Digital
Datenschutz

Das unsichere Internet der Dinge – das sind die grössten Gefahren für Internet-Nutzer

Das unsichere Internet der Dinge – das sind die grössten Gefahren für Internet-Nutzer

Ob Fitnesstracker, selbstfahrendes Auto oder Steuerungen für Gebäude: Beim Internet der Dinge wird der Sicherheit oft zu wenig Beachtung geschenkt. Der Bund macht nun Empfehlungen.
20.04.2017, 17:2120.04.2017, 17:35
Mehr «Digital»

Gemäss Schätzungen seien 2016 rund 6 Milliarden Geräte ans Internet angeschlossen gewesen. Dies schreibt die Melde- und Analysestelle für Informationssicherung (MELANI) in ihrem Halbjahresbericht. 2020 dürften es mehr als drei Mal so viele sein, nämlich etwa 20 Milliarden. Doch: «Oft kümmern sich Hersteller und auch Benutzer zu wenig um Sicherheitsaspekte.»

Manipulation als Gefährdung

Gefährdungspotenzial sehen die Autoren des Berichts in der Manipulation solcher Systeme. Gerade in der Logistikbranche, wo ans Internet angeschlossene Geräte einen Boom erleben, könnten durch Manipulation herbeigeführte Schäden enorm sein.

Der Bericht nennt ein Beispiel:

«Liefert eine manipulierte Arzneimittellogistik die dringend benötigten Medikamente an den falschen Ort, kann dies sehr schnell zu einer Frage von Leben und Tod führen.»

Solche Angriffe könnten genutzt werden, um Geld zu erpressen oder um Verunsicherung in der Gesellschaft auszulösen.

Laut im Bericht zitierten Fachleuten verzichten einige Betreiber «schlichtweg» auf den Schutz durch Passwörter oder Verschlüsselung. Ungeschützt über das Netz kommunizierende Sensoren steckten unter anderem in Autos, Erdbebensensoren, Geldautomaten, Klimageräten, Leuchten und Medizintechnikgeräten.

Update und Passwörter wichtig

MELANI hat für ein sichereres Internet der Dinge Empfehlungen publiziert: 

  • Vor dem Installieren von netzwerkfähigen Gegenständen sollte nach Software-Updates gefragt werden.
  • Nicht nur ein PC oder ein Smartphone, sondern auch ein intelligenter Lichtschalter braucht ein regelmässiges Software-Update.

Mögliche Gefahren bestehen auch bei Geräten und Gegenständen, auf welche mit Standard-Zugangsdaten zugegriffen werden kann. Sie können laut MELANI von jedem gefunden werden. Auch hier müsse nach Schutzmechanismen gefragt werden – etwa, ob die vom Hersteller voreingestellten Zugangsdaten angepasst werden können.

Betrugsmasche: Der CEO-Trick

MELANI empfiehlt dazu eigene, komplexe Passwörter sowie Firewalls und separate Netzwerk-Segmente für Geräte des Internets der Dinge. Über diese Geräte sollte nicht unbefugt auf persönlichen Daten aus dem internen Netz zugegriffen werden können. Nicht benötigte Geräte sollten vom Netz getrennt werden.

Betrugsversuche über das Netz hat es auch im zweiten Semester 2016 zahlreiche gegeben. DDos-Angriffe und Verschlüsselungstrojaner etwa würden nach wie vor für Geld-Erpressungen eingesetzt.

In diversen Fällen angewandt wurde auch der «CEO-Betrug»: Täter verlangen mit dieser Masche im Namen eines Firmenchefs von Angestellten, eine Zahlung auf ein Konto vorzunehmen. Meist wird eine sehr vertrauliche, heikle oder dringende Angelegenheit vorgeschoben – und das Geld landet bei den Betrügern.

Angeblich eine Bundesstelle

Selbst der Bund blieb nicht verschont: Laut dem Bericht erhielten auch Finanzabteilungen der Bundesverwaltung Zahlungsanweisungen. In einem Fall imitierten Täter die Webseite der Finanzmarktaufsicht Finma, um eine Zahlung auszulösen.

In einem anderen Fall gaben sich Täter am Telefon als Vertreter einer Bundesstelle aus. Indem eine offizielle amtliche Stelle vorgetäuscht werde, könne auf Opfer mehr Druck ausgeübt werden, zu bezahlen, schreibt MELANI. Sogar die Telefonnummer auf dem Display beim Opfer sei gefälscht worden.

2016 erhielt MELANI Meldungen zu mehr als 4500 Phishing-Seiten. Nach wie vor versuchen Kriminelle auf diesem Weg, an Kreditkartendaten oder Zugangsdaten zu Internetdiensten zu kommen.

Indirektes Ziel von Cyber-Spionage

Der MELANI-Bericht befasst sich zudem mit Cyber-Spionage. Angriffe gegen die Welt-Anti-Doping-Agentur und den internationalen Sportgerichtshof in Lausanne betrafen die Schweiz indirekt. Da die Schweiz Sitz vieler internationaler Organisationen sei, sei das Risiko erhöht, solchen Operationen ausgesetzt zu sein.

Von einem erst vor Kurzem bekanntgewordenen Angriff – mutmasslich durch die NSA – waren zwischen 2001 und 2003 drei Server der Universität Genf betroffen, wie MELANI unter Berufung auf die Betreiberin von Schweizer Hochschulnetzen «Switch» schreibt. Den Fall hatte watson Ende 2016 publik gemacht. Zwei dieser Server waren seit 2009 nicht mehr aktiv. Der dritte soll von aussen nicht erreichbar gewesen sein.

(oli/sda)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
2 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2
Kein Cloud-Zwang, keine Abokosten: Microsoft Office 2024 kommt
Neben «Microsoft 365» wird der Konzern weiterhin eine Offline-Version seiner Office-Anwendung anbieten. Diese erscheint in doppelter Ausführung.

Microsoft will «Office 2024» und «Office LTSC 2024» noch in diesem Jahr veröffentlichen. Das hat der Konzern in einem Blogeintrag mitgeteilt. Während sich Office LTSC 2024 (Long-Term Servicing Channel) an Unternehmen und Organisationen in gewissen Nischen richtet (Geräte ohne Internetverbindung oder Embedded-Installationen wie im Medizinbereich), ist Office 2024 für private Konsumenten gedacht. Somit wird es auch künftig lokale Office-Installationen ohne Abogebühren, dafür mit herkömmlichen Updates für Word, Excel und PowerPoint geben.

Zur Story