Microsoft geht unser grösstes Sicherheitsproblem an: Das chronisch unsichere Internet of Things (IoT). Gemeint sind mit dem Internet vernetzte Autos, Häuser, Arbeitsroboter, Kühlschränke, Spielzeuge etc. Für Hacker sind diese nicht oder schlecht geschützten Geräte leichte Beute. Angriffe gegen vernetzte Maschinen in Spitälern, die Trinkwasserversorgung oder Stromnetze sind keine Fiktion, sondern Realität.
2016 legte das Mirai-Botnet das halbe Internet lahm, indem es rund 100'000 unsichere IoT-Geräte zur Waffe für DDoS-Attacken (Überlastungsangriffe) auf Webserver machte.
Microsoft will nun beim schnell wachsenden Internet der Dinge nicht die Fehler aus den Anfangszeiten der Internetrevolution wiederholen, als alle noch blauäugig und staunend vor den Möglichkeiten standen, die ein weltweites Netz eröffnen könnte. Denn: Ein gehackter PC ist schlecht, ein gehacktes AKW ein GAU.
Der Wasserkocher hat sich mit dem Redaktionsrechner kurzgeschlossen und diesen Beitrag gepostet. Der Toaster meint, du sollst ihn dir unbedingt anschauen. pic.twitter.com/UuJRbKACwo
— extra3 (@extra3) April 17, 2018
Heute werden nicht nur Milliarden von E-Mails pro Tag versendet, ganze Industriezweige leben im Internet, es geht um persönliche Daten, Apps, Datenbanken, Online-Kontos oder Arbeitsplätze. Dies alles ist oft nur ungenügend bis gar nicht gegen Hackerangriffe abgesichert.
Online-Kriminelle haben daher leichtes Spiel: Ransom-Software verschlüsselt Computer oder Smartphones und gibt die Daten nur gegen Lösegeld frei, Bankkonten werden geplündert, Steuerrückzahlungen gestohlen, Kredite mit gestohlenen Daten aufgenommen, Leben ruiniert.
Das alles, sagt Microsoft-Chefjustiziar Brad Smith, soll im Internet der Dinge nicht wieder passieren können. Während im «alten» Internet Menschen miteinander kommuniziert haben, werden im Web der Dinge auch Maschinen ohne Aufsicht miteinander und mit Menschen kommunizieren. Alles bekommt eine neue Dimension. Bis 2030 wird die Zahl der vernetzten Geräte, vom Roboter-Auto bis zum Spielzeug, über 30 Milliarden erreichen, so Marktforscher.
Deshalb ist Smith, der sonst mit Politikern und Lobbyisten in Washington verhandelt, diese Woche zur diesjährigen RSA-Sicherheitskonferenz nach San Francisco gekommen, um die Bedeutung der jüngsten Initiative zu unterstreichen. Microsoft hat ein neues Chipdesign entwickelt, das nicht nur sicherer sein soll, sondern auch jederzeit über das Internet neueste Sicherheitssoftware bekommen kann.
Der Chip, halb so gross wie ein Daumennagel, ist praktisch ein vollwertiger Computer und kann in vernetzte Toaster, Kühlschränke, Webcams, Spielzeuge, Autos, Drohnen, Smartphones oder TV-Geräte integriert werden.
Das Gesamtsystem besteht aus dem Microsoft-eigenen Chip, dem Linux-basierten Betriebssystem Azure Sphere OS und einem Internet-Service in der Cloud, der alles verbindet. Er soll eine fortlaufende Aktualisierung der Sicherheitssoftware garantieren und Microsoft bevorzugt natürlich seinen eigenen Cloud-Dienst Azure. Aber Smith macht klar, dass alle Cloud-Dienste, ob Amazons AWS, die Cloud von Google, IBM oder wer auch immer unterstützt werden.
Das neue IoT-Betriebssystem ist nicht etwa das hauseigene Windows 10, sondern basiert auf einem Linux-Kernel, einem quelloffenen Betriebssystem. Das Design der Chips, sogenannte «Microcontroller», wird jedem Hersteller kosten- und lizenzfrei überlassen. Als Start-Partner ist der Chip-Fertiger Mediatek an Bord. Er will 2019 erste Exemplare ausliefern.
