2016 im IT-Rückblick: Alte und neue Bekannte

Eventuell ist der technische Fortschritt längst über diese Fragen hinweg gegangen. Mehrere Firmen meldeten Erfolge bezüglich Quantencomputern. Sollten die alten zeitlichen Abstände zwischen den Fähigkeiten der NSA und der zivilen IT-Firmen der USA weiter gelten, würde die NSA vermutlich schon einen mehr oder wenig gut funktionierenden Quantencomputer besitzen. Mit solche einem Rechner würden sich die Kryptoanalysten ungleich leichter tun, verzwickte Verschlüsselungen aufzubrechen. Vor allem RSA-Verfahren wären mit Quantenrechnern deutlich leichter zu entschlüsseln.

Wann wird es die ersten IoT-Toten (Internet of Things) geben? Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, warnte im April 2016 in einem Zeitungsinterview mit der „Welt am Sonntag“ vor Hackerangriffen auf Autos und Flugzeuge. Irgendwann werde jemand versuchen, Bremsen von Autos zu manipulieren, so Schönbohm. Dann wären schwere Unfälle und Todesfälle möglich. Wie man auf dem CAN-Bus gelangt, haben Hacker ja bereits gezeigt. „Wir dürfen nicht nur über Digitalisierung reden, sondern brauchen gleichzeitig auch ein Mindestmaß an Cybersicherheit", sagte Schönbohm.

Dank günstiger Preise verbreiten sich die vernetzbaren Geräte inzwischen schnell. Doch preiswert heißt eben oft auch schnell und damit billig konstruiert. Webcams, die man ohne ein Passwort zu setzen einfach ins Internet stellen kann, sind nicht nur für den Besitzer ein Risiko. Solch eine Kamera wird rasch von Hackern entdeckt und zum Teil eines Bot-Netzes gemacht, das anschließend gegen klingende Münze DDoS-Angriffe abarbeitet.

Nicht weniger unangenehm sind die Sicherheitslücken bei den noch recht neuen Funk-Glühbirnen mit Zigbee-Funkstandard. Eine Gruppe von IT-Spezialisten aus Israel und Kanada konnte zeigen, dass smarte Philips-Glühbirnen von einem Wurm befallen werden können. Der Schadcode einer infizierten Glühlampe hackt drahtlos benachbarte Birnen und verbreitet auf diesem Weg. Die Lampen beginnen zu flackern oder werden zerstört. So ließen sich ganze Straßenzüge übernehmen und in Dunkelheit stürzen. Doch damit nicht genug: Die Lampen könnten auch den WLAN-Verkehr beeinträchtigen, da sie dasselbe Frequenzband nutzen.

In Las Vegas zeigten Hacker auf der „Def Con 24“, wie leicht sich vernetzte Thermostaten kapern lassen. Die Produkte eines ungenannten Herstellers wurden durch eine Schadsoftware übernommen und die Heizung abgestellt. IoT-Geräte könnten so nach PCs zum nächsten Oper von Erpressungs-Trojanern werden. Wer nicht zahlt, der muss im Winter frieren. Die smarten Thermostate der Google-Tochter Nest schafften das auch ohne kriminelle Energie; Schuld war ein kleiner Bug, der sie offline gehen ließ.

2016 war auch eine neue Dimension des Umgangs mit Schwachstellen zu beobachten. Dass medizinische Apparate besonders sensibel gegenüber Hacker-Attacken sind, war lange bekannt. Im Februar 2012 hatte der US-Hacker Barnaby Jack in München auf dem Kongress IT-Defense anhand einer Insulinpumpe live demonstriert. Die Geräte ließen sich fernsteuern. 2013 wollte er auf der Black-Hat-Konferenz zeigen, wie sich implantierbare Medizintechnik manipulieren lässt, er starb aber zuvor unter dubiosen Umständen. 2016 machten dann Berichte über unsichere Herzschrittmacher vom Hersteller St. Jude Medical die Runde, vorgetragen durch den Sicherheitskonzern Medsec und die Investmentfirma Muddy Waters Capital (MWC). Die Herzschrittmacher und Defibrillatoren der Firma seien unsicher, weil man sie über die Funkschnittstelle manipulieren und so zum Versagen bringen könne. Doch die eher theoretische Bedrohung funktioniert nur, wenn der Angreifer über viele Stunden in unmittelbarer Nähe des Opfers verbringt, zusammen mit seiner Funktechnik. Vieles erschien bald arg aufgebauscht. Weit spannender als die Medizintechnik war in diesem Fall die Börsentechnik. Es wurden nämlich massive Wetten auf fallende Kurse des Unternehmens getätigt. Gleichzeitig kaufte Medsec Aktien der Konkurrenz. Dieses Vorgehen ist eine verhältnismäßig neue Option, mit IT-Sicherheit umzugehen, allerdings eine mit Potential.

