(kunid) Mit der Ausbreitung vernetzter, miteinander kommunizierender Geräte, tun sich neue Risikofelder auf, warnt Ziviltechniker Peter Mandl. Auch in größerem Maßstab bestehen Risiken, etwa durch Cyberattacken auf Industrie und Infrastruktur. Mandl kann sich vorstellen, dass künftig ein „IT-Pickerl“ für mehr Cybersicherheit sorgt.

Bereits 50 Milliarden sogenannte IoT-Geräte sind weltweit im Einsatz. IoT steht für Internet of Things, also: Internet der Dinge:

Diese Geräte verfügen über Internetzugang und können auch mit anderen Geräten kommunizieren, erklärt Peter Mandl, gerichtlich zertifizierter Sachverständiger und Ziviltechniker für Telematik.

Breites Angriffsfeld für Cybercrime

So sehr dieses Internet der Dinge Komfort schaffen und neue Anwendungen ermöglichen kann, so sehr birgt es auch Risiken: Wenn Fitness-Uhr und Smart-TV, Jalousien- und Heizungssteuerung, Autos und Industrieanlagen „online“ sind, eröffnen sich dadurch neue Angriffspunkte.

Dazu zitiert Mandl einen Bericht des Weltwirtschaftsforums von 2020, wonach Cyberkriminalität „eine der größten Bedrohungen der internationalen Stabilität in den 2020er-Jahren“ ist und wo von jährlichen Schäden in Höhe von geschätzt 600 Milliarden US-Dollar die Rede ist.

Bemerkenswert: Die jüngste polizeiliche Kriminalstatistik zeigt für 2021 eine Zunahme der Anzahl der Cybercrime-Anzeigen rund um Hacking, Datenbeschädigung oder -fälschung und Datenverarbeitungsmissbrauch um ein Fünftel gegenüber 2020.

Einfallstore – besonders auch im Homeoffice

Oft erfolgen drahtlose Datenübertragung unverschlüsselt und damit für Dritte einsehbar. Oft fehlt es an Passwörtern oder sie sind nicht sehr komplex. Oft ist Firmware – also die auf den Geräten installierte Betriebssoftware – veraltet oder mangelhaft.

Werden Systeme „gehackt“, so können Informationen entwendet oder Schadsoftware eingeschleust werden.

Der „aktuelle Trend“ ist „automatisiertes Hacken“ mit Hilfe von Bot-Netzwerken und künstlicher Intelligenz (KI).

Das Problem für eine Quantifizierung ist, dass Vorfälle bei Privatleuten im Gegensatz zu solchen in Unternehmen in der Regel eher nicht in die Medien kommen, weswegen man von einer relativ hohen Dunkelzahl ausgehen muss.

Prävention

Wenn möglich, sollten Geräte verwendet werden, die zertifiziert sind und von seriöser Quelle kommen.

Wenn es keine Updates mehr gibt, wird man ein Gerät wohl oder übel ausscheiden müssen, um das Risiko gering zu halten.

Weitere vorbeugende Maßnahmen sind: die Verwendung sicherer Passwörter und deren wiederkehrende Änderung, regelmäßige Datensicherungen, in Unternehmen auch regelmäßige Sicherheitsaudits, Eingabe bzw. Bekanntgabe möglichst weniger persönlicher Daten, nach Möglichkeit Trennung von IoT-Geräten von anderen produktiven Netzen.

Erkennen eines Hackerangriffs

„In der Regel merken Sie gar nichts“, so Mandl. Zunächst kann es eventuell indirekte Anzeichen dafür geben: atypisches Verhalten wie etwa eine Verlangsamung des Systems, ungewohntes Verhalten usw. Anders im Falle von Ransomware, hier werden die Opfer erpresst.

Was im Fall eines Angriffs tun? Geräte sollten unverzüglich vom Internet bzw. von produktiven Netzen getrennt und IT-Fachleute konsultiert werden.

Mit Experten kann bei entsprechender Verdachtslage festgestellt werden, ob und in welcher Höhe Schaden entstanden ist, und die Spurennachverfolgung aufgenommen werden.

Ausblick: neue Arten und Methoden von Cybercrime

„Wir haben eine sehr große Verbreitung von IoT-Geräten, das wird natürlich auch zu einer starken Zunahme von Cyberkriminalität führen“, lautet Mandls Ausblick.

Angesichts dieser Verbreitung wird es auch „neue Arten und neue Methoden von Cyberkriminalität“ geben. Hier verweist er als Beispiel auf jüngste Cyberangriffe in der Ukraine, die wahrscheinlich von Bot-Netzwerken ausgegangen sind.

Es sind also Cyberattacken möglich, mit denen großflächig wesentliche oder kritische Infrastruktur lahmgelegt werden kann.

Verschärfend: Cyberkriminelle haben eine sehr hohe Anpassungsfähigkeit, auch im Hinblick auf die Verwendung der genannten Technologien wie künstlicher Intelligenz.

Anpassung der Rechtslage, vielleicht auch ein „IT-Pickerl“

Da IT-Systeme mittlerweile breit etabliert sind, können Ausfälle große Schäden verursachen. Der Gesetzgeber wird gefordert sein, entsprechende neue Strafrechtsnormen zu erlassen oder bestehende Normen anzupassen, meint Mandl.

„Denkbar ist auch ein gesetzlicher Mindeststandard an die IT und gegebenenfalls wiederkehrende Prüfungen“, ähnlich wie etwa beim jährlichen Kfz-Pickerl.