Es könnte der Plot eines Science-Fiction-Films sein: Pendler starren ungläubig auf die Anzeigetafeln auf den Perrons, auf denen keine Verspätungsmeldungen zu sehen sind, sondern Lösegeldforderungen. Fabriken müssen ihre Fertigungsstrassen schliessen, weil die Computersysteme nicht mehr funktionieren. In Spitälern können Patienten nicht operiert werden, weil die Ärzte keinen Zugriff auf wichtige Daten haben.
Der Computerwurm «Wanna Cry», der sich letztes Wochenende im Internet verbreitete, hat uns vor Augen geführt, wie sehr unsere Gesellschaft von Informationstechnologie abhängig ist und wie die Welt in Gefahr gerät, wenn es kompromittiert wird.
In diesen Plot passt, dass es nicht eine grosse IT-Sicherheitsfirma war, die den Wurm stoppen konnte, sondern ein 22-jähriger Computer-Nerd. Er erkannte als Erster, dass in der Schadsoftware eine Art Notfallknopf, ein «Killswitch» eingebaut ist, über den der Wurm unschädlich gemacht werden konnte. Ein einzelner Mensch mit Raffinement und Kreativität kann, einen riesigen Einfluss auf das IT-System nehmen, das unsere ganze Gesellschaft durchdringt.
In diesem Fall war es zu unserm Wohl. Geradeso gut kann es aber auch zu unserm Schaden sein, wenn nämlich Sicherheitslücken für Hacks ausgenutzt werden. Und vielleicht wurde auch der Wurm «Wanna Cry», über dessen Urheber wir so gut wie nichts wissen, bloss von einer kleinen Hacker-Gruppe entwickelt. Dass wenige so viel bewirken können, das macht unsere (digitale) Welt so unberechenbar.
Glücklicherweise verlief die Cyberattacke verhältnismässig glimpflich. Denn bei einem derartigen Angriff auf kritische Infrastrukturen wie Spitäler hätte es Tote geben können. In einem Science-Fiction-Film hätte die Attacke natürlich weitaus dramatischere Folgen gehabt und die ganze Welt in Gefahr gebracht, ehe der Wurm im letzten Moment gestoppt worden wäre. Doch im Unterschied zum Film geht das Leben nach dem Happy End weiter. Auch wenn «Wanna Cry» unschädlich gemacht werden konnte, so ist klar, dass weitere Cyberangriffe folgen werden.
Je weiter die Digitalisierung voranschreitet, desto grösser wird die Gefahr: Längst sind nicht nur Computer mit dem Internet verbunden, sondern auch Fernseher, Überwachungskameras, Autos, Heizungs- und Lüftungssysteme sowie Gebäudesteuerungen. So könnten die nächsten Lösegeldforderungen von Hackern nicht auf den Computerbildschirmen in Büros auftauchen, sondern auf den Touchscreens moderner Autos.
Die Botschaft: «Überweisen Sie uns einen Bitcoin (1800 Franken), dann können Sie weiterfahren. Das wäre die harmlose Variante. Richtig gefährlich wird es, wenn Hacker die Bremsen von Autos manipulieren. Dass das möglich ist, haben schon mehrere Sicherheitsforscher gezeigt, die zum Glück keine bösen Absichten hegten.
An Inspiration für Cyberangriffe fehlt es in der Science-Fiction nicht. In der US-Serie «Mr. Robot» werden die Computer von Banken mit einer Erpressungssoftware lahmgelegt, sodass sie keinen Zugriff mehr auf die von ihnen verwalteten Kundengelder haben. In Daniel Suarez’ Roman «Daemon» werden mit dieser Methode ganze Firmen von einer dunklen Macht übernommen, Gelder umverteilt und die Welt neu gestaltet.
So weit muss es natürlich nicht kommen. Doch es ist ratsam, diese Warnungen ernst zu nehmen. Denn wir haben uns, wie der Sicherheitsforscher Sandro Gaycken treffend feststellt, in eine verzwickte Lage manövriert: «Wir haben eine IT, von der wir bis in die kleinsten Verästelungen unserer Gesellschaft abhängig sind, und die zudem grundsätzlich unsicher und unbeherrschbar ist.» In jeder Software gibt es Schwachstellen, die Hacker ausnutzen können. Das lässt sich nicht vermeiden.
Forscher der Carnegie Mellon University haben einmal berechnet, dass 1.5 bis 5 Prozent aller Code-Zeilen einen Programmierfehler aufweisen. Bei den Betriebssystemen von Microsoft und Apple, die beide rund 80 Millionen Zeilen Code enthalten, kommt man folglich auf 1,2 bis 4 Millionen Fehler. Auch wenn längst nicht alle als Sicherheitslücken ausbeutbar sind, gibt es dennoch zigtausend, über die ein raffinierter Angreifer eindringen kann.
Was also tun? Zurück ins Vordigitalzeitalter wollen und können wir nicht. Die einzige Strategie muss deshalb lauten, das Risiko zu minimieren: Geheimdienste, indem sie das Wissen um entsprechende Sicherheitslücken nicht unachtsam aus der Hand geben (was bei «Wanna Cry» der Fall war). Software-Firmen, indem sie regelmässig Updates herausgeben, um Sicherheitslücken zu stopfen.
Privatanwender und Firmen, indem sie ihre Software auf dem neusten Stand halten. Und die Politik, indem sie diskutiert, welche Sicherheitsauflagen Firmen für ihre IT erfüllen müssen. Letztlich ist es mit der Cybersicherheit wie mit der Klimaerwärmung: Sie betrifft uns alle. (aargauerzeitung.ch)