Wenn rückblickend auf das Jahr 2016 etwas auffällt, dann die schieren Dimensionen bei IT-Problemen. Verwunderlich ist es nicht: Trotz milliardenfacher Verwendung sind es nur wenige Basistechnologien und eine Handvoll von Anbietern, die den Weltmarkt unter sich aufgeteilt haben.

Mehr als eine halbe Milliarde Datensätze mit persönlichen Daten werden pro Jahr gestohlen, ermittelte das Sicherheitsunternehmen Symantec. Im Mai wurde das desaströse Passwort-Leck von Linkedin bekannt. 177 Millionen Passwörter wurden im Darknet angeboten. Im Juni veröffentlichten die Medien, dass ein russischer Hacker 800 Millionen Benutzernamen und Passwort-Hashes im Darknet veräußert habe. Derselbe Hacker bot auch die Daten von 200 Millionen Yahoo-Nutzern an, später tauchte ein Datensatz von über 127 Millionen Nutzern des Flirt-Portals Badoo auf. Bereits 2014 passiert, aber erst im Jahr 2016 veröffentlicht, wurde der Verlust von 500 Millionen User-IDs bei Yahoo.

Die massiven Datenabflüsse gelangen über Umwege früher und später auch auf den Schreibtisch von Wissenschaftlern. Das Hasso-Plattner-Institut gelangte so zu einen Fundus von 215 Millionen Datensätzen, den man jetzt statistisch ausgewertet hat. Wichtigstes Ergebnis: Das beliebteste Passwort lautet 123456, gefolgt von 123456789 und 12345678. Etwas abgeschlagen landete auf den vierten Platz „password“. Legal gewonnen wurden die 500 Millionen Metadaten, die der BND Monat für Monat an die NSA weitergibt. Sie stammen aus der Satellitenstation in Bad Aibling. Im Weltraum, so argumentiert der BND, gilt weder Datenschutz noch sonst eine Beschränkung.

Fast wäre es 2016 zum größten Bankraub aller Zeiten gekommen. Eine Milliarde Dollar wurde gestohlen, das meiste konnte aber wiederbeschafft werden. Opfer war die Zentralbank von Bangladesch. Mittels gefälschter Swift-Überweisungen bedienten sich die Diebe am New Yorker Konto der Zentralbank. Knapp eine Milliarde US-Dollar wurde Anfang Februar überwiesen. Ein Großteil des Geldes konnte zurückgebucht werden, doch für 80 Millionen US-Dollar war es zu spät, sie wurden von den extra zu diesem Zweck angelegten Konten bereits abgezogen. Der Verlust von zehn Prozent der Fremdwährungsreserven hätte für das Land große Auswirkungen gehabt. Chinesische Hacker, so heißt es in lokalen Medienberichten, hätten unter falschen Identitäten die Konten angelegt, über welche die Summen flossen.

Auch staatliche Stellen mischen bei der Datenbeschaffung mit, oft sogar ganz legal. Dank des Zugriffs auf Strafregister und den modifizierten Einreisebestimmungen in die USA verfügt das FBI jetzt über 411,9 Millionen biometrische Konterfeis von US-Bürgern und Ausländern. Das ist eine gute Datenbasis für das „deep learning“, also zum trainieren von neuronalen Netzen. Auch virtuelle Angriffe kosten reales Geld. Laut der europäischen IT-Sicherheitsbehörde Enisa verlieren EU-Staaten pro Jahr bis zu 1,6 Prozent ihres Bruttoinlandsprodukts durch Malware und DDoS-Angriffe. Die Unternehmen kosten die kriminellen Aktivitäten durchschnittlich zwischen 425.000 Euro und 20 Millionen Euro, je nach Branche und Staat.

Die Angriffe werden zahlreicher und preiswerter. Zwei Wochen DDoS-Angriffe mit 50.000 Rechnern kosteten zwischen 3.000 bis 4.000 US-Dollar. Große Botnetze können zwischen 100.000 und zwei Millionen Rechner umfassen. „Das Internet ist die komplexeste Maschine, die die Menschheit je geschaffen hat“,erläuterte im November die Kryptoexperte Bruce Schneier auf dem Security-Kongress der Telekom. Die Ära von Spaß und Spielen sei aber nun vorbei, mahnte Schneier. Er fordert staatliche Regulierung, um potentiell gefährliche Produkte wie Autos oder medizinische Geräte einem gesetzlich vorgeschriebenen Zertifizierungsprozess unterziehen zu können.

