Sicherheitsexperte: Müssen uns nicht vor explodierenden Handys fürchten

Die massenhaft explodierten Pager und Funkgeräte der Terrormiliz Hisbollah im Libanon haben weltweit für Aufsehen gesorgt. Die Aktion, hinter der aller Wahrscheinlichkeit nach Israel steckt, sorgt aber nicht nur aufgrund ihrer Einzigartigkeit für Gesprächsstoff. 

➤ Mehr lesen: Explosionen im Libanon: Pager wohl mit Sprengstoff ausgestattet

Viele Menschen, auch in Europa und den USA, fragen sich nun, wie angreifbar wir aufgrund unserer persönlichen elektronischen Geräte eigentlich sind. Manche sorgen sich, dass die Aktion Nachahmer finden könnte und fragen sich, ob es denn möglich wäre, dass auch unsere Handys plötzlich in die Luft gehen.

Sicherheitsexperte Joe Pichlmayr, CEO bei der österreichischen Firma Ikarus Security Software, erklärt im futurezone-Interview, welche Gefahren real sind, wie eine solche Aktion technisch abläuft und welche Sorgen eher vernachlässigbar sind. 

futurezone: Nach den Pager-Attacken fragen sich viele Menschen, wie einfach es denn wäre, unsere Smartphones in der Art zu manipulieren. Ist so ein Szenario denn realistisch?
Joe Pichlmayr: Jein. Einen Pager herzustellen ist im Vergleich zur Herstellung von Smartphones in etwa so, wie ein Gokart aus einer Seifenkiste zusammenzuschrauben und sich selbst ein Auto zu bauen. 

Das heißt, mit Handys wäre so eine Aktion schon komplizierter?
Man muss da Vieles unterscheiden. Große Hersteller wie Apple oder Google haben damit begonnen, ihre Produktionsweisen zu diversifizieren und geografisch breiter zu streuen, um einzelne Abhängigkeiten - wie etwas von China - zu reduzieren. Auch Zulieferer produzieren an unterschiedlichen Orten. Das macht den gesamten Produktionsprozess natürlich „angreifbarer“ und erfordert sehr aufwändige und komplexe Kontrollen – die aber allein der Qualitätssicherung wegen schon sehr ausgeprägt sind. 

Auf der anderen Seite kann man Smartphones auch in Lizenz fertigen lassen. Und natürlich kann man dann selbst entscheiden, was an Software darauf installiert wird, aber in dem Herstellungsprozess Sprengstoff mit einzubringen setzt natürlich die Mithilfe der Leute in der Manufaktur voraus - wenn man tausende Stückzahlen braucht. Einzelne Smartphones könnte man natürlich wesentlich leichter manipulieren. Wobei man sich grundsätzlich auch die Frage stellen muss: Warum sollte man das Pager-Szenario überhaupt auf ein Smartphone übertragen?

Warum nicht?
Weil ich als “Produzent” bzw. “Anbieter” (Anm. gemeint sind Angreifer) den Nutzer des Smartphones durch dessen simples Benutzen theoretisch 24 Stunden am Tag sowieso in der „Hand“ habe - zumindest was sein Informationsverhalten, seinen Tagesablauf, seine Netzwerke, etc. anbelangt. Weil man die Kommunikation nicht nur überwachen könnte, sondern auch wüsste, wo das Smartphone - und vermutlich auch sein Besitzer - gerade ist. 

Das heißt, Smartphones wären zur Manipulation in solchen Massen gar nicht so "geeignet"?
Man kann davon ausgehen, dass die Qualitätssicherung und Endkontrolle der großen namhaften Hersteller hier Manipulationsversuche in großem Stil mit höchster Wahrscheinlichkeit erkennen und vereiteln würden. Aber natürlich: Was kann man heutzutage noch wirklich sicher ausschließen - wenn die Herstellung von Komponenten und deren Produktion sowie die Teil- und Endfertigung auf viele Standorte verteilt sind und viele Hände (bzw. Maschinen) darin involviert sind?

Und wie sieht es bei Geräten aus, die nicht von den “Großen” stammen?
Bei Herstellern von „No Name“-Produkten und unbekannteren Marken, die kleinere Serien bauen oder bauen lassen (das können aber immer noch Hunderttausende sein) wird es vielleicht schwieriger, die gleichen Sicherheits-, Produktions- und Qualitätsstandards zu halten, wie es die Großen können.

➤ Mehr lesen: Techkonzerne sagen Milliarden für Kampf gegen Cyberkriminalität zu

Berichten zufolge gingen im Libanon nicht nur Pager hoch, sondern eben auch Funkgeräte bzw. wurde auch von Solaranlagen berichtet. 
Ja, denken wir mal über Smartphones hinaus. Die aktuelle Geschichte offenbart einfach nur, wie (letal) abhängig wir von diesen Dingen geworden sind – und es ist wesentlich einfacher, andere smarte Devices so zu manipulieren. Es steckt ja schon überall eine SIM drinnen oder es ist ein Weg implementiert, der eine „Ansteuerung" des Endgerätes erlaubt. Nachdem die Industrie für jeden Auftrag produziert, handelt es sich hier um eine offene Flanke, die sich gewaschen hat.

Das Thema wird in Zukunft also eine größere Rolle spielen?
Die Diskussion über Supply-Chain-Angriffe wird in eine völlig neue Dimension geführt. Denn das "gleiche Spiel" kann man dann überall spielen. 

Inwiefern sind denn die Hersteller in der Pflicht?
Grundsätzlich voll, das gilt für jeden Hersteller – egal, welche Produkte er fertigt und in Umlauf bringt.

Wie läuft das zeitgleiche Auslösen solcher Explosionen ab?
Das ist einfach, das liegt in der Natur der Pager, die eigentlich Funkmelde-Empfänger sind. Man kann sich das vorstellen wie bei Feuerwehren, die sowas zum Beispiel nutzen, um im Alarmierungsfall eine Nachricht an alle ihre Mitglieder - mehr oder weniger gleichzeitig - verschicken zu können. Das heißt, es ist ein simples Funk-Signal, das dann auch der Trigger ist und die Explosion auf dem manipulierten Pager verursacht.

Wie groß ist das Risiko, dass diese Pager-Aktionen Nachahmer finden werden?
Etwas spekulativ, aber: Leider würde ich es als insofern groß bezeichnen, weil jetzt offenbart wurde, wie effizient mit dieser Art von Angriffen gezielt gegen alles Mögliche und alle Möglichen vorgegangen werden kann. Das heißt, nochmal: Man muss sich das wirklich auf jedes “Smart Device” bezogen vorstellen, das in Umlauf gebracht wird.

➤ Mehr lesen: Smartphones können durch Sicherheitslücke “gegrillt” werden

Wären solche Nachahmer-Aktionen für einzelne (kleinere) Gruppen logistisch überhaupt machbar?
Ja, ich denke schon. Es ist zwar unwahrscheinlich, die Lieferketten der Big Player zu manipulieren, aber was No-Name-Produkte anbelangt, durchaus denkbar. Es ist natürlich auch abhängig vom verfügbaren Know-how und verfügbaren Ressourcen. Dadurch, dass der Lizenzmarkt in der Produktion aber riesig ist, bieten sich hier wirklich viele Angriffsflächen.

Zusammengefasst: Muss sich irgendwer hierzulande nun vor solchen Angriffen fürchten?
Nein, das wäre wirklich übertrieben. Aber das Thema muss Eingang in unser Risikomanagement finden und als „letale“ Form von Supply-Chain-Attacken erkannt werden.