Vielen Dank für Ihre Registrierung. Sie haben jetzt den Aktivierungslink für Ihr Benutzerkonto per E-Mail erhalten.

Vielen Dank für Ihre Anmeldung.

Ihr Konto ist aktiviert. Wir wünschen Ihnen viel Lesevergnügen.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Lesevergnügen.

CYBERKRIMINALITÄT: «Selbst zu Hause sind wir nicht sicher»

In zunehmendem Mass leidet unsere Gesellschaft unter Hackerangriffen. Dagegen müsse sie sich wehren wie einst gegen Dorfbrände, sagt ETH-Dozent Stefan Frei.
Interview Fabian Fellmann
«Selbst zu Hause sind wir nicht sicher»

«Selbst zu Hause sind wir nicht sicher»

Interview Fabian Fellmann

Kriminelle brechen über ganz normale Webseiten in unsere Privatcomputer ein und stehlen unser Geld, sie beklauen sogar Zentralbanken, sie legen wichtige Stromversorger lahm – muss uns im Internetzeitalter angst und bange werden?

Stefan Frei: Die Gefahr ist real, und wenn man die Wahrheit ignoriert, ist man nicht sicherer – man fühlt sich nur besser. Es gibt eine einfache Weisheit über das Vorgehen von Kriminellen: Sie gehen dorthin, wo das Geld ist. Und das steckt heute in den Informationstechnologien, die für wichtige Teile unserer Politik und Gesellschaft unverzichtbar geworden sind. ­Weiter gehe ich davon aus, dass kritische Komponenten, zum Beispiel unserer Energieversorger oder unserer Banken, bereits kompromittiert sind.

Hacker haben unsere Stromversorger und Banken im Griff?

Frei: Sorge machen vor allem Geheimdienste anderer Staaten, die bereits tief in unsere Systeme eingedrungen sein dürften. Sie haben zwei Ziele: erstens fortlaufende Spionage, zweitens Vorbereitung von Sabotage. Sie verfügen vermutlich über Hintertüren zur Kontrolle von Systemen oder sogenannte «Kill Switches»: Computerchips können mit einem speziellen Signal angewiesen werden, sich selbst zu zerstören, zum Beispiel im Konflikt oder Kriegsfall. Solche Hintertüren in unseren Elektronikprodukten können wir heute kaum verhindern, weil wir von einer extrem komplexen Lieferkette abhängig sind: Jedes Produkt besteht aus zahlreichen Komponenten, die Schwachstellen enthalten können oder bereits bei Lieferung kompromittiert sind.

Solche Aussagen hinterlassen bei vielen ein Gefühl der Unsicherheit und der Machtlosigkeit.

Frei: Das ist nur zum Teil berechtigt. Ich erkläre das mit einer Analogie aus der Biologie: Kein Schädling tötet die Population seines Wirtes vollständig. Auch die Hacker werden unsere Gesellschaft nicht zum Erliegen bringen. Gleichzeitig sind wir ein komplex-adaptives System: Wenn wir dauernd Hackerangriffen ausgesetzt sind, hält uns das fit, und unsere Abwehr wird robuster. Weiter ist die Risikowahrnehmung verzerrt. Gewisse Cybervorfälle finden grosse Aufmerksamkeit in den Medien, andere werden nie publik. Wir haben zum Beispiel auch mehr Angst vor dem Fliegen als vor dem Treppensteigen, obwohl bei Treppenstürzen mehr Leute sterben als bei Flugunfällen.

Aber wie können wir uns besser vor Cyberkriminellen schützen?

Frei: Das Grundübel ist in den meisten Fällen unsichere Software. Das liesse sich ganz einfach beheben, indem die Software-Industrie endlich die Haftung für ihre Produkte übernehmen müsste. Heute liefert die Branche Software und Geräte in halb garem Zustand aus und schiebt dann unzählige Sicherheitsupdates hinterher. Damit verschieben die Hersteller die Kosten für ihre mangelhaften Produkte auf die Kunden und die Allgemeinheit. Für Software-Firmen muss dasselbe gelten wie für Autohersteller: Wenn diese einen Wagen mit gefährlichen Gaspedalen ausliefern, müssen sie einen Rückruf starten, der unter Umständen auch Millionen kostet.

Die Schweiz kann das nicht allein tun. Sie würde die heimische Digitalindustrie abwürgen.