Die seltene Freizügigkeit in Redmond hat einen Grund. Ein solches System funktioniert nur, wenn es lückenlos aufgebaut ist. Ein krasses Gegenbeispiel sind heutige Internet-Router, wie sie in jedem Haushalt stehen.
Sie haben ab Werk ein Passwort, das der Käufer später ändern soll. Aber viele machen es nicht. Und Hacker müssen nur suchen, bis sie Router finden, die sie kapern und als Werkzeug missbrauchen können. Sie greifen dann ferngesteuert Webseiten von Internethändlern oder Stadtverwaltungen an und legen sie lahm. Erst gegen «Lösegeldzahlungen» werden die Opfer wieder in Ruhe gelassen.
Das ist schon schlimm genug, erklärt Galen Hunt von Microsoft Azure Services. Aber Microcontroller, von denen derzeit neun Milliarden Stück pro Jahr verkauft werden, werden irgendwann überall sein und vernetzt.
Am Arbeitsplatz in Bürocomputern und Fertigungsmaschinen, in Lagern und Krankenhäusern, in Infusionsgeräten und der Trinkwasserversorgung. Hier muss absolute Sicherheit herrschen. Da darf ein Angestellter nicht mal eben ohne bösen Willen das Passwort auf einem Zettel an die Maschine pappen.
«Privatindustrie und Regierungen müssen zusammenarbeiten. Alleine schafft das keiner», sagt Brad Smith. Microsoft selbst beschäftigt 3500 Mitarbeiter weltweit in seinen Sicherheitszentren und hat ein Budget von einer Milliarde Dollar pro Jahr für Cyberabwehr bereitgestellt. Aber angesichts der globalen Bedrohung durch Cyberkriminelle ist selbst das nur ein Tropfen auf den heissen Stein.
Microsoft hofft, zwei Fliegen mit einer Klappe zu schlagen. Von Anfang an ein sicheres «neues» Internet der Dinge mit Sicherheit als oberste Priorität zu schaffen und natürlich auch mehr Geschäft für die eigenen Cloud-Dienste und Web-Angebote.
Dafür muss der Konzern die Politik mit einbeziehen. Wer ungesicherte Geräte ins Netz bringt, der muss für die Folgen haften. Nur dann werden Hersteller die zusätzlichen Cents pro Gerät aufbringen, um Cybergangster aussen vor zu halten.
Die Frage wird sein, ob sich alle Wettbewerber an einen Tisch setzen und gemeinsam Standards wirklich verabschieden werden. Dafür müssten manche über ihren eigenen Schatten springen.
So wie Microsoft: «Nach 43 Jahren», sagt Microsoft-Veteran Smith, sichtlich bewegt, «ist es das erste Mal, dass wir eine eigene Linux-Distribution verteilen werden.»
Das offene und kostenlose Betriebssystem hatte der junge Microsoft-Gründer Bill Gates noch als «unamerikanisch» beschimpft und bekämpft, wo er nur konnte – und sein Nachfolger Steve Ballmer stempelte es gar zum «Krebsgeschwür» ab.
2018 ist fast alles anders: Heute lassen sich Linux-Distributionen einfach aus dem Microsoft Store installieren und Microsoft-Chef Satya Nadella nutzt Linux, um Microsoft endgültig vom Windows-Konzern in den Cloud- bzw. Azure-Konzern zu verwandeln. Die nächsten Milliarden wird nicht primär Windows, sondern der Cloud-Dienst Azure in die Kassen von Microsoft spülen. Zufall oder nicht: Just heute hat Microsoft Google als drittwertvollstes Unternehmen der Welt abgelöst. Nur Apple und Amazon sind nun an der Börse noch höher bewertet.
(oli/sda/dpa)
Bei der Sicherheit geht es nicht primär um sicheren Code, sondern um Features, Daten wie Schlüssel gesichert abzulegen. Damit man nicht dem Temperatursensor die ID des Sensors vom Nachbar geben kann und dergleichen.