"Es wird massive Angriffe auf autonome Autos geben"
Als Ende vergangener Woche eine Horde mit Schadsoftware ferngesteuerter vernetzter Kühlschränke, Haushaltsgeräte und Webcams den Internetdienstleister Dyn mit Anfragen überflutete und Teile des Internets kurzzeitig lahmlegte, wurde offenbar, was viele schon wussten. Vernetzte Gegenstände sind, wenn überhaupt, nur unzureichend gesichert.
Es habe einen Grund, dass das Internet der Dinge (Internet of Things) in Sicherheitskreisen Internet of Targets (Internet der Ziele) genannte werde, sagte der Sicherheitsforscher Edgar Weippl vom österreichischen Forschungszentrum SBA Research am Dienstag in der Wiener Hofburg. Dort versammeln sich noch bis Freitag mehr als tausend Sicherheitsexperten aus 42 Ländern bei der ACM CCS, der international größten Konferenz für Kommunikationssicherheit und Cybersecurity, die erstmals in Wien stattfindet.
Neue Dimension
"Wir wussten nicht, dass ein solcher Angriff in dieser Größenordnung funktioniert", sagte Stefan Katzenbeisser von der TU Darmstadt. Das Hauptproblem sei, dass Haushaltsgeräte, nicht gebaut wurden, um sicher zu sein. Im Vordergrund stehe die Funktionalität: "Jetzt sind sie vernetzt und es gibt Sicherheitsprobleme, die sich nur schwer beseitigen lassen.
Die Hersteller vernetzter Geräte müssten sich ihrer Verantwortung stellen, forderte der Sicherheitsforscher Ahma-Reza Sadeghi, der vor kurzem eine Schwachstelle in Apples mobilen Betriebssystem iOS offenlegte, das Angreifern über manipulierte Apps den Zugriff auf Kontakte und Standortdaten von iPhone-Nutzern erlaubte.
Smartphone-Hersteller hätten die Probleme zumindest verstanden und würden für gewöhnlich schnell auf Sicherheitslücken reagieren, sagte Sadeghi. Für vernetzte Autos gelte dies leider nicht. "Es gibt Hersteller, die zwar viel über Sicherheit reden, sich aber überhaupt nicht darum kümmern." Für Sicherheitsforscher werde es interessant, wenn selbstfahrende Autos und autonome Systeme kommen, meinte Sadeghi: "Es wird massiv Angriffe geben."
Die Hersteller seien es gewohnt, die Sicherheit ihrer Fahrzeuge alle zehn Jahre zu verbessern, meinte Ross Anderson von der Universität Cambridge. Mit der zunehmenden Vernetzung und Digitalisierung sei es aber notwendig, alle zehn Monate ein Sicherheitsupdate durchzuführen.
"Know-how nicht vorhanden"
Das Know-how sei bei vielen Zulieferern und Herstellern nicht vorhanden, meinte Stefan Mangard von der TU Graz. Generell würden viele Industrien heute vor großen Herausforderungen stehen, sagte der Sicherheitsexperte. Sie müssten Kompetenzen in Software und Sicherheit aufbauen. Auch als Konsument müsse man ein Bewusstsein für Sicherheit entwickeln, meinte Sicherheitsforscher Weippl. "Wenn sie durch ihre Kaufentscheidungen kommunizieren, dass Sicherheit für sie wichtig ist, müssen die Hersteller reagieren."
Es müsse für Laien einfacher werden IT-Sicherheit anzuwenden, meinte Katzenbeisser. Mit der zunehmenden Vernetzung in fast allen Lebensbereichen müsse Sicherheit auch von vornherein mitgedacht und in die Systeme eingebaut werden: "Nur dann kann die Transformation in die digitale Gesellschaft funktionieren."
Plädoyer für starke Verschlüsselung
Für seine Arbeit wurde der emeritierte Wissenschaftler aber auch angefeindet. Allen voran vom US-Geheimdienst NSA. Der sah schon in den 70er Jahren seine Spionageaktivitäten durch starke Verschlüsselung gefährdet, und wollte die Publikation der Arbeiten des Kryptoexperten verhindern. Bei der Sicherheitskonferenz erteilte Hellman Bestrebungen von Geheimdiensten und Politikern eine Absage, sichere Verschlüsselung durch staatlich verordnete Hintertüren auszuhebeln: "Starke Verschlüsselung sollte eigentlich im Interesse der Strafverfolgungsbehörden liegen", sagte der Kryptologe. "Denn sie erhöht die Sicherheit und das ist die beste Verbrechensverhütung."