Wenn die Zahnbürsten angreifen
Sie steht zu Hause im Badezimmer, doch sie ist Teil einer gross angelegten Cyberattacke. Die elektrische Zahnbürste ist mit Java programmiert, und unbemerkt haben Kriminelle darauf eine Schadsoftware installiert – wie auf 3 Millionen anderen Zahnbürsten auch. Ein Befehl genügt, und die ferngesteuerten Zahnbürsten rufen gleichzeitig die Website einer Schweizer Firma auf. Die Seite bricht zusammen und ist für vier Stunden lahmgelegt. Es entsteht ein Schaden in Millionenhöhe.
Das Beispiel, das wie ein Hollywood-Szenario daherkommt, soll illustrieren, wie vielseitig digitale Angriffe geworden sind. Stefan Züger sagt:
Züger verantwortet beim Schweiz-Ableger des Cybersicherheitsspezialisten Fortinet mit Sitz im Zürcher Dietlikon den Bereich Systemtechnik. Ob Babyphone, Webkamera oder eben die elektrische Zahnbürste, sei völlig egal.
Fortinet liess auf Anfrage verlauten: «Das Thema Zahnbürsten, die für DDoS-Angriffe verwendet werden, wurde in einem Interview als Beispiel für eine bestimmte Art von Angriffen dargestellt und basiert nicht auf Untersuchungen von Fortinet oder Fortiguard Labs. Es hat den Anschein, dass die Darstellung zu diesem Thema aufgrund von Übersetzungen so weit gedehnt wurde, dass hypothetische und tatsächliche Szenarien vermischt wurden.»
Dieser Darstellung widerspricht die Aargauer Zeitung, die wie watson zum Medienhaus CH Media gehört. Was nun von der Fortinet-Firmenzentrale in Kalifornien als «Übersetzungsproblem» bezeichnet werde, habe sich bei den Recherchen noch ganz anders angehört: Tatsächlich hätten Schweizer Fortinet-Vertreter bei einem Gesprächstermin, bei dem es um aktuelle Bedrohungslagen ging, den Zahnbürsten-Fall als reale DDoS-Attacke geschildert.
Züger schildert ein weiteres Beispiel: Ein Restaurant, das bald eine Hochzeitsgesellschaft empfängt, erhält ein Mail. Gesendet von der Adresse des lokalen Blumenladens, der die Dekoration organisiert. Im Anhang ein Foto, wie es aussehen soll. Doch das Mail stammt nicht vom Blumenladen, sondern von Cyberkriminellen, die im Bild eine Schadsoftware versteckt haben. Nun muss nur noch ein Angestellter auf das Foto klicken – schon ist das System infiltriert.
Niemand ist zu uninteressant für Cyberkriminelle
Die Zahl der Angriffe nimmt auch in der Schweiz zu. Dem Bundesamt für Cybersicherheit (BACS, ehemals NCSC) wurden im vergangenen Jahr knapp 50'000 Cybervorfälle gemeldet – rund 43 Prozent mehr als im Vorjahr. Und auf globalem Niveau haben die Attacken ein kaum mehr vorstellbares Ausmass erreicht, wie Daten von Fortinet zeigen. Die Firma gehört zu den Weltmarktführern bei der Cybersicherheit und überwacht die globale Bedrohungslandschaft. Rund 100 bis 200 Milliarden Events oder Angriffspunkte registriert Fortinet – pro Tag.
Zwar kommen viele davon aus derselben Quelle, die Kriminellen schlagen aber an verschiedenen Orten gleichzeitig zu. Laut Züger belegt die enorme Zahl, wie hochautomatisiert die Cyberkriminalität funktioniert:
Eindrücklich zeigt sich dies an einem Experiment, das Züger und sein Team kürzlich durchführten. Sie schlossen einen Computer ohne jeglichen Schutz ans Internet an und schauten, wie lange es dauert, bis er befallen ist. Es waren keine zwanzig Minuten.
Die Botschaft daraus: Keine Person und kein Gerät sind zu wenig interessant für die Kriminellen. Alle müssen sich schützen. «Sonst wird man früher oder später zum Opfer – oder das eigene Gerät wird für Angriffe missbraucht», so Zügers ernüchternde Bilanz.
