«Hacken ist heute nicht mehr allzu schwierig»

ETH-Professor Srdjan Capkun über IT-Sicherheit, Wahlmanipulation und spionierende Apps.

Die Verschränkung der physischen mit der digitalen Welt birgt Gefahren.<br />Foto: William Andrew (Getty Images)

Die Verschränkung der physischen mit der digitalen Welt birgt Gefahren.
Foto: William Andrew (Getty Images)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Sicherheitsprobleme in Computernetzen machen in letzter Zeit immer wieder Schlagzeilen. Machen die Informatiker ihren Job nicht richtig?
Doch. Das Bewusstsein, dass Sicherheit sehr wichtig ist, entstand allerdings erst in den letzten zehn, fünfzehn Jahren. Die jüngere Generation ist sich dessen aber sehr bewusst.

Warum haben dann Attacken wie die Wannacry-Schadsoftware Erfolg?
Wir haben ein Problem mit schlecht gesicherten Geräten, die man auf den ersten Blick nicht als Computer erkennt. Es sind zum Beispiel medizinische Geräte, die auf alten Windows-Versionen laufen.

Warum kann man die nicht updaten?
Das ist nicht so einfach. Das Gerät könnte nach einem Update nicht mehr laufen. Und man müsste es neu zertifizieren, was ein langwieriger Prozess ist.

Trotzdem ist der Schutz gerade im Gesundheitsbereich sehr wichtig.
Auf jeden Fall. Es gibt verschiedene Lösungen: Die Geräte hängen meist nicht direkt am Netz, sondern am Intranet, das einen Zugang ans Netz hat. Wenn man sie nicht updaten kann, muss man im Intranet ein Warnsystem installieren oder eine Art Schutzwall um sie herum bauen. Vergleichen kann man das mit einem kleinen Kind, das müssen Sie auch mit räumlichen Begrenzungen oder ihrer Aufmerksamkeit vor Unfällen schützen.

Nicht nur alte Geräte haben diese Probleme, auch das Internet of Things (IoT), die Vernetzung von Alltagsgegenständen, bringt ähnliche Herausforderungen?
Ja, man sollte bei allen Geräten wissen, was sie können, ob sie am Internet sind, welche Informationen sie weitergeben. Es passiert sehr viel im Hintergrund, ohne dass die User das merken.

Was beispielsweise?
Es gibt Signale im Ultraschallbereich, die Hersteller von Werbeclips über die Lautsprecher ihres Fernsehers senden. Sie hören diese Signale nicht, ihr Handy aber schon. Gewisse Apps horchen auf diese Signale und senden die Informationen an Werbekunden weiter. Die wollen unbedingt wissen, was sie wann anschauen oder wann sie umschalten.

«Es ist wie so oft in der Informatik: Man muss zwischen Funktionalität und Sicherheit abwägen.»

Also sollte man möglichst wenigen Apps Zugang zum Mikrofon geben?
Richtig, doch gibt es auch sinnvolle Anwendungen für Apps, die Zugriff auf ihr Mikrofon verlangen. Es ist wie so oft in der Informatik: Man muss zwischen Funktionalität und Sicherheit abwägen. Es ist eine Kunst, das richtige Gleichgewicht zu finden. Sonst hat man am Schluss eine Anwendung mit hoher Sicherheit, die aber sehr mühsam ist.

Warum gibt es noch immer so viele Datenlecks? Erst letzte Woche wurde bekannt, dass die Daten von 200 Millionen US-Wählern online zugänglich waren.
Das sollte nicht passieren. Im konkreten Fall waren diese Daten öffentlich gespeichert, also für alle Welt zugänglich. In der Informationssicherheit gibt es einen Grundsatz: Man sollte immer nur Zugang zu jenen Informationen haben, die man wirklich braucht, und nicht mehr. Das müsste man viel strikter umsetzen. Und auch die Schulung der Systemadministratoren müsste man in diese Richtung verbessern. Es darf nicht immer nur die Performance im Vordergrund stehen, Sicherheit ist genauso wichtig.

