Aus Sicherheitsgründen müssen wir Innovationen bei mit dem Internet verbundenen Dingen verlangsamen

Das ist die Ansicht des Sicherheitsexperten Bruce Schneier, der befürchtet, dass bei einer Cyberkatastrophe Menschenleben verloren gehen, wenn die Regierungen nicht schnell handeln. 6. September 2018

Ein Rong-Xu





Intelligente Gadgets sind überall. Die Chancen stehen gut, dass Sie sie an Ihrem Arbeitsplatz, zu Hause und vielleicht an Ihrem Handgelenk haben. Nach einer Schätzung des Marktforschungsunternehmens Gartner wird es sie geben über 11 Milliarden mit dem Internet verbundene Geräte (ohne Smartphones und Computer) in diesem Jahr weltweit im Umlauf, fast doppelt so viele wie noch vor ein paar Jahren.

Viele Milliarden mehr werden bald online kommen. Ihre Konnektivität macht sie so nützlich, aber sie ist auch ein Alptraum für die Cybersicherheit. Hacker haben bereits gezeigt, dass sie alles kompromittieren können, von vernetzten Autos bis hin zu medizinischen Geräten, und Warnungen werden lauter, dass die Sicherheit bei der Markteinführung von Produkten zu kurz kommt.

In einem neuen Buch namens Klicken Sie hier, um alle zu töten , argumentiert Bruce Schneier, dass Regierungen jetzt eingreifen müssen, um Unternehmen, die vernetzte Geräte entwickeln, zu zwingen, Sicherheit zu einer Priorität und nicht zu einem nachträglichen Einfall zu machen. Der Autor eines einflussreichen Sicherheits-Newsletters und bloggen , Schneier ist Fellow am Berkman Klein Center for Internet and Society an der Harvard University und Dozent für Public Policy an der Harvard Kennedy School. Er ist unter anderem Vorstandsmitglied der Electronic Frontier Foundation und Chief Technology Officer von IBM Resilient, das Unternehmen bei der Vorbereitung auf potenzielle Cyberbedrohungen unterstützt.



Schneider sprach mit MIT Technology Review über die Risiken, die wir in einer immer stärker vernetzten Welt eingehen, und die Maßnahmen, die seiner Meinung nach dringend erforderlich sind, um sie anzugehen.

Der Titel Ihres Buches wirkt bewusst alarmierend. Ist das nur ein Versuch, Saft zu verkaufen?

Es mag wie das Veröffentlichen von Clickbait klingen, aber ich versuche klarzustellen, dass das Internet die Welt jetzt auf direkte physische Weise beeinflusst, und das ändert alles. Es geht nicht mehr um Risiken für Daten, sondern um Risiken für Leben und Eigentum. Und der Titel weist wirklich darauf hin, dass hier physische Gefahr besteht und dass die Dinge anders sind als noch vor fünf Jahren.



Wie verändert dieser Wandel unsere Vorstellung von Cybersicherheit?

Unsere Autos, unsere medizinischen Geräte, unsere Haushaltsgeräte sind jetzt alle Computer mit daran angeschlossenen Dingen. Ihr Kühlschrank ist ein Computer, der Dinge kalt hält, und ein Mikrowellenherd ist ein Computer, der Dinge heiß macht. Und Ihr Auto ist ein Computer mit vier Rädern und einem Motor. Computer sind nicht mehr nur ein Bildschirm, den wir einschalten und betrachten, und das ist die große Veränderung. Was einst Computersicherheit war, ein eigener Bereich, ist jetzt alles Sicherheit.

Ein Rong-Xu



Sie haben sich einen neuen Begriff ausgedacht, Internet+, um diesen Wandel zusammenzufassen. Aber wir haben bereits den Ausdruck Internet der Dinge, um es zu beschreiben, oder?

Ich hasste es, ein weiteres Schlagwort zu erstellen, weil es bereits zu viele davon gibt. Aber das Internet der Dinge ist zu eng. Es bezieht sich auf die angeschlossenen Geräte, Thermostate und andere Geräte. Das ist nur ein Teil dessen, worüber wir hier sprechen. Es ist wirklich das Internet der Dinge plus die Computer plus die Dienste plus die großen Datenbanken, die aufgebaut werden plus die Internetunternehmen plus uns. Ich habe das alles nur auf Internet+ abgekürzt.

