Interview„Was im Internet der Dinge passiert, ist Irrsinn“

Jeff Moss
Jeff MossGetty Images


Jeff Moss ist ein Veteran der Hacker-Szene und ein Kämpfer für Sicherheit im Internet. Der 43-Jährige gründete einst die legendären Hacker-Konferenzen Black Hat und Defcon. Heute arbeitet er als Sicherheitsberater für Unternehmen, die ihre IT-Systeme testen lassen wollen. Capital sprach mit Moss am Rande der Munich Cyber Security Conference in München.



Capital: Hat sich am Umgang mit Sicherheit im Internet etwas geändert?

Jeff Moss: Nein, nichts. Wir stellen immer noch genau die gleichen Fragen. Der einzige Unterschied besteht darin, dass diese Fragen jetzt auf einer etwas höheren politischen Ebene gestellt werden. Auch ich sage eigentlich seit Jahrzehnten die gleichen Dinge.

Warum?

Es ist ein bisschen wie bei Autos. Die Mechaniker sind halt immer noch die selben. Die Dinge haben sich beschleunigt, sie werden komplexer, aber im Grunde haben wir immer noch die gleichen Probleme.

Aber werden diese Probleme nicht größer?

Früher stand nicht so viel auf dem Spiel. Es ging noch nicht um Bankkonten oder komplette Pensionsfonds, die angegriffen werden konnten. Heute aber geht es um ungeheure Werte. Um Lebensgefahren, wenn man an Autos denkt. Um persönliche Daten. Die größte Gefahr liegt meiner Ansicht nach übrigens gar nicht im Diebstahl von Informationen, sondern darin, dass Informationen manipuliert werden. Geänderte Gesundheitsdaten, Daten zur Kreditwürdigkeit einzelner oder ähnliches. Und das passiert schon. Oft, ohne dass es die Leute merken.

Reagieren die Regierungen denn auf diese Gefahren?

Einige unserer Führungskräfte verstehen allmählich, was passiert. Die Antworten auf die Probleme sind immer noch ziemlich vermurkst. Aber an der Grundhaltung ändert sich etwas. Früher hörte man oft: Wir werden all unsere Systeme schützen. Heute heißt es: Wir können nicht alles schützen, was also können wir tun? Das ist ein Fortschritt.

Das heißt, man muss sich entscheiden, was wirklich geschützt werden muss?

Ja. Das gilt übrigens auch für Unternehmen. Es lässt sich nicht jeder Hackerangriff verhindern. Was man verhindern kann, ist, dass diese Angriffe alles lahm legen.

Was wäre das wichtigste, das Regierungen tun könnten, um das Netz sicherer zu machen?

Es gibt ein paar Dinge, die wirklich etwas ändern würden. Zum einen geht es um juristische Verantwortung für die Anbieter von Geräten oder Plattformen. Das muss kommen. Die Software-Industrie ist die einzige Branche der Welt, die sich um Verantwortung bisher keine Gedanken machen muss. Außer Religionsgemeinschaften vielleicht. Im Grunde ist die Verantwortung bisher auf den Preis der Software beschränkt, die ein Kunde erwirbt. Ein paar Hundert Dollar. Und das wird sich ändern.

Warum sind sie da so sicher?

Erstens: Heute ist jedes Ding ein Computer. Autos, Flugzeuge und alles andere sind Rechenzentren – und die müssen schon die Konsequenzen ihrer Operationen tragen. Warum also sollte das bei anderen Datenzentren nicht auch gelten?

„Beim ersten Hausbrand durch einen vernetzten Toaster wird es Klagen geben“

Also wird es neue Gesetze geben?

Es ist doch klar, was passiert: Sobald ein vernetzter Toaster zu einem Hausbrand führt, wird es Zivilklagen gegen den Verkäufer geben. Und wenn genug solcher Zivilklagen zusammen kommen, dann wird das Recht verändert. Und dann werden Forderungen aufkommen, dass die Regierung etwas tun muss. Wichtig ist aber auch etwas anderes: Es gibt etwa 20 Unternehmen, die wirklich etwas ändern würden, wenn sie ihre Anlagen und Geräte sicherer machten. Dazu gehören die großen Anbieter von Netzinfrastruktur. Cisco, Apple, Microsoft, Belkin und andere. Wenn sich dort etwas ändert, wird das allen helfen. Bei Microsoft hat es da übrigens schon eine sehr positive Entwicklung gegeben.

Es wird damit auch deutlich teurer für die Hersteller dieser Geräte.

Oh ja, das wird eine große Belastung werden. Wir wissen nur noch nicht, wie groß.

War nicht die Freiheit der IT-Industrie von Verantwortung auch ein Treiber der Digitalisierung, weil sie den Fortschritt beschleunigt hat?

Das kann man so sehen. Natürlich hat das dazu beigetragen, dass die Vorteile sehr rasch genutzt werden konnten. Aber jetzt wird dieses System untergraben. Dieses Modell kann nicht weiter bestehen, weil es mittlerweile um so viel geht. Wir sind immer noch in der Säuglingsphase, was Software angeht. Aber wir werden für die nächsten 1000 Jahre mit ihr zu tun haben.

Ist es nicht schon zu spät? Es sind schon Millionen von Internet-fähigen Geräten im Einsatz, die fast gar nicht geschützt sind. Im so genannten Internet der Dinge.