Beim nächsten Update wird alles besser? Nicht immer. HP verteilte im September ungefragt ein Update an seine Drucker. Anschließend verweigerten diese den Dienst, wenn nicht Original HP-Druckerpatronen geladen war. Der Schlag galt fernöstlichen Billig-Tinten, erzürnte aber die Anwender und war wohl auch nicht ganz legal. HP musste zurückrudern. Nach dem Upgrade für Windows 10 im August (Anniversary Update, Version 1607) streikten anschließend die Webcams. Es klemmte beim Treiber für die Videokompression. Wer 1607 von SSD-Festplatten startete, dem konnte sogar das ganze System abstürzen. Auch beim Update eines iPad 2 auf iOS 9 gab es Probleme. Wegen Unverträglichkeiten von alter Hard- und neuer Software verweigerte das Gerät anschließend den Dienst.

Im November winken Bundestag und Bundesrat erweiterte Befugnisse für die Netzüberwachung durch den BND durch. Nach Art der NSA darf die Behörde nun Milliarden von Verbindungs- und Standortdaten sechs Monate auf Vorrat speichern und abgleichen. Der BND war politisch unter Druck geraten, weil ihm seine amerikanischen Partnerdienste 40.000 illegitime Selektoren unterjubelten. Die Selektoren oder Suchbegriffe dienten weniger der deutschen Sicherheit als vielmehr den wirtschaftlichen Interesse der USA. Im Rahmen seine Pläne zur intensiveren Kommunikationsüberwachung will der BND in den nächsten Jahren 150 Millionen Euro dafür ausgeben, Krypto-Messenger wie Whatsapp zu knacken.

Das Darknet ist nicht nur ein Handelsplatz für gestohlene Software. Hier werden in großem Stil Drogen und Waffen gehandelt. Eine davon wurde in München beim Amoklauf im Olympia-Einkaufszentrum (OEZ) neun Menschen zum Verhängnis. Der zuvor hoch gelobte digitale Polizeifunk in Bayern stand kurz vor dem Kollaps; zu viele Polizisten hatten in dem Chaos Kommunikationsbedarf.

Im Juni ergibt eine ADAC-Studie, dass moderne Autos wahre Datenschleudern sind. Gespeichert wird so gut wie alles, was im On-Board-Diagnosesystem der Autos anfällt. Eigentlich sollte das OBC nur die vorgeschriebenen schadstoffbezogenen Daten erheben. Es sind aber auch die GPS-Position, der Kilometerstand, der Verbrauch und Reifendruck im Datencocktail. Gespeichert wurde auch die Zahl der Gurtstraffungen – ein Indiz für starkes Bremsen. Besonders praktisch bei Elektrofahrzeugen: ist der Kunde mit seinem Leasing-Vertrag im Rückstand, wird das Aufladen blockiert.

Einem Monat später sah sich BMW mit dem Vorwurf konfrontiert, Fahrprofile seiner Kunden anzulegen. Die Firma bestreitet das. Nach einem tödlichen Unfall wurde ein BMW-Fahrer allerdings zu einer 33-monatigen Haftstrafe verurteilt. Grundlage waren die Daten des Car-Sharing-Moduls (CSM), das während der Fahrt bestimmte Daten zum Fahrzeugzustand und -betrieb speichert. Eingebaut ist das Modul in Autos des Car-Sharing-Anbieters Drive Now. Die Daten wurde auf richterliche Anordnung ausgelesen, so die Firma.

Massiv in die Schlagzeilen geriet der Internet Pionier Yahoo. Er soll nicht nur den gesamten Postverkehr seiner Kunden an den amerikanischen Geheimdienst weitergeleitet haben, sondern das gesamte Netz sei für Überwachungsmaßnahmen geöffnet worden. Nach Aussagen früherer Yahoo-Mitarbeiter sei ein Kernel-Modul für Linux eingeschleust worden, das alles überwacht hat, was bei Yahoo über die Netze geht. Pikant: alles geriet erst an die Öffentlichkeit, als AOL die Firma an den US-Telekomkonzern Verizon verkaufte. Der konnte daraufhin den Verkaufspreis drücken.