Frei: Das stimmt. Aber in einem ersten Schritt könnte die Schweiz systematische Testverfahren für elektronische Komponenten und Software von kritischen Systemen einführen. Da würde alles ausein­andergenommen und auf Sicherheits­lücken und Hintertüren überprüft. Man muss dem Hersteller das Signal senden, dass Sicherheitsmängel oder gar Hintertüren detektiert werden.

Das klingt nach einer bürokratischen Illusion.

Frei: Die Autoindustrie wehrte sich auch lange gegen systematische Sicherheitsüberprüfungen: An der hohen Zahl von Toten waren immer die Fahrer schuld. Erst als Ralph Nader mit dem Buch ­«Unsafe at any speed» nachwies, dass die Konstruktion der Autos zu vielen Unfällen und schweren Verletzungen beitrug, wurden staatliche Sicherheitstests eingeführt. Heute zweifelt niemand mehr daran, dass die nötig sind.

Aber staatliche Tests für Software und Computer-Komponenten sind politisch für ein kleines Land kaum durchsetzbar.

Frei: Wir stehen in der IT-Sicherheit heute dort, wo wir vor 200 Jahren bei Gebäuden standen. Damals schufen die Kantone Brandschutzversicherungen. Diese legten anschliessend Standards für Brandsicherheit fest. Ähnliches ist heute in Vorbereitung: Versicherer und Rückversicherer denken derzeit darüber nach, welche Anforderungen sie für versicherbare IT-Anlagen definieren wollen. Wer sich nicht daran hält, könnte keine Versicherungsansprüche mehr stellen. So setzen wir wichtige wirtschaftliche Anreize, dass sicherere IT-Komponenten hergestellt und beschafft werden.

Die Entwicklung von Mobiltelefonen, Computern und anderen elektronischen Produkten ist heute sehr schnell. Ihre Ideen könnten die Innovation bremsen.

Frei: Die Konsumenten beklagen sich heute nicht darüber, dass neue Produkte zu langsam auf den Markt kämen. Aber viele ärgern sich darüber, dass sie Produkte von lausiger Qualität erhalten. Zudem sehen die Leute zunehmend ein, dass die Cyberkriminalität auch physische Auswirkungen haben kann. Selbst zu Hause sind wir davor nicht mehr sicher, weil die Haushaltgeräte zunehmend automatisiert und vernetzt werden. Wollen wir wirklich riskieren, dass Kriminelle in einer Stadt von der Grösse Zürichs den Strom ausfallen lassen können, weil wir unsichere Strommesser verbauen?

Nein, das nicht. Aber bis wir Sicherheitsstandards haben, ist es noch ein weiter Weg.

Frei: Ich bin überzeugt, dass Sicherheitsstandards für Elektronikprodukte früher oder später ohnehin eingeführt werden. Die Frage ist nur, wie oft wir uns vorher den Kopf anstossen müssen. Die Schweizer Volkswirtschaft zeichnet sich durch hohe Vernetzung mit der Weltwirtschaft aus; der grösste Teil unserer Wirtschaftsleistung geht auf geistiges Eigentum zurück. Wir sind darum besonders ver­wundbar und müssen uns besonders gut ­schützen.

Gravierende Sicherheitslücken in Elektronikprodukten sind bekannt. Warum dauert es so lange, bis wir das Problem in den Griff kriegen?

Frei: Die Menschheit ist extrem träge, oft verkriechen wir uns in einer Igelhaltung, wenn wir mit unbequemen Problemen konfrontiert sind. Ein Beispiel aus der Flugzeugindustrie. Vor einem Jahr hat ein Hacker nachgewiesen, dass er über das Entertainment-System die Flugzeugsteuerung angreifen konnte. Das hat er erst gemacht, nachdem die Flugzeughersteller seine Warnungen jahrelang ignorierten. Als er sie öffentlich machte, wurde er verhaftet. Das ist keine Kultur, welche die Sicherheit fördert.

Hinweis

Stefan Frei ist Dozent für Netzwerksicherheit an der ETH Zürich. Er arbeitet seit den späten 1980er-Jahren im Bereich der IT-Sicherheit. Unter anderem verdiente er sein Geld damit, im Auftrag von Unternehmen und Organisationen in deren Netze einzubrechen, um Schwachstellen aufzudecken.

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.