Erpressung: Wenn das eigene Auto mit dem Tod droht

Der Vorfall in einem österreichischen Hotel, in dem Hacker das elektronische Zugangssystem zu den Zimmern kaperten, wird dieser Tage auch auf der RSA-Sicherheitskonferenz in San Francisco heftig diskutiert. Um den Hotelbetrieb nicht zu gefährden, bezahlten die Eigentümer an die Erpresser schließlich 1600 US-Dollar in Bitcoins für die Freischaltung.

Dass Hotelgäste bis zum Zahlen des Betrags in ihren Zimmern eingesperrt waren, wie manche Medien berichteten, hat sich im Nachhinein zwar als falsch herausgestellt. Offenbar konnten einfach keine Schlüsselkarten ausgestellt und folglich auch keine Türen zu Hotelzimmern geöffnet werden. Das beschriebene Szenario wird im Zeitalter der vernetzten Gegenstände aber eher morgen als übermorgen Realität, warnen Forscher.

Gehacktes Gerät wird zur Waffe

"Smarte Haustüren, die per Smartphone geöffnet werden können, Heizungsthermostate, die sich über das Internet regeln lassen, und Autos, die mit sämtlichen technischen Spielereien ausgestattet sind, sind jetzt schon Realität. User nach einem Hack dieser Systeme zu erpressen, ist der nächste logische Schritt", erklärt Aaron Guzman von der Sicherheitsfirma SecureWorks.

"Was würden Sie tun, wenn Sie in der Kälte vor der Haustür stehen, weil das System kompromittiert wurde und sie ausgesperrt hat? Oder wenn Ihr Auto im digitalen Armaturendisplay plötzlich mit einem tödlichen Unfall droht, indem die Bremsen außer Gefecht gesetzt werden sollen oder das Licht auf der Autobahn zu flackern beginnt", gibt auch Gib Sorebo vom Cybersecurity-Unternehmen Leidos zu bedenken.

Psychologischer Terror

"Bei Ransomware geht es ja ein Stück weit immer auch um Angstmache, indem Menschen suggeriert wird, die Angreifer hätten die Kontrolle über das System. Beim eigenen Computer kann ich vielleicht nachdenken, ob das stimmt und der Zugang zur verschlüsselten Festplatte tatsächlich nicht geknackt werden kann. Auf der Autobahn will ich das Risiko vermutlich aber nicht eingehen, und zahle eher das erpresste Geld, selbst wenn die Hacker gar nicht über die technischen Fähigkeiten verfügen, meine Bremspedale zu übernehmen", sagt Sorebo.

Die Liste der erwarteten Angriffsszenarien ist endlos, eben weil immer mehr Gegenstände und Geräte, die bisher offline waren, sukzessive mit dem Internet oder zumindest mit dem eigenen Heimnetzwerk verbunden werden. Der etablierte Begriff "Internet der Dinge" ist schwer zu fassen - konkret bedeutet er, dass vom Herzschrittmacher bis zum Kühlschrank, von der Beleuchtung bis zur Heizung und vom Auto bis zum Gehstock alles irgendwie vernetzt wird. Erst kürzlich wurden etwa Smart-TV-User mittels Ransomware erpresst.

Krankenhaus lahmlegen

Die Implikationen für industrielle Systeme in Fabriken, bei Energieversorgern, Transportunternehmen oder auch Krankenhausbetreibern sind entsprechend schwerwiegender. Werden dort essenzielle Kontroll- und Steuerungssysteme übernommen, die etwa die Produktion einer Fabrik oder den Krankenhausbetrieb lahmlegen, könnten die Betriebsverantwortlichen gezwungen sein, hohe Summen an die Erpresser zu überweisen. In der Vergangenheit führten Cyberangriffe etwa in der Ukraine zu Stromausfällen.

"Natürlich sollte man kein Geld überweisen. Die Realität des Business sieht oftmals aber leider anders aus", erklärte Security-Experte Ed Skoudisin seiner Präsentation auf der RSA Conference. Unternehmen sollten sich jedenfalls vorher Gedanken machen, wie sie bei einer etwaigen Erpressung durch Schadsoftware reagieren. Gerade im letzten Jahr waren von herkömmlicher Ransomware - mit der etwa Festplatten verschlüsselt und somit unbrauchbar gemacht werden - neben Privatpersonenmehr und mehr Unternehmen betroffen.

Zahlen oder nicht zahlen

"Man muss vorher klären, wer die Entscheidung trifft, zu bezahlen oder nicht. Im Ernstfall muss man versuchen, geschickt zu verhandeln - also den Vorfall gegenüber den Angreifern herunterspielen und als Firma so klein und so arm wie möglich wirken. Cyberkriminelle sind vernünftige Geschäftsmänner und machen lieber ein schlechtes Geschäft als gar keines", lautet der ungewöhnliche Ratschlag von Skoudis.

Vorfälle wie der erwähnte auf das Kärntner Hotel, aber auch der vielbeachtete Angriff auf die Ticketautomaten von San Franciscos Öffi-System im November 2016 sind den Sicherheitsforschern zufolge nur erste Testballone, um zu sehen, welche Art von Angriffe überhaupt möglich sind und wie viel Geld damit erpresst werden kann.

"Man sollte angesichts des Vorfalls in Österreich nicht davon ausgehen, dass es künftig nur 1600 Dollar kosten wird, um ein gekapertes Hotelsystem auszulösen. Cyberkriminelle agieren nach herkömmlichen Marktprinzipien und werden sehr schnell den optimalen Preis herausfinden, den Leute bereit zu bezahlen sind, um noch größeren Schaden von ihrem Geschäft abzuwenden", erklärt Gib Sorebo.

Tipps für Sicherheit

Dass viele der nun netzwerk- und internetfähigen Objekte über laxe Sicherheitsvorkehrungen verfügen, ist kein Geheimnis. Security-Experten empfehlen, das oftmals vorgegebene Standard-Passwort des Geräts zu ändern. Besondere Vorsicht ist beim Fernzugriff geboten - auf diesen sollte, wenn möglich, verzichtet werden, rät etwa auch Ed Skoudis.

"Wer smarte Leuchten und den intelligenten Kühlschrank ins eigene Netzwerk integriert, sollte ein separates WLAN-Netzwerk mit kompliziertem Passwort erstellen, in dem nicht die restlichen Arbeitsgeräte wie Laptops, PCs und Tablets hängen. Sind Cloud-Services von Google, Apple oder Amazon zur Steuerung der Objekte notwendig, sollte man sich überlegen, einen separaten zweiten Account nur für diesen Zweck anzulegen", sagt Skoudis.

Disclaimer: Die Reisekosten zur RSA Conference wurden von RSA Security übernommen