© F-Secure

Digital Life
10/05/2019

Wie das Internet der dummen Dinge unsere Sicherheit gefährdet

Der Sicherheitsexperte Mikko Hyppönen über vernetzte Geräte, Smartphone-Sicherheit und die Cyberkriminalität der Zukunft.

von Patrick Dax

"Jedes Gerät, das Elektrizität nutzt wird früher oder später online sein. Alles wird zum Computer", sagt  Mikko Hyppönen. Der Leiter der Forschungsabteilung des finnischen Sicherheitsunternehmens F-Secure ist in der IT-Welt kein Unbekannter. Nach ihm ist das sogenannte "Hyppönen-Gesetz" benannt, das besagt, dass Geräte, die als "smart" bezeichnet werden, allesamt verwundbar sind und gehackt werden können. Sorgen bereiten ihm aber weniger smarte Uhren, Smartphones oder Smart-Home-Anwendungen, sondern "dumme Dinge", wie Kühlschränke oder Toaster, die ebenfalls zunehmend ins Internet drängen.

"Es geht um Daten", sagt Hyppönen im Gespräch mit der futurezone am Rande der Cyber Security Nordic Konferenz, die diese Woche in Helsinki stattfand. "Für Unternehmen sind Daten wichtig, weil sie ihnen über die Nutzung der Geräte Auskunft geben. Für die Privatsphäre und Sicherheit der Nutzer ist das aber gefährlich. Das Gros der Geräte wird nicht mit Updates versorgt, es geht in eine gefährliche Richtung."

futurezone: Sollen Nutzer davon absehen, solche Geräte zu verwenden?
Mikko Hyppönen:
Viele Konsumenten wissen nicht einmal, dass ihre Geräte mit dem Internet verbunden sind. Sie haben keine Möglichkeit diese Verbindung zu blockieren. Sie sollten die Hersteller aber in die Verantwortung nehmen. Für Nutzer ist beim Kauf meist nur der Preis entscheidend. Die Sicherheit ist kein Kaufkriterium. Solange sich das nicht ändert, werden Unternehmen nicht in Sicherheit investieren.

Braucht es gesetzliche Regelungen?
Ich bin kein großer Fan von Regulierung, da sie meistens zu nichts führt. Man kann aber argumentieren, dass es bereits Vorschriften gibt, die sicherstellen, dass Geräte nicht plötzlich Feuer fangen oder Nutzer keinen elektrischen Schlag bekommen, wenn sie eine Waschmaschine verwenden. Für die Softwaresicherheit gibt es etwas Vergleichbares nicht. Als Sicherheitsexperte halte ich das für absolut notwendig. Als jemand, der für einen Software-Hersteller arbeitet, hasse ich den Gedanken. Ich weiß also nicht, was ich will.

Das Problem stellt sich auch vielen Unternehmen, die im Zuge der Automatisierung ihre Maschinen vernetzen.
Automatisierung gibt es in Unternehmen bereits seit den 1980er Jahren. Die Geräte waren damals aber nicht mit dem Internet verbunden, sie waren also sicher. Das hat sich geändert. Diese Maschinen haben eine lange Lebensdauer von bis zu 50 Jahren. Sicherheitsupdate für einen so langen Zeitraum gibt es nicht. Auch Autos werden zunehmend vernetzt. Ich fahre eines das 20 Jahre alt ist. Wie man über eine so lange Zeit für Sicherheit sorgen kann, ist ein ernsthaftes Problem.

Wie könnte eine Lösung aussehen?
Wir werden für Sicherheit bezahlen. Man erwartet von Herstellern wie Mercedes und BMW nicht, dass Sie ihre Kunden mit kostenlosen Ersatzteilen versorgen. Aber die Ersatzteile müssen verfügbar sein. Dasselbe sollte für die Sicherheit gelten. Die Hersteller müssen den Code unter einer freien Lizenz zur Verfügung stellen, dann werden sich auch Anbieter finden, die die Patches bereitstellen, weil sie dafür bezahlt werden. Sie werden diese Updates nicht kostenlos bekommen, aber sie werden gerne dafür bezahlen. Die Lösung ist also, die Software unter einer Open Source Lizenz zur Verfügung zu stellen.

Wie sieht es mit der Sicherheit von Smartphones aus?
Smartphones waren in punkto Sicherheit das Beste, was in den vergangen 10 Jahren passiert ist. Sie sind sicherer als jedes andere Gerät. Das liegt daran, dass sie nicht von jedem programmiert werden können. Bevor man etwa für das iPhone Programme veröffentlichen kann, werden sie von Apple geprüft. Bei Android ist es ähnlich. Es ist eine Einschränkung, macht die Geräte aber sehr sicher.

Was ist sicherer, Apples iOS oder Googles Android?
iOS, in jeder Hinsicht. Auch was den Schutz der Privatsphäre betrifft. Apple sammelt keine Daten. Google lebt von diesen Daten. Apple lebt davon, überteuerte Geräte zu verkaufen.

Sicherheitsvorfälle gab es zuletzt aber auch bei iOS häufiger.
Natürlich können die Geräte gehackt werden und das werden sie auch. Solche Attacken sind aber sehr aufwändig und sehr teuer und haben meist sehr bestimmte Ziele im Visier. Das macht sie für die meisten Nutzer sicher. 

Welche Rolle spielt der Mensch bei Sicherheitsvorfällen?
Das ist ein ziemliches Problem. Technische Probleme können gelöst werden. Wenn es in der Software Bugs gibt kann das mit Updates gelöst werden. Für Menschen gibt es keine Updates. Die einzige Möglichkeit, die wir haben, ist die Bildung und die versagt fast immer. Es ist entmutigend.

Wie haben sich Angriffe in den vergangenen Jahren verändert?
Die ersten Viren kamen von Teenagern, die ihren Spaß haben wollten. Es war ein Spiel. Heute steht organisierte Intelligenz, Geheimdienste, das Militär, Extremisten und Terroristen dahinter. Ich hätte das nicht geglaubt, als ich vor 30 Jahren mit der Analyse von Viren begonnen habe.

Welchen Einfluss hat künstliche Intelligenz und maschinelles Lernen auf die Cybersicherheit? Wo sehen sie Gefahren?
In der Verteidigung setzen wir maschinelles Lernen seit Jahren ein. Bei Angriffen sehe ich im Moment noch keine Gefahren. Wir haben noch keine Cyberattacken gesehen, die maschinelles Lernen nutzen. Das liegt daran, dass es eine Qualifikationslücke gibt. Wenn Sie heute Experte sind, bekommen sie einen gutbezahlten Job und müssen nicht kriminell werden. Solche Attacken sind aber machbar und es ist nur eine Frage der Zeit, bis sie passieren werden.

Wie könnten solche Angriffe aussehen?
Das würde beispielsweise bedeuten, dass sich die Schadsoftware der jeweiligen Situation anpasst und ihren Code verändert oder Phishing-Attacken automatisch zur vielversprechendsten Strategie wechseln. Es gibt noch eine Menge andere Dinge, über die ich aber nicht sprechen werde. Ich will niemanden auf Ideen bringen.

Disclaimer: Die Kosten für die Reise zur Cyber Secury Nordic und der Aufenthalt in Helsinki wurden von Business Finland und F-Secure übernommen.