Der Trick, mit einer Vielzahl von gehackten Geräten eine Website gleichzeitig aufzurufen, damit sie aus Überlastung zusammenbricht, heisst im Fachjargon «DDoS-Attacke». Diese Methode erfreut sich derzeit grosser Beliebtheit. Jüngst wurden damit auch Server von Schweizer Regierungsstellen während des Weltwirtschaftsforums angegriffen - als Retourkutsche für die Teilnahme des ukrainischen Präsidenten Wolodimir Selenski. Eine russlandnahe Gruppierung bekannte sich zum Angriff.
«Wir sehen eine starke Zunahme von politisch oder aktivistisch motivierten Cyberangriffen», sagt Achim Freyer, Schweiz-Chef von Fortinet. Eine Entwicklung, die den Fachleuten Sorge bereitet. Denn die staatlichen oder staatsnahen Gruppierungen würden über «fast unbeschränkte Mittel» verfügen. Mit der rasanten Entwicklung der künstlichen Intelligenz (KI) beobachte man eine massive Aufrüstung sowohl in den Angriffs- als auch Verteidigungstechniken. «Das Wettrüsten ist in vollem Gange», so Freyer.
Das bestätigt ein kürzlich publizierter Bericht des britischen Cybersicherheitszentrums. Er kommt zum Schluss, dass KI das Ausmass und die Folgen von böswilligen Cyberaktivitäten in naher Zukunft erhöhen wird. Dank der intelligenten Hilfe sinke die Einstiegshürde: Für relativ unerfahrene Personen werde es damit einfacher, sich in Systeme zu hacken. Zudem ermöglicht die KI, Opfer gezielter anzusprechen.
Das zeigt sich etwa beim Phishing, wobei Kriminelle via gefälschte Mails oder SMS ihre Opfer dazu bewegen, persönliche Daten preiszugeben oder eine Schadsoftware herunterzuladen: Diese Attacken werden mit künstlicher Intelligenz sehr viel ausgefeilter und schwieriger zu erkennen sein. Alle Informationen, die eine Person selbst auf sozialen Netzwerken teilt, können zur Erstellung eines Profils benutzt werden. So wissen die Angreiferinnen etwa, wo man in den Ferien war, und können diese Information beispielsweise für eine gefälschte Kreditkartenrechnung benutzen.
Das Perfide an den Cyberangriffen ist, dass sie meist lange unbemerkt bleiben. Oft saugen die Hacker über eine lange Zeit Daten ab, ohne diese gegen die Bestohlenen zu verwenden. Denn die Kriminellen seien nicht auf schnellen Profit aus, sondern auf die Kontrolle über Daten, Geräte und Systeme, erklärt Freyer. «Erst, wenn sie dies erreicht haben, schlagen sie zu.» Im Extremfall würden bis dahin Monate bis Jahre vergehen.
Doch so entmutigend dies klingen mag: Laut Stefan Züger gibt es trotzdem Anlass zur Zuversicht. «Auch als Privatperson kann man sich mit relativ einfachen Mitteln gegen vieles schützen.»
Wie du dich schützen kannst
- Bei allen Geräten die Software automatisch aktualisieren. «Man kann gar nicht genug updaten», so Züger.
- Wo immer möglich – auf Computern, aber auch Handys – ein Antivirenprogramm verwenden.
- Den Energie- und Datenverbrauch des eigenen Gerätes kontrollieren. Wenn der Akku plötzlich viel schneller leer ist als gewohnt oder wenn eine unbekannte App sehr viele Daten braucht, stimmt etwas nicht.
- Immer misstrauisch sein und nachdenken, bevor man etwas anklickt. «Das ist enorm wichtig», betont Züger. Bei Phishing oder anderen Betrugsversuchen werde das Opfer unter Stress gesetzt – etwa mit der Forderung, man müsse sofort bezahlen, sonst passiere etwas Schlimmes. «Unter Stress handeln die meisten Menschen unüberlegt.» Es sei also essenziell, innezuhalten und sich zu fragen: Ist das wirklich echt?
- Im öffentlichen Raum vermeiden, dass ein Datenaustausch mit dem eigenen Gerät stattfinden kann. Das betrifft vor allem Bluetooth- und USB-Verbindungen. Laut Züger sollte man nie im Bus oder am Bahnhof das Handy via USB-Stecker laden. Ebenso sollte man einen Zugriff via Bluetooth nur den Geräten gewähren, die man auch selbst hinzugefügt hat, und niemals sensible Daten eingeben, wenn man mit einem öffentlichen WLAN verbunden ist. Denn das seien für Kriminelle günstige Möglichkeiten, um an Daten zu kommen.