Konzentrieren wir uns auf den US-Teil dieser Gleichung. Sie sagen in dem Buch, dass wir zu virtuellen Cyborgs werden. Was meinst du damit?



Wir sind bereits eng mit Geräten wie unseren Telefonen verbunden, auf die wir viele Male am Tag schauen, und Suchmaschinen, die so etwas wie unser Online-Gehirn sind. Unser Energiesystem, unser Transportnetz, unsere Kommunikationssysteme sind alle im Internet. Wenn es ausfällt, kommt die Gesellschaft in einem sehr realen Ausmaß zum Erliegen, weil wir auf allen Ebenen so abhängig davon sind. Computer sind noch nicht weit in unseren Körper eingebettet, aber sie sind tief in unser Leben eingebettet.

Können wir uns nicht einfach etwas abkoppeln, um die Risiken zu begrenzen?

Das wird immer schwieriger. Ich habe versucht, ein Auto zu kaufen, das nicht mit dem Internet verbunden war, und bin gescheitert. Es ist nicht so, dass es solche Autos nicht gab, aber die in der von mir gewünschten Reihe hatten alle eine Internetverbindung. Selbst wenn es ausgeschaltet werden könnte, gab es keine Garantie dafür, dass Hacker es nicht aus der Ferne wieder einschalten könnten.

Hacker können auch Sicherheitslücken in einer Art von Gerät ausnutzen, um andere anzugreifen, richtig?

Dafür gibt es viele Beispiele. Das Mirai-Botnetz nutzte Schwachstellen in Heimgeräten wie DVRs und Webcams aus. Diese Dinge wurden von Hackern übernommen und dazu verwendet, einen Angriff auf einen Domain-Name-Server zu starten, der dann eine Reihe beliebter Websites offline warf. Die Hacker, die Target angriffen, gelangten über eine Schwachstelle in den IT-Systemen eines Auftragnehmers, der an einigen seiner Geschäfte arbeitet, in das Zahlungsnetzwerk des Einzelhändlers.

Stimmt, aber diese Vorfälle führten nicht zum Verlust von Leib oder Leben, und wir haben noch nicht viele Fälle mit potenziellen körperlichen Schäden gesehen, oder?

Wir haben nicht. Die meisten Angriffe beinhalten immer noch Verletzungen von Daten, Privatsphäre und Vertraulichkeit. Aber wir treten in eine neue Ära ein. Natürlich mache ich mir Sorgen, wenn jemand meine Krankenakte stiehlt, aber was ist, wenn jemand meine Blutgruppe in der Datenbank ändert? Ich möchte nicht, dass jemand die Bluetooth-Verbindung meines Autos hackt und meine Gespräche abhört, aber ich möchte wirklich nicht, dass sie die Lenkung deaktivieren. Diese Angriffe auf die Integrität und Verfügbarkeit von Systemen sind diejenigen, vor denen wir uns in Zukunft wirklich Sorgen machen müssen, da sie Leben und Eigentum direkt betreffen.

In den USA wurde dieses Jahr viel über Cyber-Bedrohungen für kritische Infrastrukturen wie Stromnetze und Staudämme diskutiert. Wie seriös sind diese?

Wir wissen, dass russische Hacker im Rahmen einer umfassenderen Militärkampagne mindestens zweimal die Stromversorgung von Teilen des ukrainischen Stromnetzes abgeschaltet haben. Wir wissen, dass nationalstaatliche Hacker in Systeme einiger US-Energieunternehmen eingedrungen sind. Diese Hacks waren explorativ und haben keinen Schaden angerichtet, aber wir wissen, dass dies möglich ist. Wenn es militärische Feindseligkeiten gegen die USA gibt, sollten wir damit rechnen, dass diese Angriffe eingesetzt werden. Und die USA werden sie gegen unsere Gegner einsetzen, so wie wir Cyberangriffe eingesetzt haben, um die Nuklearprogramme im Iran und in Nordkorea zu verzögern.

Welche Auswirkungen hat all dies auf unseren derzeitigen Ansatz zur Computersicherheit, wie z. B. die Herausgabe von Patches oder Fixes für Softwarefehler?

