Wenn ich auf das Jahr 2016 zurückblicke, besorgt mich vor allem ein Gedanke. Dabei geht es um den Willen einiger Personen, mindestens eine der folgenden Aktivitäten zu planen und durchzuführen: Dateien von fremden Computern als Geiseln nehmen, um Lösegeld zu erpressen (Ransomware), Zugang zu Daten und Services einzuschränken (durch DDoS-Attacken) und die Kompromittierung von Internet of Things Geräten (IoT).
Leider erwarte ich, dass der Trend im Jahr 2017 anhalten und sich sogar noch verstärken wird. Außerdem werden sich die angesprochenen Kampagnen weiter vermischen. Wir sehen schon jetzt, wie kompromittierte IoT-Geräte für DDoS-Attacken von Cyber-Kriminellen missbraucht werden. Es ist auch schon vorgekommen, dass ein IoT-Gerät durch Ransomware lahmgelegt wurde. – Ich bezeichne das gerne als „Jackware“.
Vergangene und zukünftige Bedrohungen
Der Missbrauch von Informationssystemen um Geld zu erpressen, ist mindestens so alt wie der Computer selbst. Damals in 1985 programmierte ein IT-Angestellter in einem US Versicherungsunternehmen eine logische Bombe. Sie sollte alle wichtigen Festplatten löschen, wenn er gefeuert werden würde. Das geschah zwei Jahre später und daraufhin wurden alle Platten gelöscht. Das führte zur ersten Verurteilung dieser Art in der Computer-Kriminalität. Im Jahr 1989 konnte das erste Mal Malware ausgemacht werden, die Dateien verschlüsselt und nur gegen Lösegeld wieder freigibt.
“Das Ziel von Jackware ist, ein Auto solange zu verriegeln, bis der Besitzer es quasi freikauft.”
Ich bin mir sicher, einige werden das Jahr 2016 mit Ransomware in Verbindung bringen. Das Jahr 2017 könnte dann „das Jahr der Jackware“ werden.
Als schädliche Software versucht Jackware die Kontrolle über ein Gerät zu gewinnen, dessen primärer Zweck weder Datenverarbeitung noch digitale Kommunikation ist. Ein gutes Beispiel dafür ist das „Connected Car“. Dazu zählen immer mehr Neuwagen. Ihr Bordcomputer verarbeitet laufend große Datenmengen, dabei ist der eigentliche Zweck von Automobilen, Personen von A nach B zu transportieren.
Wir müssen Jackware als eine spezialisierte Form von Ransomware betrachten. Normale Ransomware wie beispielsweise Locky oder TeslaCrypt verschlüsselt Dateien auf einem Computer und verlangt ein Lösegeld. Das Ziel von Jackware ist, ein Auto solange zu verriegeln, bis der Besitzer es quasi freikauft.
Versuchen wir uns einmal folgendes Szenario vorzustellen: Früh am Morgen, es ist kalt und frostig, versuche ich mein Auto bequem von der Küche aus mit meinem Smartphone ferngesteuert zu starten. Leider bemerke ich schnell, dass es nicht funktioniert. Stattdessen bekomme eine Nachricht angezeigt. Mir wird mitgeteilt, dass ich erst eine bestimmte Menge Bitcoins an ein anonymes Konto zu transferieren habe, bevor ich mein Auto wieder benutzen kann.
In der Art stelle ich mir Jackware aus der Sicht eines Betroffenen vor. Ich möchte betonen, dass das zum Glück bis jetzt nur theoretische Überlegungen meinerseits sind. In freier Wildbahn haben wir dieses Szenario noch nicht erleben können.
Es ist nicht einfach, sich davor zu schützen, dass Jackware entwickelt und verteilt wird. Beispielswiese hat Fiat Chrysler Jeep ungefähr eine Millionen Autos verschifft, die potenziell anfällig für Jackware waren. Das geschah im Jahr 2015 und die Tech-Automobilbranche entwickelt sich rasant. Auch mit einem anderen Problem sah sich Fiat Chrysler konfrontiert. Sie vergaßen Sicherheitslücken zu patchen. Es ist eine Sache, Automobile mit Sicherheitslücken auszuliefern. Das mag unvermeidlich sein – Aber es darf nicht sein, dass die Sicherheitslücken nach der Entdeckung nicht geschlossen werden.
