Internet of Things – Die Zukunft von Ransomware

Ransomware headerbild

Internet of Things

Alles wird zum Computer. Deine Mikrowelle ist ein Computer, der Dinge aufwärmt. Dein Kühlschrank ist ein Computer, der die Sachen kalt hält. Dein Auto und Fernsehen, die Ampeln und Signale in deiner Stadt und unser nationales Stromnetz, alle sind Computer. Das ist das viel gehypte Internet of Things (IoT, Internet der Dinge). Es kommt, und es kommt schneller als man denkt. All diese Geräte sind mit dem Internet verbunden und somit anfällig für Ransomware sowie andere Computer-Bedrohungen.

Die Zukunft von Ransomware

Es ist nur eine Frage der Zeit, bis die Leute Nachrichten auf deinem Autoschirmen aufscheinen, die sagen, dass der Motor deaktiviert worden ist und 200 € in Bitcoins fordern, um ihn wieder einzuschalten. Oder du bekommst am Handy eine ähnliche Nachricht bezüglich deines digitalen Türschlosses: Zahl 100 €, wenn du heute Abend in dein Haus kommen willst. Vielleich musst du auch viel mehr bezahlen, wenn dein eingesetzter Herz-Defibrillator weiterarbeiten soll.

Das alles ist nicht nur Theorie. Forscher haben bereits einen Ransomware-Angriff gegen intelligente Thermostate demonstriert, der anfangs wie ein Ärgernis klingen mag, aber ernsthafte Sachschäden verursachen kann, wenn es draußen kalt ist. Selbst wenn das angegriffene Gerät keinen Bildschirm hat, bekommst du einfach eine Nachricht auf die Smartphone App, der du es kontrollierst.

Hacker müssen nicht einmal selbst auf diese Idee kommen. Regierungsagenturen wie die CIA haben solche Tools längst entwickelt. Natürlich wurden sie schon gestohlen und im Internet verbreitet. So ist es zumindest mit einem CIA-Angriffs-Tool, das auf Internetfähige Samsung SmartTVs abzielt, passiert.

Die üblichen Präventiv- und Abwehrlösungen funktionieren auf diesen Geräten nicht. Stand der Dinge ist, dass du die Software deines Kühlschranks gegen solche Angriffe schützen kannst und noch unsicherer ist ob sie funktionieren würden, wenn der Angriff auf die Funktionalität des Gerätes und nicht auf die gespeicherten Daten abzielt.

Im Gegensatz zu unseren Telefonen und Computern, die wir alle paar Jahre erneuern, sind Autos und große Haushaltsanschaffungen meist länger in Nutzung. Was wiederum bedeutet, dass diese nicht den Zeit aktuellen gefahren gewappnet sind.

Was passiert, wenn das Unternehmen, das unsere intelligente Waschmaschine – oder einfach nur den Computerteil – produziert hat, in Konkurs geht oder entscheidet, dass sie ältere Modelle nicht mehr unterstützen können? Der WannaCry Trojaner hat zum Beispiel auf Windows XP abgezielt, eine Version, die Microsoft nicht mehr unterstützt. Das Unternehmen brach mit der eigenen Politik und veröffentlichte ein Patch für die älteren Systeme, aber Microsoft hat sowohl das Ingenieur-Talent und das Geld so etwas zu tun, die Anbieter von Günstigen Smart-Home Artikeln wohl eher nicht.
Diese Geräte sind so billig wie möglich produziert und das Engagieren von Software Ingenieure um Sicherheits-Patches zu schreiben ist nicht im Budget. Die Ökonomie erlaubt es schlicht nicht und viele der Geräte sind von Grund auf nicht patchbar. Im vergangenen Herbst zum Beispiel, hat das Murai Botnet Hunderttausende Internet fähige digitale Videorecorder, Webcams und anderen Geräten infiziert und startete einen massive Dienstverweigerungs-Angriff, die in einer Vielzahl von beliebten Websites offline gehen ließ! Die meisten Geräte konnten nicht mit Softwareupdates wiederhergestellt werden. Denn meistens updatest du diese Gegenstände in dem du sie wegwirfst und neue kaufst.

Lösungen dafür sind weder einfach noch schön. Der Markt allein wird es nicht beheben. Schutz gegen eine mögliche zukünftige Bedrohung ist ein schwer platzierbarer Kostenpunkt in einem Markt der von Preiskampf und leicht zu vergleichenden Features dominiert wird. Wir müssen Verbindlichkeiten gegenüber Unternehmen vergeben, die unsichere Software schreiben und somit Menschen in weiterer Folge Menschen schädigt. Möglicherweise müssen wir sogar Vorschriften erlassen, die Unternehmen verpflichten, Software-Systeme während ihres gesamten Lebenszyklus zu pflegen. Für kritische IoT Haushaltsgeräte benötigen wir zumindest ein Minimum Sicherheitsstandards. Und es würde helfen, wenn sich die NSA mehr mit der Sicherung unserer Informationsinfrastruktur befassen würde, als uns über eben diese zu belauschen.

Das alles klingt im momentan politisch unmöglich, aber wir können einfach nicht in einer Zukunft hineinleben, in der beinahe unsere komplette Infrastruktur durch Verbrecher zur Gelderpressung missbraucht werden kann.

Datensicherung

Sebastian Hinterseer

Unser Key Account Manager meldet sich umgehend.