Gemäss Schätzungen seien 2016 rund 6 Milliarden Geräte ans Internet angeschlossen gewesen. Dies schreibt die Melde- und Analysestelle für Informationssicherung (MELANI) in ihrem Halbjahresbericht. 2020 dürften es mehr als drei Mal so viele sein, nämlich etwa 20 Milliarden. Doch: «Oft kümmern sich Hersteller und auch Benutzer zu wenig um Sicherheitsaspekte.»
Gefährdungspotenzial sehen die Autoren des Berichts in der Manipulation solcher Systeme. Gerade in der Logistikbranche, wo ans Internet angeschlossene Geräte einen Boom erleben, könnten durch Manipulation herbeigeführte Schäden enorm sein.
Solche Angriffe könnten genutzt werden, um Geld zu erpressen oder um Verunsicherung in der Gesellschaft auszulösen.
Laut im Bericht zitierten Fachleuten verzichten einige Betreiber «schlichtweg» auf den Schutz durch Passwörter oder Verschlüsselung. Ungeschützt über das Netz kommunizierende Sensoren steckten unter anderem in Autos, Erdbebensensoren, Geldautomaten, Klimageräten, Leuchten und Medizintechnikgeräten.
MELANI hat für ein sichereres Internet der Dinge Empfehlungen publiziert:
Mögliche Gefahren bestehen auch bei Geräten und Gegenständen, auf welche mit Standard-Zugangsdaten zugegriffen werden kann. Sie können laut MELANI von jedem gefunden werden. Auch hier müsse nach Schutzmechanismen gefragt werden – etwa, ob die vom Hersteller voreingestellten Zugangsdaten angepasst werden können.
MELANI empfiehlt dazu eigene, komplexe Passwörter sowie Firewalls und separate Netzwerk-Segmente für Geräte des Internets der Dinge. Über diese Geräte sollte nicht unbefugt auf persönlichen Daten aus dem internen Netz zugegriffen werden können. Nicht benötigte Geräte sollten vom Netz getrennt werden.
Betrugsversuche über das Netz hat es auch im zweiten Semester 2016 zahlreiche gegeben. DDos-Angriffe und Verschlüsselungstrojaner etwa würden nach wie vor für Geld-Erpressungen eingesetzt.
In diversen Fällen angewandt wurde auch der «CEO-Betrug»: Täter verlangen mit dieser Masche im Namen eines Firmenchefs von Angestellten, eine Zahlung auf ein Konto vorzunehmen. Meist wird eine sehr vertrauliche, heikle oder dringende Angelegenheit vorgeschoben – und das Geld landet bei den Betrügern.
Selbst der Bund blieb nicht verschont: Laut dem Bericht erhielten auch Finanzabteilungen der Bundesverwaltung Zahlungsanweisungen. In einem Fall imitierten Täter die Webseite der Finanzmarktaufsicht Finma, um eine Zahlung auszulösen.
In einem anderen Fall gaben sich Täter am Telefon als Vertreter einer Bundesstelle aus. Indem eine offizielle amtliche Stelle vorgetäuscht werde, könne auf Opfer mehr Druck ausgeübt werden, zu bezahlen, schreibt MELANI. Sogar die Telefonnummer auf dem Display beim Opfer sei gefälscht worden.
2016 erhielt MELANI Meldungen zu mehr als 4500 Phishing-Seiten. Nach wie vor versuchen Kriminelle auf diesem Weg, an Kreditkartendaten oder Zugangsdaten zu Internetdiensten zu kommen.
Der MELANI-Bericht befasst sich zudem mit Cyber-Spionage. Angriffe gegen die Welt-Anti-Doping-Agentur und den internationalen Sportgerichtshof in Lausanne betrafen die Schweiz indirekt. Da die Schweiz Sitz vieler internationaler Organisationen sei, sei das Risiko erhöht, solchen Operationen ausgesetzt zu sein.
Von einem erst vor Kurzem bekanntgewordenen Angriff – mutmasslich durch die NSA – waren zwischen 2001 und 2003 drei Server der Universität Genf betroffen, wie MELANI unter Berufung auf die Betreiberin von Schweizer Hochschulnetzen «Switch» schreibt. Den Fall hatte watson Ende 2016 publik gemacht. Zwei dieser Server waren seit 2009 nicht mehr aktiv. Der dritte soll von aussen nicht erreichbar gewesen sein.
(oli/sda)