Angriffe auf allen Ebenen

Auf Industriesteuerungen (Scada-Systeme) spezialisierten Hacker sind eine Minderheit. Vielleicht fanden sie auf dem Sicherheitskongress des Chaos-Computer-Clubs deshalb so viel Aufmerksamkeit. Die Schäden können beträchtlich sein. Neben Stuxnet und dem deutschen Stahlwerk geht auch eine explodierte türkische Pipeline auf ihr Konto. Wie bei den Uranmühlen des Iran waren manipulierte Überwachungssensoren der Auslöser. Sie meldeten auch dann nichts Auffälliges ins Kontrollzentrum, als die Pipeline schon 14 Minuten lang in Flammen stand. „Die Hacker von Industriesteuerungen haben ein sehr spezifisches Ziel", erklärt Scada-Hackerin und Forscherin Marina Krotofil, „es kommt ihnen darauf an, den maximalen wirtschaftlichen Schaden anzurichten.“ Trotzdem tummeln sich in diesem Bereich nur wenige Personen, denn Geld ist damit nur dann zu verdienen, wenn Staaten oder Konkurrenzunternehmen die Hacker anheuern. Damit sich in Zukunft mehr Hacker um Industriesteuerungen kümmern können, hat die Expertin zusammen mit einigen Kollegen eine komplette Chemieanlage als Computersimulation ins Netz gestellt, zum Üben.

Ganz anders sieht die Sache bei Geldautomaten aus. Wer sie unter seine Kontrolle bringt, bekommt sofort Bargeld. Der Trojaner „Backdoor.ATM.Suceful“ zieht Bankkarten ein, händigt dem Angreifer Geld aus und schaltet das Alarmsystem der Banken ab. Er wurde, aus welchen Gründen auch immer, in ein weltweites Recherchesystem für Schadsoftware eingespeist. Ob hier die Programmierer nur über wollten, oder was sonst dahinter steckt, ist unbekannt. Im Oktober räumten Unbekannte mit einer verwandten Methode Geldautomaten in Berlin und Esslingen leer. Sie schraubten dazu an einer geeigneten Stelle den Bankomaten auf, legten die USB-Schnittstelle frei und spielten eine manipulierte Software auf. Anschließen begann der Geldautomat, seine Vorräte auszugeben.

International wurde eine Methode beobachtet, bei der diese Software über Datenleitungen aufgespielt wird. Zum verabredeten Zeitpunkt, meist tief in der Nacht, befindet sich dann ein Komplize vor dem Gerät, um die Geldscheine einzusammeln. Der Schaden soll in die Millionen gehen.

Für einen kurzen Moment keimte im September Hoffnung für das IT-Jahr 2015 auf. Der Angriff auf die Erzeugnisse des Hauses Jeep sind noch unvergessen, da kündigt Bundesverkehrsminister Alexander Dobrindt (CSU) kurz vor der Internationalen Automobil Ausstellung in Frankfurt eine Initiative an, Autos besser vor Hackern zu schützen. Um Hacker-Angriffe zu vermeiden, will Dobrindt Automobilhersteller, Zulieferer und Dienstleister zu einer sicheren Datenverschlüsselung verpflichten. Dabei soll auch geprüft werden, ob es Sinn ergibt, die Systeme „durch externe Stellen“ abnehmen zu lassen. „Unser Ziel ist, dass Fahrzeuge gegen Eingriffe und Manipulationen von außen geschützt sind“, heißt es in dem 19-seitigen Papier seines Ministeriums.

Ist das nun der Impuls für mehr sichere Software? Besinnt sich Europa auf den Geist des 19. und 20. Jahrhunderts, in denen die Ingenieure nacheinander die Dampfmaschine, das Auto mit Verbrennungsmotor und schließlich das Flugzeug vom Versuchsmodell mit hohen Unfallraten zu enorm sicheren Verkehrsmitteln entwickelten? Dieser Prozess lief bekanntlich nicht von selbst ab. Die Staaten schufen klare Rahmen für Mindeststandards, zudem Ausbildungsplätze für Ingenieure und Techniker. Technischen Hochschulen und Fachhochschulen wurden gegründet, firmenübergreifende Normen und Regeln sorgten für eine schnelle Ausbreitung aller neuen Erkenntnisse. Jeder Schadensfall wurde genauestens analysiert, wenn nötig von den berühmtesten Gelehrten der Epoche. Der Geist, nichts dem Zufall zu überlassen und kein Unglück unaufgeklärt zu lassen, begründete des Ruf deutscher Ingenieurkunst. Sollte er zurückkehren?

Noch während der Laufzeit der IAA verdichteten sich die Gerüchte über den größten Skandal, den die Software-Branche je erlebt hat. Der VW-Konzern soll die enorm verschärften Abgasgesetze der USA dadurch umgangen haben, das seine Motoren auf Prüfanlagen in einen besonderen Modus versetzt wurden. Bislang ist das meiste in diesem Zusammenhang noch unbekannt, der Schaden aber ist so oder so beträchtlich. Da hilft es wenig, das quasi als „Ausgleich“ das Elektroauto Tesla gehackt wurde. Den Angreifern gelang es,während der Fahrt die Bremse zu aktivieren – auch hier folgte ein Update.

