt einen fundamentalen Unterschied zwischen einem abstürzenden Excel-Programm und dem Versagen eines Herzschrittmachers oder dem Crash eines gehackten Autos. Die Ursache kann aber derselbe Softwarefehler oder derselbe Angriff sein."
Mechanismen, um mit Ausfällen der vernetzten Rechner umzugehen, gebe es aber noch nicht. Kaputte Gegenstände könne man in die Werkstatt bringen, wie man mit hunderten kompromittierten vernetzten Türschlössern umgehe, wisse man aber nicht. "Das ist ein Fehlermodus an den die Welt nicht gewöhnt ist", sagt Schneider.
Systeme versagen
Daneben würden auch die Sicherheitssysteme versagen. Patches, also Updates mit denen Sicherheitslücken geschlossen werden, würden bei vielen Geräten nicht funktionieren. Für viele Devices im Internet der Dinge sei dies auch gar nicht vorgesehen. Auch Authentifizierungsmechanismen seien für die Masse an Dingen, die sich in der neuen vernetzten Welt gegenseitig identifizieren müssten, nicht ausgelegt. Bei 5G gehe es vor allem um die Kommunikation zwischen Dingen. Wie sich aber tausende Dinge untereinander authentifizieren sollen, wisse man nicht: "Das zu lösen, ist nicht einfach", sagt Schneier.
Die Sicherheit der Systeme sei auch durch die zunehmend verflochtenen Lieferketten bedroht. Das iPhone sei zwar nominell ein US-Produkt, Bestandteile und Programme für das Gerät würden aber aus aller Welt kommen. "Es kann überall kompromittiert werden." Kolportierte Hintertüren in Cisco-Routern und chinesischen Netzwerk-Equipment seien nur die Spitze des Eisbergs.
Außer China sei kein Land in der Lage eigene Geräte und Infrastruktur zu produzieren, sagt Schneier. "Unsere Industrie ist international, wir müssen zusammenarbeiten.“ Sicherheit könne es entweder für alle oder für niemanden geben. Dazu brauche es Standards, Regulierungen und internationale Vereinbarungen.
"Märkte können das nicht regeln"
Die Märkte könnten das nicht regeln, ist Schneier überzeugt. Es gehe mittlerweile nicht mehr darum, ob es staatliche Eingriffe gebe, sondern ob diese gut oder schlecht, smart oder dumm seien. Sicherheit müsse von den Regierungen durchgesetzt werden. Das habe in der Vergangenheit beispielsweise bei Autos, Flugzeugen, Arbeitsbedingungen oder Finanzprodukten funktioniert.
Auch die europäische Datenschutzgrundverordnung (DSGVO) sei ein gelungenes Beispiel für einen solchen Eingriff. Davon habe nicht nur die Privatsphäre, sondern auch die Sicherheit profitiert, so Schneier. Viele Regelungen der europäischen Gesetzgebung würden mittlerweile weltweit befolgt, weil sich das Bereitstellen unterschiedlicher Versionen von Diensten oder Geräten für die Anbieter nicht rechne: "Gute Regulierung in großen Märkten hat weltweite Auswirkungen."
Disclaimer: Die Kosten für die Reise zur Cyber Secury Nordic und der Aufenthalt in Helsinki wurden von Business Finland und F-Secure übernommen.