Fatale Entwicklung für die Sicherheit der IT-Infrastruktur

Das Zusammenspiel dreier Entwicklungen könnte in Zukunft fatale Folgen haben.

Entwicklung 1) Digitale Straftaten, wie etwa Betrugsversuche oder Angriffe auf IT-Infrastrukturen, werden von den Strafverfolgungsbehörden weitgehend ignoriert. Erpressungen mit Verschlüsselungstrojanern, Passwort- und Identitätsdiebstähle mit Phishing-Mails, Spam oder DDoS-Angriffe werden nicht ernsthaft verfolgt. Oder wann hat man das letzte mal nach einer Angriffswelle davon gehört, dass die Behörden umfassend ermitteln oder Straftäter gar gefasst und vor Gericht gestellt wurden? Das Risiko erwischt oder gar bestraft zu werden ist gering.

Entwicklung 2) Immer mehr Geräte, wie etwa Kühlschränke, Kameras oder gar Spielzeuge erhalten eine Online-Anbindung. Ebenso Alarmanlagen, Hausautomationsanlagen, Fahrzeuge und Smartphones (Stichwort „Internet der Dinge“). Aus Kostengründen und oftmals auch mangels Kompetenz durch Hersteller und Anwender sind viele Geräte jedoch nur unzureichend gegen Angriffe gesichert. Bekannte Sicherheitslücken werden häufig nicht mittels nachträglicher Patches geschlossen und bestehen somit so lange, bis das Gerät entsorgt wird.

Entwicklung 3) Immer mehr Unternehmen verlassen sich bei ihren Dienstleistungen auf Online-Anwendungen. Bankfilialen werden geschlossen und durch Online-Banking ersetzt. Flugtickets gibt es im Buchungs-Portal. Bücher kauft man nicht mehr beim Buchhändler des Vertrauens, sondern lädt sich die Texte übers Internet auf den E-Book-Reader. Computerspiele kauft man nicht mehr auf DVD im Laden, sondern lädt sich über Internet-Vertriebsplattform auf den Rechner.

Die Abhängigkeit vom Internet wächst schleichend. Das notwendige Sicherheitsbewusstsein bei Herstellern, Verkäufern und Anwendern ist jedoch in vielen Fällen kaum vorhanden. Dementsprechend werden hochgradig unsichere Geräte verkauft und betrieben, die leicht gekapert und für kriminelle Zwecke missbraucht werden können. Für kriminell veranlagte Zeitgenossen wird es somit immer lukrativer, beispielsweise fremde Geräte mit einer Internetanbindung zu übernehmen. Aufgrund niedriger Sicherheitsvorkehrungen ist der Aufwand häufig relativ gering. Die zunehmende Masse an gleichartigen Geräten können mit einer Angriffsart zudem viele Geräte gleichzeitig mit Schadsoftware infiziert und beispielsweise für DDoS-Angriffe genutzt werden. Dabei senden viele verteilte Geräte (beispielsweise gekaperte Überwachungskameras) anfragen an einen Internetservice. Dieser wird unter der zusätzlichen Last seine normale Aufgabe nicht mehr wie gewohnt ausführen können. Dadurch kann die Erreichbarkeit von Webshops, Buchungsportalen oder das Banking-Portal einer Bank beeinträchtigt sein. Den Betreibern kann dadurch ein hoher Schaden durch Verdienstausfällen und dem mit den Störungen einhergehenden Vertrauensverlust entstehen.
Dadurch, dass immer mehr unzureichend geschützte Geräte eine Internetanbindung erhalten und die Abhängigkeit von Internetdiensten immer weiter steigt, werden die möglichen Angriffe auf die Infrastruktur immer lohnenswerter. Wenn irgendwann immer mehr Unternehmen von Botnetzen angegriffen werden und ihre Tätigkeit nicht mehr ausüben können, weil die notwendigen Webanwendungen nicht mehr verfügbar sind, werden die Unternehmen in Bedrängnis geraten.