Die Berichterstattung im VW-Skandal nimmt weltweit währenddessen eine bemerkenswerte Richtung. Obwohl kein Nutzer gefährdet oder an Leib und Leben geschädigt wurde, ist die Resonanz der weltweiten Medien weit stärker als beim erwähnten Brand der Pipeline oder dem Ausfall des französischen Fernsehsenders TV5. Völlig unbemerkt von den Massenmedien blieben hingegen die Arbeiten von András Szijj und Levente Buttyán vom Crysys Lab in Zusammenarbeit mit Zsolt Szalay der Universität Budapest. Sie klinkten sich zwischen die Werkstatt-Diagnose-Software von Audi und einem TT. Sie konnten so den Airbag deaktivieren.

Europaweit warnte 2015 zudem die Polizei vor Störsendern, die den Funkimpuls zum verschließen der Fahrzeugtüren unwirksam machen können. Noch gefährlicher sind Systeme, die den Schlüssel auslesen und an einen Komplizen mit entsprechendem Aufsperrsender weiterleiten. Diebe haben leichtes Spiel, den ganzen Wagen zu stehlen, denn der Motor springt an. Zwar existiert bereits eine technische Antwort der Hersteller, mit denen die Funkkommunikation zwischen Schlüssel und Schloss besser geschützt werden kann, sie wird aber aus Kostengründen noch nicht eingesetzt.

Wer in Luxushotels absteigt, muss seine Kreditkarte zücken, auch wenn das Zimmer bereits bezahlt wurde. Schließlich könnte der Kunde ja die Minibar leeren, ohne zu zahlen. Im Dezember wurde ein umfangreicher Angriff auf das Rechnungssystem der Hyatt-Hotels bekannt. Die Angreifer hatten es offenbar auf Kreditkartendaten abgesehen, obwohl diese auf den Handelsplattformen des Darknets immer weniger Geld einbringen. Kunden der Hotelkette werden aufgefordert, ihre Kreditkartenabrechnung genau zu prüfen. Hyatt steht nicht allein da: 2015 wurden auch die Hilton-Hotels und Häuser der Starwood-Gruppe zum Ziel einer Cyber-Attacken.

Bargeldloses Zahlen ist heute allgegenwärtig, und soll nach dem Willen von EU-Bürokraten zur alleinigen Zahlungsform werden, wenn das Bargeld abgeschafft wird. Bis dahin sollten etliche Sicherheitslücken geschlossen werden. Zum Jahresabschluss sezierten Hacker auf dem Kongress des CCC in Hamburg in mehreren Vorträgen die IT hinter den bargeldlosen Einkaufssystemen.

Im Mittelpunkt standen die Bezahlterminals. Es ist durchaus möglich, sich eigene Terminals zu beschaffen, und als valide Teilnehmer ins Netz zu stellen, allerdings unter fremden Namen. Damit flossen die Einnahmen auf ein fremdes Konto. Noch bedrohlicher ist es, ein echtes Terminal eines existierenden Händlers zu klonen, indem man sein eigenes mit dessen Daten umprogrammiert. Damit lassen sich nun zu Lasten des echten Händlers Gutschriften erstellen oder Prepaid-Verträge von Handys aufladen. Herausgefunden haben die Schwachstellen Mitarbeiter des renommierten Sicherheitsexperten Karsten Nohl. Für Nohl beruhen die verwundbaren Punkte nicht einfach auf Fehlern, sonder auf grundsätzlich falschen Annahmen. Man könne heute, wo gebrauchte Bezahlterminals bei eBay zu ersteigern sind, nicht einfach davon ausgehen, dass nur vertrauenswürdige Händler im Besitz solcher Geräte seien. Die Sicherheitsarchitektur müsse entsprechend angepasst werden und jedes Gerät eindeutig identifizierbar sein.

Gibt es denn auf dem Gebiet der Grundlagenforschung Positives zu berichten? Nicht wirklich. Die Quantenkryptografie, die bis jetzt als sicherste Methode galt, um Daten verschlüsselt und ohne Möglichkeit des Mithörens zu übertragen, erwies sich als löchrig. Schwedische Forscher der Universität Linköping fanden ein Schlupfloch im System, indem sie die Lichtquelle des Systems manipulierten, sie ersetzten in der Photonenquelle den Laser durch eine traditionelle Lichtquelle. Damit ließ sich der Kontrollmechanismus aushebeln, und unbemerktes Lauschen (Man-in-the-Middle-Angriff) wurde wieder möglich.

Aber immerhin: Im September 2015 schlossen die USA und China den weltweit ersten Vertrag, sich nicht mit IT-Waffen anzugreifen - geschützt vor Cyberattacken auf Kraftwerke, Bankensysteme, Mobiltelefon-Netzwerke und Krankenhäuser. Von Spionage steht in dem Vertragswerk allerdings kein Wort.

Der gemeinnützige Verein Eicar (European Institute for Computer Antivirus Research), der es sich zum Ziel gesetzt hat, Antivirensoftware zu verbessern, hat ein Siegel entwickelt, das Mindeststandards garantieren soll. G-Data, Kaspersky und Trend Micro machen mit, US-Hersteller fehlen. Der Grund dürfte einfach sein: Eicar wehrt sich dagegen, Schadprogramme von Regierungen, also die berühmten Staats-Trojaner, gezielt zu übersehen.