Sie steht zu Hause im Badezimmer, doch sie ist Teil einer gross angelegten Cyberattacke. Die elektrische Zahnbürste ist mit Java programmiert, und unbemerkt haben Kriminelle darauf eine Schadsoftware installiert – wie auf 3 Millionen anderen Zahnbürsten auch. Ein Befehl genügt, und die ferngesteuerten Zahnbürsten rufen gleichzeitig die Website einer Schweizer Firma auf. Die Seite bricht zusammen und ist für vier Stunden lahmgelegt. Es entsteht ein Schaden in Millionenhöhe.
Das Beispiel, das wie ein Hollywood-Szenario daherkommt, soll illustrieren, wie vielseitig digitale Angriffe geworden sind. Stefan Züger sagt:
Züger verantwortet beim Schweiz-Ableger des Cybersicherheitsspezialisten Fortinet mit Sitz im Zürcher Dietlikon den Bereich Systemtechnik. Ob Babyphone, Webkamera oder eben die elektrische Zahnbürste, sei völlig egal.
Züger schildert ein weiteres Beispiel: Ein Restaurant, das bald eine Hochzeitsgesellschaft empfängt, erhält ein Mail. Gesendet von der Adresse des lokalen Blumenladens, der die Dekoration organisiert. Im Anhang ein Foto, wie es aussehen soll. Doch das Mail stammt nicht vom Blumenladen, sondern von Cyberkriminellen, die im Bild eine Schadsoftware versteckt haben. Nun muss nur noch ein Angestellter auf das Foto klicken – schon ist das System infiltriert.
Die Zahl der Angriffe nimmt auch in der Schweiz zu. Dem Bundesamt für Cybersicherheit (BACS, ehemals NCSC) wurden im vergangenen Jahr knapp 50'000 Cybervorfälle gemeldet – rund 43 Prozent mehr als im Vorjahr. Und auf globalem Niveau haben die Attacken ein kaum mehr vorstellbares Ausmass erreicht, wie Daten von Fortinet zeigen. Die Firma gehört zu den Weltmarktführern bei der Cybersicherheit und überwacht die globale Bedrohungslandschaft. Rund 100 bis 200 Milliarden Events oder Angriffspunkte registriert Fortinet – pro Tag.
Zwar kommen viele davon aus derselben Quelle, die Kriminellen schlagen aber an verschiedenen Orten gleichzeitig zu. Laut Züger belegt die enorme Zahl, wie hochautomatisiert die Cyberkriminalität funktioniert:
Eindrücklich zeigt sich dies an einem Experiment, das Züger und sein Team kürzlich durchführten. Sie schlossen einen Computer ohne jeglichen Schutz ans Internet an und schauten, wie lange es dauert, bis er befallen ist. Es waren keine zwanzig Minuten.
Die Botschaft daraus: Keine Person und kein Gerät sind zu wenig interessant für die Kriminellen. Alle müssen sich schützen. «Sonst wird man früher oder später zum Opfer – oder das eigene Gerät wird für Angriffe missbraucht», so Zügers ernüchternde Bilanz.
Der Trick, mit einer Vielzahl von gehackten Geräten eine Website gleichzeitig aufzurufen, damit sie aus Überlastung zusammenbricht, heisst im Fachjargon «DDoS-Attacke». Diese Methode erfreut sich derzeit grosser Beliebtheit. Jüngst wurden damit auch Server von Schweizer Regierungsstellen während des Weltwirtschaftsforums angegriffen - als Retourkutsche für die Teilnahme des ukrainischen Präsidenten Wolodimir Selenski. Eine russlandnahe Gruppierung bekannte sich zum Angriff.
«Wir sehen eine starke Zunahme von politisch oder aktivistisch motivierten Cyberangriffen», sagt Achim Freyer, Schweiz-Chef von Fortinet. Eine Entwicklung, die den Fachleuten Sorge bereitet. Denn die staatlichen oder staatsnahen Gruppierungen würden über «fast unbeschränkte Mittel» verfügen. Mit der rasanten Entwicklung der künstlichen Intelligenz (KI) beobachte man eine massive Aufrüstung sowohl in den Angriffs- als auch Verteidigungstechniken. «Das Wettrüsten ist in vollem Gange», so Freyer.
Das bestätigt ein kürzlich publizierter Bericht des britischen Cybersicherheitszentrums. Er kommt zum Schluss, dass KI das Ausmass und die Folgen von böswilligen Cyberaktivitäten in naher Zukunft erhöhen wird. Dank der intelligenten Hilfe sinke die Einstiegshürde: Für relativ unerfahrene Personen werde es damit einfacher, sich in Systeme zu hacken. Zudem ermöglicht die KI, Opfer gezielter anzusprechen.
Das zeigt sich etwa beim Phishing, wobei Kriminelle via gefälschte Mails oder SMS ihre Opfer dazu bewegen, persönliche Daten preiszugeben oder eine Schadsoftware herunterzuladen: Diese Attacken werden mit künstlicher Intelligenz sehr viel ausgefeilter und schwieriger zu erkennen sein. Alle Informationen, die eine Person selbst auf sozialen Netzwerken teilt, können zur Erstellung eines Profils benutzt werden. So wissen die Angreiferinnen etwa, wo man in den Ferien war, und können diese Information beispielsweise für eine gefälschte Kreditkartenrechnung benutzen.
Das Perfide an den Cyberangriffen ist, dass sie meist lange unbemerkt bleiben. Oft saugen die Hacker über eine lange Zeit Daten ab, ohne diese gegen die Bestohlenen zu verwenden. Denn die Kriminellen seien nicht auf schnellen Profit aus, sondern auf die Kontrolle über Daten, Geräte und Systeme, erklärt Freyer. «Erst, wenn sie dies erreicht haben, schlagen sie zu.» Im Extremfall würden bis dahin Monate bis Jahre vergehen.
Doch so entmutigend dies klingen mag: Laut Stefan Züger gibt es trotzdem Anlass zur Zuversicht. «Auch als Privatperson kann man sich mit relativ einfachen Mitteln gegen vieles schützen.»
IoT nur dort anwenden, wo sinnvoll. Sachen kaufen ohne Internet-Zugang, eine Zahnbürste muss nicht online sein. Kostet weniger, ist sicherer.