(veröffentlicht am 28.04.2021 von Marianne Rudigier)
Wir alle.
Selbst dann, wenn wir glauben, auf „smarte“ Produkte[1], öffnet eine externe URL in einem neuen Fenster verzichten zu können, denn das ist nahezu unmöglich. Würde ich beispielsweise beschließen, auf sämtliche dieser Produkte zu verzichten, wäre mein Alltag dennoch von einer „smarten“ oder besser gesagt computerisierten Umgebung geprägt. Meine Arbeit erledige ich auf einem Computer und ich kommuniziere regelmäßig (und vor allem im Home Office) über mein Smartphone. Ich müsste also, wollte ich auf diese Produkte verzichten, einen neuen Beruf ergreifen. Mein Fitnesscenter betrete ich mit einer Chipkarte, die weiß, welche Services ich in Anspruch nehmen darf und viele Geschäfte die ich betrete verfügen über Sensoren, die unter anderem den Bewegungen von Kund_innen folgen können. Es gibt Städte die „smarte“ Sensoren in Straßen, Laternen und Gehwegen einbauen und „smarte“ Stromnetze und Verkehrswege nutzen, um Spitzenzeiten zu identifizieren, um Verkehrsströme besser lenken zu können. Ich müsste mich also sehr abschotten, um dieser „Smartifizierung“ zu entgehen.
2017 waren 8,4 Milliarden Geräte mit dem Internet verbunden. 2021 dürften es in etwa 35 Milliarden Geräte gewesen sein[2], öffnet eine externe URL in einem neuen Fenster. Das Internet wird zunehmend auch zum Bestandteil günstigerer Geräte (Stichwort: Internet of Things). Zum einen, weil die Kosten für diese Technologien stetig sinken und zum anderen, weil sich die Hersteller dadurch einen Wettbewerbsvorteil erhoffen. Und weil es möglich ist.
In der Gesamtheit entsteht ein komplexes System, indem alles miteinander verbunden ist. Bruce Schneier (ein renommierter IT-Sicherheitsspezialist aus den USA, dessen Buch "Click here to kill everybody" Hauptquelle dieses Beitrags ist) verwendet dafür den Begriff „Internet+“, bestehend aus dem Internet, den „smarten“ Produkten und uns Menschen. Das Internet of Things ist derzeit noch nicht besonders „smart“, wird aber kontinuierlich intelligenter werden. Durch die allumfassende Interkonnektivität wird das Internet+ nicht nur immer leistungsfähiger, sondern leider auch immer angreifbarer. Bei der Entwicklung des Internets wurde dem Thema Sicherheit keine sonderliche Beachtung geschenkt[3], öffnet eine externe URL in einem neuen Fenster. Viele der ursprünglichen Internetprotokolle sind heute noch in Verwendung. Da Computersysteme nahezu beliebig erweiterbar sind, wächst mit der Anzahl der Systeme auch das Problem der mangelnden Sicherheit immer weiter. In einem “System of systems” stehen die teilnehmenden Systeme in gegenseitiger Wechselwirkung. Schwachstellen des einen Systems können sich auf andere ausweiten. Das hat Sicherheitslücken zur Folge, mit denen bei der Entwicklung niemand gerechnet hat. So drangen 2017 beispielsweise Hacker über ein mit dem Internet verbundenes Aquarium in das Netzwerk eines Casinos ein und erlangten so Zugriff auf sensible Daten.
Hinzu kommt, dass sich auch die Angriffstechnologien stetig verbessern. Angriffe werden schneller, preiswerter und einfacher. Was heute nur theoretisch möglich ist, wird morgen schon in die Tat umgesetzt. Und weil unsere Informationssysteme viel länger als ursprünglich geplant im Einsatz bleiben, müssen wir bei aktuellen Entwicklungen schon jetzt auch an die Angreifer_innen denken, die die Technologien der Zukunft verwenden. Gleichzeitig wird bei der Erstellung von Software aber oft auf die Sicherheit „vergessen“. Qualitativ hochwertige Software wird nicht im selben Maß belohnt wie eine frühzeitige Fertigstellung oder eine Unterschreitung des Budgets, was wiederum zu Sicherheitslücken führt, die – so sie gefunden werden – zeitnah gepatcht werden müssen. Viele Nutzer_innen wissen aber mit dem Begriff „patchen“ nichts anzufangen (und man kann ihnen diese Unkenntnis nicht vorwerfen).
So schlimm solche Sicherheitslücken aber sind, am häufigsten dringen Hacker in Netzwerke ein, indem sie den Authentifizierungsvorgang austricksen. Sie stehlen Passwörter, richten sogenannte Man-in-the-Middle Angriffe ein, um legitime Anmeldungen zu missbrauchen, oder geben sich als autorisierte User aus. Zum Stehlen von User-Daten brauchen Hacker aber nicht unbedingt Sicherheitslücken in einer Software, oft führt eine erfolgreiche Phishing-Kampagne einfacher und schneller zum Ziel.