Sie wird beim Design von Systemen noch immer vernachlässigt?
Ja. Viele Leute fragen sich beispielsweise, warum sie sich Gedanken um die IT-Sicherheit ihres Geschirrspülers machen sollen. Weil der vielleicht mit der Zeit immer mehr kann, das aber nicht unbedingt sicher ist. Geräte bekommen Funktionen hinzugefügt, die im Anfangsdesign nicht vorgesehen waren. Und die Hardware kann diese Funktionen vielleicht nicht in sicherem Mass ausführen. Es ist wie bei einer Leiter.

Das müssen Sie erklären.
Ich kaufe eine zwei Meter lange Leiter, um Kirschen zu pflücken. Doch der Baum wächst, die Leiter ist irgendwann zu kurz. Also stelle ich die Leiter auf einen Stuhl, dann den Stuhl auf eine Kiste. In diesem Fall würde ich schon bald auf die Nase fallen, weil das System unsicher ist. Aber natürlich kostet es, wenn ich eine neue, längere Leiter ­kaufen möchte. Ähnlich, nur für uns ­weniger ersichtlich, ist es beim Systemdesign. Weil es kostet, investieren die Hersteller nicht gerne in nachträgliche Sicherheitsmassnahmen.

Macht diese Nachlässigkeit Sie nicht wahnsinnig?
Nein, ich verstehe, wieso es dazu kommt. Für die Hersteller ist es eine ­Risikoabwägung: Wie viel würde sie ein mögliches Gerichtsverfahren kosten? Wie hoch ist das Risiko dafür? Was mir langfristig Sorgen macht, ist die Verschränkung von IT und physischer Welt.

Woran denken Sie?
Ich denke an Autos, Drohnen, Herzschrittmacher, Haushaltsgegenstände. Hacken ist heute nicht mehr allzu schwierig. Man kommt leicht an die nötigen Tools und das Wissen, wenn man danach sucht. Bei Daten ist das Sicherheitsbewusstsein eher da, bei Alltagsgegenständen nicht unbedingt. Schon heute kann man eine Armee von Drohnen übernehmen und sie losschicken, um Fenster zu zertrümmern. Klar, das wäre kriminell, aber viele Menschen sind sich noch nicht bewusst, welche Möglichkeiten gerade für potenziell kriminelle Aktivitäten diese Geräte bieten. Das macht mir Sorgen für die Zukunft. Und noch etwas macht mir Sorgen.

«Wir müssen Technologie bauen, der die Menschen vertrauen.»

Was?
Die gesellschaftlichen Auswirkungen, namentlich die Auswirkungen auf unsere Demokratie. Aus Angst vor Hackern hat Frankreich beispielsweise auf E-Voting verzichtet. Und es gab Berichte, wonach die US-Wahlen von den Russen gehackt wurden. Diese Dinge bedrohen uns auf einer ganz anderen Ebene als ein paar gestohlene Passwörter. Damit müssen wir uns befassen, das elektronische Voting muss sicher sein. Es ist auch eine Frage des Vertrauens. Selbst wenn das System verlässlich ist, die Menschen ihm aber nicht vertrauen, kann das in einem Land zu Chaos führen. Wir müssen Technologie bauen, der die Menschen vertrauen.

Das Gespenst der russischen Hacker bei Wahlen geht seit Monaten um. Können Sie das näher erklären?
Unterscheiden muss man zwischen elektronischen Wahlmaschinen wie in den USA oder E-Voting übers Netz. Es gibt seit Jahren Forschungen, dass es möglich ist, Wahlmaschinen zu hacken. Allerdings haben die Hersteller schon Forscher verklagt, die das publik gemacht haben.