„In diesem Jahr sahen wir, wie BMW Probleme mit ihrer Online Web App für BMW ConnectedDrive hatte, als sie sich mit IoT-Geräten verband”
Während sich die meisten "Auto-Hacking"-Forschungen und -Diskussionen auf technische Fragen des Fahrzeugs beziehen, ist es auch wichtig zu erkennen, dass eine Menge von IoT-Technologie sich auf ein Support-System stützen, das sich weit über das IoT-Gerät hinaus erstreckt. Das konnten wir im Jahr 2015 bei VTech sehen. Dieses auf Internet of Children’s Things (IoCT) spezialisierte Unternehmen versäumte es, hinreichende Sicherheitsschranken auf ihrer Webseite zu implementieren. Dadurch konnten sensible Daten der Kinder gekapert werden. Das sollte uns daran erinnern, welch große Angriffsfläche IoT-Geräte bieten.
Andere Beispiele belegen das. Vor gut einem Jahr haben wir Probleme mit Fitbit User Accounts beobachtet. (Fitbit IoT-Geräte wurden nicht gehackt!) Auch BMW hatte Probleme mit ihrer Online Web App für BMW ConnectedDrive, die sich mit IoT-Geräten wie Heizungssteuerung, Alarm und Lichtregulierung verbinden kann.
Ursprünglich dachte ich, dass Jackware als Evolution schadhaften Codes lediglich Fahrzeuge angreift. Doch bald stellte sich heraus, dass dieser Trend sich breiter manifestieren würde – deswegen spreche ich von Ransomware of Things. In Finnland sorgten DDoS-Angriffe für das Ausfallen von Heizungen. Zwar gab es keine Anzeichen einer Lösegeldforderung, aber es dürfte nicht schwerfallen, die Verbindung zu erkennen. Wenn die Cyber-Kriminellen aufhören sollen, die Kraftwerke mit DDoS-Angriffen zu bombardieren, muss Geld fließen.
Ransomware of Things stoppen
Damit unsere IoT-Geräte nicht Sammelstelle für Ransomware of Things werden, müssen wir mindestens zwei Punkte bearbeiten. Ersterer beschäftigt sich mit der technischen Sphäre. Wir müssen die Herausforderung meistern, neue Automobile in Hinblick auf ihre Datenverarbeitung sicherer zu gestalten. Traditionelle Sicherheitstechniken wie Filtering, Verschlüsselung und Authentifizierung können kostspielige Prozesse und mehr Bandbreite verursachen. Air-Gapping und eine redundante Steuerung tragen eher zur Verteuerung von Automobilen bei. Und wir wissen, dass die Autobauer versuchen, jeden einzelnen kostenverursachenden Posten bis auf das Minimum zu reduzieren.
Die zweite Sphäre handelt von Richtlinien und Politik. Bisher hat die globale kollektive Gemeinde beim Thema Internet-Kriminalität eher versagt. Es sind internationale kriminelle Strukturen im Internet gewachsen, die nun jegliche Innovationen des digitalen Zeitalters bedrohen. Ich denke da an selbstfahrende Autos oder Drohnen, an Big Data und medizinische Fernversorgung. Politiker haben es auch in 2016 versäumt, ein Smart Grid zu entwickeln und durch Gesetze zu stabilisieren, um Cyber-Kriminellen Einhalt zu gebieten.
Termini wie RoT und Jackware sollten keine Panik hervorrufen. Sie symbolisieren aber, was kommen könnte, wenn sich der Sache in 2017 nicht gewidmet wird. Noch ist es nicht zu spät, etwas gegen deren Verbreitung zu unternehmen. Damit möchte ich mit etwas Positivem abschließen.
Eine Reihe von Regierungsorganisationen verstärken ihre Bemühungen, IoT-Geräte sicherer zu machen. Im Jahr 2016 sahen wir eine Publikation, die sich mit strategischen Prinzipien der Sicherheit der Internet of Things beschäftigte. Dieses Paper erarbeitete die US-Behörde Homeland Security.
Eine andere Veröffentlichung lässt uns hoffen, dass wir Fortschritte in der öffentlichen Wahrnehmung von IoT-Geräten machen. Eine ESET-Umfrage ergab, dass mehr als 40 Prozent der erwachsenen Amerikaner davon überzeugt sind, dass IoT-Geräte nicht sicher sind. Mehr als die Hälfte der Umfrageteilnehmer gestand, dass sie Bedenken über Privatsphäre und Sicherheit vom Kauf eines IoT-Geräts abgehalten hätten.
Vielleicht finden wir in diesem Jahr heraus, ob die Konsumentenstimmungen und Regierungsberatungen die großen Unternehmen davon überzeugen können, sich mehr um die Sicherheit ihrer IoT-Geräte zu kümmern.
Dieser Artikel ist eine ausgekoppelte Version aus der „corresponding section“ des ESET’s 2017 trends paper, Security Held Ransom.