80% der erfolgreichen Angriffe gehen auf den Missbrauch von Zugangsdaten zurück. Von Mitte 2016 bis Mitte 2017 untersuchte Google das Verhalten von Gmail-Usern und stellte fest, dass in diesem Zeitraum jede Woche 12 Millionen Phishing-Angriffe erfolgreich durchgeführt worden waren. Der Großteil der Passwörter die verwendet werden sind zudem von mangelnder Qualität (123456 oder qwertz sind nach wie vor außerordentlich beliebt), sodass es für Hacker ein Leichtes ist, diese herauszufinden.
Dazu kommt, dass wir im Austausch für vermeintliche Gratisdienste, die Kontrolle über unsere Daten und Ressourcen abgeben. Google, Microsoft, Amazon, Facebook und Apple (und Elon Musk und Bytedance usw.) haben eine erstaunlich weitreichende Kontrolle darüber inne, was wir uns ansehen und was wir wann tun dürfen. Mit dem Internet+ wird die Anzahl an Daten und Unternehmen die diese sammeln noch weiter steigen. Dem nicht genug, steigt auch die Gefahr, dass bei Angriffen ein größerer Schwerpunkt auf das Verändern oder Manipulieren von Daten (wie beispielsweise Bildmaterial, Manipulation von Nachrichten und dergleichen) gelegt wird, um deren Integrität (also ihre Richtigkeit und Verlässlichkeit) zu beeinträchtigen. So sollen Entscheidungsfindungen beeinflusst werden, um das Vertrauen in bestehende (politische) Systeme zu schwächen oder um physische Schäden zu verursachen. [4], öffnet eine externe URL in einem neuen Fenster
Gründe genug also, um sich mit dem Thema Informationssicherheit doch etwas eingehender auseinanderzusetzen, oder?
Was können wir als TU Wien und im Allgemeinen als Nutzer_innen von „smarten“ Geräten tun, um uns und unsere Daten vor diesen Bedrohungen zu schützen?
Zum einen sollten Systeme von Grund auf so entwickelt werden, dass es weniger wahrscheinlich ist, dass sie erfolgreich angegriffen werden (Stichwort: privacy by design and default). Zum anderen sollten wir viel bewusster mit unseren Daten umgehen, indem wir von vornherein weniger Daten produzieren, preisgeben, sie löschen und sie vor allem mit starken, einmaligen Passwörtern und am besten noch mit einem zweiten Faktor schützen.
Als Universität haben wir auf Ersteres insofern großen Einfluss, indem wir den künftigen Entwickler_innen von Technik in jeglicher Form das Bewusstsein für das Konzept „privacy by design and default“ mitgeben können. Dieses Konzept sollte nicht nur bei Forschungsprojekten von Beginn an mitgedacht werden. Auch bei Projekten in den zentralen Bereichen sollten Informationssicherheit und Datenschutz bereits am Projektbeginn miteinbezogen werden.
Zum bewussten Umgang mit unseren Daten ist jede_r einzelne von uns aufgefordert. Zum einen können wir unsere Daten schützen, indem wir sichere Passwörter verwenden (und für jede Anwendungen ein einmaliges!), indem wir unsere Endgeräte verschlüsseln, indem wir Daten nicht lokal am Rechner, sondern in zentral zur Verfügung gestellten Filesystemen speichern (für private Zwecke empfiehlt sich die Datensicherung auf einer externen, verschlüsselten Festplatte) und indem wir überlegen, ob uns die Nutzung eines vermeintlich gratis zur Verfügung gestellten Services wirklich die Preisgabe unserer Daten wert ist.
Mehr zum Thema Informationssicherheit erfahren Sie zum einen beim Digital Survival Cafe am 5.5. von 10 bis 11 Uhr und bei der Schulung „Informationssicherheit im Arbeitsalltag“ am 25.6. von 9 bis 11:30 Uhr (TISS-Link zur Schulungsanmeldung: https://tiss.tuwien.ac.at/tu_events/tu_event/9124/termine, öffnet eine externe URL in einem neuen Fenster).
[1], öffnet eine externe URL in einem neuen Fenster Anmerkung: als „smarte“ Produkte bezeichnet man Produkte, die während der Fertigungs- und Nutzungsphase Daten sammeln und diese weitergeben können.
[2], öffnet eine externe URL in einem neuen Fenster Siehe: https://findstack.com/de/internet-of-things-statistics/, öffnet eine externe URL in einem neuen Fenster (zuletzt abgerufen am 26.04.2022).
[3], öffnet eine externe URL in einem neuen Fenster Anmerkung: Das Internet wurde in einer geschlossenen und vertrauenswürdigen Umgebung im akademischen und militärischen Bereich entwickelt. Die Netzsicherheit war zwar wichtig, aber bei weitem nicht so komplex wie heute, wo es sich auf Geschäftsumgebungen, auf die ganze Welt, auf Privathaushalte und auf den offenen Funkverkehr erstreckt.
[4], öffnet eine externe URL in einem neuen Fenster Vgl bis hier her. B. Schneier: Click here to kill everybody. Sicherheitsrisiko Internet und die Verantwortung von Unternehmen und Regierungen. New York 2018.