Bundesstelle macht Sicherheitsempfehlungen für Internet der Dinge

Ob Fitnesstracker, selbstfahrendes Auto oder Steuerungen für Gebäude: Beim Internet der Dinge wird Sicherheitsaspekten oft zu wenig Beachtung geschenkt. Die Melde- und Analysestelle für Informationssicherung (Melani) des Bundes macht nun Empfehlungen.

Gemäss Schätzungen seien 2016 rund 6 Milliarden Geräte ans Internet angeschlossen gewesen, schreibt Melani im am Donnerstag veröffentlichten Halbjahresbericht. 2020 dürften es mehr als drei Mal so viele sein, nämlich etwa 20 Milliarden. Doch: «Oft kümmern sich Hersteller und auch Benutzer zu wenig um Sicherheitsaspekte.»

 

Manipulation als Gefährdung

Gefährdungspotenzial sehen die Autoren des Berichts in der Manipulation solcher Systeme. Gerade in der Logistikbranche, wo ans Internet angeschlossene Geräte einen Boom erlebten, könnten durch Manipulation herbeigeführte Schäden enorm sein. Der Bericht nennt ein Beispiel: «Liefert eine manipulierte Arzneimittellogistik die dringend benötigten Medikamente an den falschen Ort, kann dies sehr schnell zu einer Frage von Leben und Tod führen.» Solche Angriffe könnten genutzt werden, um Geld zu erpressen oder um Verunsicherung in der Gesellschaft auszulösen. Laut im Bericht zitierten Fachleuten verzichten einige Betreiber «schlichtweg» auf den Schutz durch Passwörter oder Verschlüsselung. Ungeschützt über das Netz kommunizierende Sensoren steckten unter anderem in Autos, Erdbebensensoren, Geldautomaten, Klimageräten, Leuchten und Medizintechnikgeräten.

 

Update und Passwörter wichtig

Melani hat für ein sichereres Internet der Dinge Empfehlungen publiziert: Vor dem Installieren von netzwerkfähigen Gegenständen sollte demnach nach Software-Updates gefragt werden. Nicht nur ein PC oder ein Smartphone, sondern auch ein intelligenter Lichtschalter brauche ein regelmässiges Software-Update. Mögliche Gefahren bestehen auch bei Geräten und Gegenständen, auf welche mit Standard-Zugangsdaten zugegriffen werden kann. Sie können laut Melani von jedem gefunden werden. Auch hier müsse nach Schutzmechanismen gefragt werden - etwa, ob die vom Hersteller voreingestellten Zugangsdaten angepasst werden können.

 

Betrugsmaschen

Melani empfiehlt dazu eigene, komplexe Passwörter sowie Firewalls und separate Netzwerk-Segmente für Geräte des Internets der Dinge. Über diese Geräte sollte nicht unbefugt auf persönlichen Daten aus dem internen Netz zugegriffen werden können. Nicht benötigte Geräte sollten vom Netz getrennt werden. Betrugsversuche über das Netz hat es auch im zweiten Semester 2016 zahlreiche gegeben. DDos-Angriffe und Verschlüsselungstrojaner etwa würden nach wie vor für Geld-Erpressungen eingesetzt. In diversen Fällen angewandt wurde auch der «CEO-Betrug»: Täter verlangen mit dieser Masche im Namen eines Firmenchefs von Angestellten, eine Zahlung auf ein Konto vorzunehmen. Meist wird eine sehr vertrauliche, heikle oder dringende Angelegenheit vorgeschoben - und das Geld landet bei den Betrügern.

 

Angeblich eine Bundesstelle

Selbst der Bund blieb nicht verschont: Laut dem Bericht erhielten auch Finanzabteilungen der Bundesverwaltung Zahlungsanweisungen. In einem Fall imitierten Täter die Webseite der Finanzmarktaufsicht Finma, um eine Zahlung auszulösen. In einem anderen Fall gaben sich Täter am Telefon als Vertreter einer Bundesstelle aus. Indem eine offizielle amtliche Stelle vorgetäuscht werde, könne auf Opfer mehr Druck ausgeübt werden, zu bezahlen, schreibt Melani. Sogar die Telefonnummer auf dem Display beim Opfer sei gefälscht worden. 2016 erhielt Melani Meldungen zu mehr als 4500 Phishing-Seiten. Nach wie vor versuchen Kriminelle auf diesem Weg, an Kreditkartendaten oder Zugangsdaten zu Internetdiensten zu kommen.

 

Indirektes Ziel von Cyber-Spionage

Der Melani-Bericht befasst sich zudem mit Cyber-Spionage. Angriffe gegen die Welt-Anti-Doping-Agentur und den internationalen Sportgerichtshof in Lausanne betrafen die Schweiz indirekt. Da die Schweiz Sitz vieler internationaler Organisationen sei, sei das Risiko erhöht, solchen Operationen ausgesetzt zu sein. Von einem erst vor Kurzem bekanntgewordenen Angriff waren zwischen 2001 und 2003 drei Server der Universität Genf betroffen, wie Melani unter Berufung auf die Betreiberin von Schweizer Hochschulnetzen «Switch» schreibt. Zwei dieser Server waren seit 2009 nicht mehr aktiv. Der dritte soll von aussen nicht erreichbar gewesen sein. (SDA)

 

Grafik: Pixabay

Do 20.04.2017 - 15:57

Kommentare

neuen Kommentar schreiben

Klartext

  • Keine HTML-Tags erlaubt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.
  • Web page addresses and email addresses turn into links automatically.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.