Zumindest wird es Jahrzehnte brauchen, bis wir diese Sicherheitslücken gestopft haben. Die Kosten, diese Geräte sicher zu machen, sind oft größer als der ursprüngliche Kaufpreis. Das ist Irrsinn. Bevor Medikamente auf den Markt kommen, müssen sie aufwändige Prüfungen durchlaufen. Aber internetfähige Geräte, die eventuell Kraftwerke lahmlegen können, werden einfach so auf den Markt geworfen. Bei vielen Herstellern ist die Grundeinstellung ab Werk die unsicherste, und der Kunde muss das aktiv ändern. Es müsste genau umgekehrt sein.

Weisen Sie die Hersteller darauf hin?

Ich habe neulich einen Anbieter genau dazu aufgefordert. Und wissen Sie, was er antwortete? „Die Kunden haben nicht danach gefragt.“ Das ist absurd. Meine Mutter musste auch nicht auf den Gedanken kommen, dass ein Auto vielleicht einen Airbag brauchen könnte, sondern die Hersteller haben ihn entwickelt. Nur im IT-Geschäft verkaufen die Firmen Produkte, die nicht einmal die Mindestanforderungen an Sicherheit erfüllen.

Ist es in einer solchen Lage nicht sehr riskant, selbst fahrende Autos zu entwickeln – die in hohem Maße auf Vernetzung angewiesen sind?

Das stimmt schon. Ich will hier nicht den Teufel an die Wand malen. Aber stellen wir uns vor, was ein Terrorist mit selbst fahrenden Autos anrichten könnte. Er könnte eine autonome Autobombe entwickeln und müsste sich nicht mehr selbst opfern. Er könnte nicht nur eines, sondern 50 Autos schicken. Was wird passieren, wenn auch nur ein Anschlag mit einem autonom fahrenden Auto verübt wird? Ich glaube, es reicht ein Fall, und die Sache ist beendet.

Werden lernende Maschinen und automatisierte Systeme die Sache noch schlimmer machen?

Das wissen wir noch nicht. Auf jeden Fall machen sie alles noch komplexer. Vor zwei Jahren fand in den USA die Darpa Cyber Grand Challenge statt, in der mehrere Teams automatisierte Programme zur Cyberabwehr programmiert haben. In Russland wurde das als Versuch gesehen, eine neue Art strategischer Waffen zu entwickeln, mit denen die USA den Cyberspace dominieren könnten. Darum ging es überhaupt nicht, aber so ist ihre Sicht auf künstliche Intelligenz. Und dieses Denken findet man oft.

Das allgemeine Misstrauen rührt ja auch daher, dass es im Cyberspace durchaus schon staatlich gestützte Angriffe gegeben hat. Welchen Anteil haben staatliche Akteure an der Unsicherheit im Netz?

Die Regierungen machen mir gar nicht so große Sorgen. Was zum Beispiel passiert zwischen China und den USA? Naja, man will wissen, wie die anderen denken und welche Pläne sie verfolgen. Es geht also vor allem darum, Informationen zu sammeln. Das ist nichts anderes als traditionelle Spionage. Problematisch wird es beim Militär: Da werden Programme installiert, die auch zu einem richtigen Cyberangriff genutzt werden können. Bösartige Software. Zum Beispiel in einem Kraftwerk. Und das ist wirklich gefährlich, das ist ein Schritt in Richtung Krieg.

Wozu kann das führen?

Es gibt ein sehr spezifisches Problem. Nehmen wir an, eine Regierung findet heraus, dass in den Kraftwerken ihres Landes bösartige Software installiert wurde. Wenn der Angreifer merkt, dass er erwischt wurde, gerät er in eine seltsame Situation: Entweder er lässt sein Schadprogramm sofort loslegen, oder er wird damit nichts mehr anfangen können. Und oft kosten diese Programme ja Dutzende Millionen Dollar, und es braucht Jahre, um sie zu entwickeln. Es gibt also einen Anreiz sie einzusetzen, bevor sie wertlos werden. Es kommt damit zu ganz neuartigen Dilemmata, mit denen wir früher nicht zu tun hatten.

„Es gab einen Angriff auf unsere Demokratie“

Im Zusammenhang mit der US-Präsidentenwahl 2016 wird oft von Cyberattacken gesprochen. Gab es damals ein Problem mit Computer-Sicherheit?

Es gab einen Angriff in den sozialen Netzen, wenn man so will. Einen Angriff, der zum Ziel hatte, dass die Menschen die Regierung in Frage stellen, die Institutionen, letztendlich die Demokratie. Ziel war auch, Zwietracht zu sähen. Da waren Techniken am Werk, die aufgrund ihres schieren Ausmaßes schon den Charakter einer Cyberattacke, einer Informationsattacke hatten. Es ging um Systeme, die eigentlich für Werbetreibende entwickelt worden waren, und sie wurden sehr erfolgreich umfunktioniert. Gegen die Bevölkerung.

Weiß die Politik, wie sie mit solchen Angriffen umgehen muss?

Bisher noch nicht. Im Kalten Krieg gab es Verfahren. Wir hatten alte Flugplätze, auf denen wir Spione mit unseren Gegnern ausgetauscht haben. Im Cyberspace gibt es solche Regeln noch nicht.