Das hilft der Sache nicht gerade.
Nein, man muss immer aufpassen, was man publiziert. Die Unternehmen reagieren gerne mit Klagen. Wir lassen uns nicht einschüchtern, aber man muss das im Hinterkopf behalten.

Warum sind gerade die russischen Hacker so berüchtigt? Sind sie so besonders gut?
Es gibt grosses Fachwissen in diesem Bereich in Russland.

Und wieso ist Russland so stark?
Einer der Ursprünge dieser Entwicklung liegt in der Geschichte des Landes. ­Vieles war früher nicht erhältlich. Wollte man gewisse Filme oder Programme ­herunterladen, musste man erfinderisch sein. Gleichzeitig waren Mathematik, Ingenieurwesen oder Physik schon in der Sowjetunion und noch heute Fächer, die stark gefördert wurden. Das Know-how ist also da. Auch die wirtschaftliche Situation spielte eine Rolle. Wenn es schwierig wird, Jobs zu finden, sucht man Möglichkeiten das Geld auf kriminellem Weg zu verdienen. Dieses Geschäft floriert auch dank digitaler Währungen, die Zahlung mit einer gewissen Anonymität erlauben. Die Menschen sind kreativ, die Tools sind da, und es wird ­damit gespielt.

Wie sind Sie zur Informationssicherheit gekommen, waren Sie auch ein Hacker?
Meine Doktorarbeit habe ich 1999 noch zu einem anderen Thema geschrieben. Dann habe ich aber gemerkt, dass Sicherheit ein zentrales Thema ist, vielleicht bin ich ein bisschen paranoid – im guten Sinne. Es ist ein sehr neues Gebiet.

Und ein ziemlich wichtiges?
Ja, es fasziniert mich, weil es sehr lebendig ist und entscheidend. Ich bin ursprünglich Ingenieur, also interessiert mich das Systemdesign. Sicherheit zwingt einen, ganz viele mögliche Szenarien durchzudenken.

Macht Sie das nicht paranoid im privaten Gebrauch?
Nicht paranoid, aber ich bin vorsichtig.

Haben Sie IoT-Geräte zu Hause?
Nein, ich habe nur ein Smartphone. Ein bisschen Paranoia hat im Sicherheits­bereich noch niemandem geschadet.

(Tages-Anzeiger)

Erstellt: 25.06.2017, 21:01 Uhr

Srdjan Capkun

Sicherheitsexperte

Der Informatiker Srdjan Capkun (41) ist Professor an der ETH Zürich. Er leitet das Institut für Informationssicherheit und das ETH-Studio in New York.

Cybersecurity

Internationale Tagung in Zürich

Heute findet im Auditorium Maximum an der ETH Zürich der Cyber Risk Summit statt. Von 14.15 Uhr bis 20.30 Uhr diskutieren Experten über die Sicherheit im Cyberspace. Dabei geht es um die Risiken, die Verschränkungen zwischen der physischen und der digitalen Welt mit sich bringen, um Blockchains und ihr Potenzial, um eine neue, sicherere Struktur für das Internet und um Big Data. Redner sind die ETH-Professoren Srdjan Capkun und Adrian Perrig, der Blockchain-Experte Ari Juels (Cornell University) und Ulfar Erlingsson von Google. (abr)

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

Das digitale Monatsabo Light für Leser.

Nutzen Sie den «Bund» digital im Web oder auf dem Smartphone. Für nur CHF 19.- pro Monat.
Jetzt abonnieren!

Kommentare

Abo

Das digitale Monatsabo für Leser.

Nutzen Sie den «Bund» digital ohne Einschränkungen. Für nur CHF 32.- pro Monat.
Jetzt abonnieren!

Die Welt in Bildern

Trigger für Höhenangst: Ein Besucher der Aussichtsplattform des King Power Mahanakhon Gebäudes in Bankok City posiert fürs Familienalbum auf 314 Meter über Boden. (16. November 2018)
(Bild: Narong Sangnak/EPA) Mehr...