Ein krimineller Hacker könnte also Überwachungskameras, die eigentlich der Sicherheit dienen sollten, unter seine Kontrolle bringen. Dazu noch ein paar Spielzugpuppen und vielleicht auch den ein oder anderen Toaster. Wenn er genug Geräte beherrscht, lässt er diese dann auf Kommando beispielsweise das Onlineportal einer Bank angreifen. Nachdem das Portal eine Weile nicht mehr erreichbar ist und die Bankkunden nervös werden, weil sie ihre Rechnungen nicht bezahlen und ihren bemitleidenswerten Kontostand nicht mehr überprüfen können. Der Hacker schreibt der Bank nun in einer ruhigen Minute einen netten Brief. Nicht mehr oldschool mit Zeitungsschnipseln, sondern modern per E-Mail. Oder noch hipper, er kontaktiert das Bankhaus gleich öffentlich über den coolen Social-Media-Auftritt. Dabei teilt er der Bank mit, dass sie doch bei nächster Gelegenheit mal ein paar Taler in Form von Bitcoin oder einer anderen Crypto-Währung auf eine seiner digitalen Brieftaschen (Cyberwallet) überweisen möge, dann würden die Angriffe wie von Zauberhand aufhören.
Ein Bankangestellter kann nun zur Polizei gehen und sich ausweinen. Dort wird man ihm mitteilen, dass man sich mit dem Neuland-Zeug, wie die Frau Bundeskanzerlin es nennen würde, noch nicht so richtig auskennt. Außerdem ist bald Mittagspause und dann rückt der Feierabend näher. Der Fall kommt also vorerst auf die Ablage. Wenn sich irgendwann doch mal ein motivierter Azubi mit der Sache befasst, wird er schnell feststellen, dass die Angriffe ihren Ursprung in fernen Ländern haben. Botnetze kennen nun mal keine politischen Grenzen. Grenzübergreifende Ermittlungen sind hingegen immer so schrecklich kompliziert und außerdem, welcher Richter würde schon Millionen Webcams, Spielzeugpuppen und Toaster einsperren lassen?
Nein, hier wird man der Bank kaum helfen können. Was soll der arme Sachbearbeiter des Geldhauses nun also tun? Botnetze können geduldig sein und die Angriffe immer weiter fortführen. Tag und Nacht. Soll er die Millionen Betreiber der missbrauchten Geräte überall auf der Welt anschreiben und ihnen mitteilen, sie mögen doch bitte den Stecker des Toasters ziehen und die Tochter soll gefälligst wie in guten alten Zeiten Seilhüpfen anstatt mit ihrer High-Tech-Puppe zu plappern? Selbst wenn man die Besitzer ausfindig machen könnte (was kaum möglich ist), wäre das Unterfangen aussichtslos. Die Angriffe wird man nicht abstellen können.
Kein Problem, schließen wir das Bankhaus einfach, wird sich der Sachbearbeiter vielleicht sagen. Ich habe eh keinen Bock mehr auf den öden Schreibtischjob und würde lieber von Sozialhilfe leben. Der letzte macht das Licht aus. Tja, nun, da hat er aber die Rechnung ohne den Vorstand gemacht. Der ein oder andere Entscheidungsträger hat vielleicht gerade die Drittvilla abzuzahlen oder eine neue Yacht gekauft, für die noch ein Helikopter auf den vorgesehenen Landeplatz gestellt werden will. Da muss das Geld der Kunden weiter fließen. Außerdem wollen die Aktionäre weiter dick und fett gemästet werden. Schließen der Bank ist also keine Option.
Was nun, vielleicht zahlen? Ok, kein Problem. Ein paar vertrauenswürdige Experten zu den Themen „Darkweb“ und „Kryptowährung“ lassen sich gewiss nach Mitternacht in irgend einer seriösen Hafenspelunke auftreiben. Die regeln das dann schon und lassen dem Hacker das digitale Geld zukommen. Der Hacker ist zufrieden und weist seine Zombie-Bot-Armee an, die Angriffe einzustellen. Zumindest für diesen Monat. Wenn sein Geld (das er zwischenzeitlich über undurchsichtige Kanäle gewaschen und in gewöhnliche Währungen getauscht hat) aufgebraucht ist, startet er einfach seine Bots neu und schreibt der Bank wieder einen netten Brief. Copy&Paste bieten sich hierfür zwecks Reduzierung des Aufwandes an. Die Bank wird wieder zahlen müssen, denn ein altmodisches Filialnetz hat sie nicht mehr, auf das sie ausweichen könnte, um den grundlegenden Service für die letzten drei mutigen Kunden zu leisten, die noch nicht zur Konkurrenz abgewandert sind. Aber bei einer anderen Bank ist man auch nicht sicher. Ein neues, noch größeres Botnetz wartet bereits auf den Befehl zum Erwachen …