Patchen ist eine Möglichkeit, Sicherheit wiederzugewinnen. Wir produzieren Systeme, die nicht sehr gut sind, finden dann Schwachstellen und patchen sie. Das funktioniert hervorragend mit Ihrem Telefon oder Computer, da die Kosten für die Unsicherheit relativ gering sind. Aber können wir das mit einem Auto machen? Ist es in Ordnung, plötzlich zu sagen, dass ein Auto unsicher ist, ein Hacker kann es zum Absturz bringen, aber keine Sorge, denn nächste Woche wird es einen Patch geben? Können wir das mit einem eingebetteten Herzschrittmacher tun? Da Computer die Welt jetzt auf direkte, physische Weise beeinflussen, können wir es uns nicht leisten, auf Lösungen zu warten.

Aber wir haben bereits sehr strenge Sicherheitsstandards für Software, die in sensiblen cyber-physischen Bereichen wie der Luftfahrt eingesetzt wird, nicht wahr?

Richtig, aber sehr teuer. Diese Standards gibt es, weil es in dieser und einigen anderen Branchen bereits eine starke staatliche Regulierung gibt. Bei Konsumgütern gibt es dieses Sicherheitsniveau nicht, und das muss sich ändern. Der Markt belohnt hier derzeit keine sichere Software. Solange Sie als Unternehmen durch mehr Sicherheit keine zusätzlichen Marktanteile gewinnen, werden Sie sich nicht lange mit dem Thema beschäftigen

Was müssen wir also tun, um das Internet+-Zeitalter sicherer zu machen?

Es gibt keine Branche, die die Sicherheit verbessert, ohne dass die Regierung sie dazu zwingt. Immer wieder knausern Unternehmen an der Sicherheit, bis sie gezwungen sind, sie ernst zu nehmen. Wir brauchen die Regierung, um hier mit einer Kombination von Dingen vorzugehen, die auf Firmen abzielen, die mit dem Internet verbundene Geräte entwickeln. Dazu gehören flexible Standards, starre Regeln und strenge Haftungsgesetze, deren Strafen hoch genug sind, um den Gewinn eines Unternehmens ernsthaft zu beeinträchtigen.

Aber werden Dinge wie strenge Haftungsgesetze nicht einen abschreckenden Effekt auf Innovationen haben?

Ja, sie werden Innovationen bremsen – aber genau das ist jetzt nötig! Der Punkt ist, dass Innovation in der Welt des Internets Sie töten kann. Wir schrecken Innovationen in Sachen wie Medikamentenentwicklung, Flugzeugdesign und Kernkraftwerken zurück, weil die Kosten für einen Fehler zu hoch sind. Wir sind an dem Punkt vorbei, an dem wir Regulierung versus Nicht-Regulierung für vernetzte Dinge diskutieren müssen; wir müssen zwischen intelligenter Regulierung und dummer Regulierung diskutieren.

Hier gibt es jedoch eine grundlegende Spannung, nicht wahr? Regierungen nutzen Schwachstellen auch gerne für Spionage, Strafverfolgung und andere Aktivitäten aus.

Regierungen sind sicherlich sowohl Wilderer als auch Wildhüter. Ich denke, wir werden diese seit langem bestehende Spannung zwischen Offensive und Defensive irgendwann lösen, aber es wird ein langer, harter Weg sein, dorthin zu gelangen.

Ihr Buch konzentriert sich hauptsächlich auf die USA. Glauben Sie, dass es hier die Führung übernehmen wird?

Ich konzentriere mich auf die USA, weil dort die großen Technologieunternehmen angesiedelt sind und es das Regime ist, das ich am besten kenne, aber ich spreche auch ein bisschen über Europa. Die Europäische Union ist derzeit die regulatorische Supermacht auf diesem Planeten. Ich denke, es wird weiter und schneller vorankommen als die USA. In den USA schaue ich eher auf die Bundesstaaten und insbesondere auf Massachusetts, New York und Kalifornien.

Ich denke auch, dass es internationale Verträge und Normen geben wird, die einen Teil unserer vernetzten Infrastruktur zumindest in Friedenszeiten für nationalstaatliche Cyberangriffe sperren. Wir brauchen jetzt dringend Maßnahmen auf allen Ebenen, von lokal bis international. Meine größte Angst ist, dass es zu einer Cyber-Katastrophe kommt und dass die Regierungen ohne viel Nachdenken kopfüber Maßnahmen ergreifen werden, die das Problem nicht lösen werden.

verbergen