Text: Thomas Angeli und Lukas Lippert
Illustrationen: Anne Seeger und Andrea Klaiber
In Burgdorf steckt die Zukunft in einem Unterflurcontainer. Ein winziger Sensor misst, wie hoch sich der Abfall unter der Erde türmt. «126 Zentimeter, 41 Prozent voll, nächste Leerung in 6,5 Tagen.» Andreas Rössler liest die Zahlen hörbar zufrieden vom Bildschirm ab. Er ist seit einem Jahr Digital Officer der Stadt, hat eine Digitalstrategie erstellt und ausprobiert, wie sich das Leben vereinfachen und Geld sparen lässt – dank dem Internet of Things, dem Internet der Dinge, kurz IoT genannt.
Der sensorüberwachte Unterflurcontainer im Finkhubelquartier ist eins der Pilotprojekte. «Wir sehen nun, wann sich die Leerung lohnt, und können die Tour der Kehrichtabfuhr entsprechend anpassen», sagt Rössler. «Das spart Geld und schont die Umwelt.» Rössler probierte noch mehr aus: An der Tür eines öffentlichen WCs etwa misst ein Sensor, wie oft diese geöffnet wird – nach einer bestimmten Zahl soll in Zukunft die Putzequipe losziehen.
Mit blossem Auge sind die Sensoren kaum zu erkennen, wie viele IoT-Geräte. Klein, meist lautlos und praktisch unbemerkt dringen sie immer tiefer in unseren Alltag ein. Ob Müllsensoren wie in Burgdorf, Überwachungskameras, ferngesteuerte Heizungen oder Fitnesstracker: Bis in zwei Jahren werden knapp 15 Milliarden «Dinge» eine IP-Adresse besitzen und damit via Internet miteinander kommunizieren können, besagt eine Studie des amerikanischen Telekomriesen Cisco. 15 Milliarden «Things» – das ist rund die Hälfte aller ans Internet angeschlossenen Geräte. Zum Vergleich: Die Anzahl Smartphones wird gemäss Cisco-Schätzung 2023 weltweit bei 6,7 Milliarden liegen.
Den Start machten faule Studenten
Das erste IoT-Gerät der Welt entstand der Legende nach zu Beginn der Achtzigerjahre an der Universität von Pittsburgh. Vier Informatikstudenten überwachten mit einem simplen Sensor die Leuchtdioden an einem Cola-Automaten, die aufleuchteten, wenn er leer war. Diesen Sensor verkabelten sie mit dem Hauptcomputer ihrer Fakultät. Von da an konnten sie mit ein paar Klicks feststellen, ob sich der Gang zum Automaten lohnte oder nicht.
Die Vernetzung von Geräten, die damals aus reiner Bequemlichkeit ihren Anfang nahm, hat mittlerweile fast alle Lebensbereiche erfasst. Auch solche, die man nicht erwarten würde.
Fische mit Chips im Bauch
In verschiedenen Schweizer Gewässern etwa schwimmen Fische, die einen sogenannten Pit-Tag in der Bauchhöhle tragen, einen reiskorngrossen, passiven Transponder. Im Kanton Bern sind bei den Wasserkraftwerken Hagneck und Bannwil Antennen montiert, mit denen die gechippten Fische registriert werden. Die IoT-Anlage liefert wichtige Erkenntnisse zu den neu eingebauten Fischtreppen: Dank der Pit-Tags erkennen die Fachleute beim kantonalen Fischereiinspektorat, ob die Aufstiegshilfen so gebaut sind, dass die Fische auch tatsächlich durchschwimmen können.
Abfallcontainer, WCs, Fische: Das Internet der Dinge hilft in vielen Bereichen, das Leben einfacher und übersichtlicher zu machen. Doch die immer stärkere Vernetzung der Welt hat auch ihre dunklen Seiten. Sie stellen die Vorteile immer mehr in den Schatten.
Eine Bitcoin-Erpressung
Stefan Rathgeb hat das erlebt. Wegen einer Sicherheitslücke bei einem IoT-Gerät hat er fast seine digitalen Erinnerungsstücke der letzten 20 Jahre verloren. Eigentlich heisst Rathgeb anders. Er möchte aber lieber nicht bekannt werden mit dieser Geschichte.
Er weiss noch, wie ihn seine Frau bat, die Lüftung zu kontrollieren, da sei so ein lautes Geräusch. Es war aber nicht die Lüftung. Das laute Rattern kam eindeutig vom Ventilator, der Rathgebs Netzwerkspeicher kühlt. Auf dem Gerät hat Rathgeb sämtliche Ferienfotos, sein Hochzeitsvideo und die Musiksammlung eines halben Lebens gespeichert.
Rathgeb war durch das Geräusch jedoch nicht sonderlich beunruhigt – und fuhr für zwei Wochen in sein Ferienhaus im bündnerischen Prättigau.
Als er zurückkehrte, waren sämtliche Dateien auf dem Netzwerkspeicher verschlüsselt und mit einer Notiz versehen. Gegen Bezahlung von umgerechnet 1000 Franken in der Kryptowährung Bitcoin könne er seine Festplatte wieder entschlüsseln. Rathgeb zahlte das Lösegeld – und konnte wieder auf seine Dateien zugreifen. Ihm blieb der schwache Trost, dass er nicht das einzige Opfer der unbekannten Hacker war: Allein in der Schweiz sind 51 weitere Angriffe auf einen privaten Netzwerkspeicher der taiwanischen Firma Qnap bekannt, weltweit sollen es mindestens 500 Geräte gewesen sein.
Das nationale Zentrum für Cybersicherheit (NCSC) rät dringend von der Zahlung eines Lösegelds ab. «Solange Lösegelder gezahlt werden, werden die Angriffe nicht aufhören», schreibt das NCSC auf Anfrage. Auch bei Stefan Rathgeb gab es weitere Angriffsversuche.
Erschreckend leichtes Spiel
Gerade bei IoT-Geräten haben Angreifer oftmals erschreckend leichtes Spiel. Die Chips, über die der Datenverkehr läuft, sind in vielen Fällen einfach gebaute IT-Komponenten. Sie müssen billig sein und dürfen nur wenig Strom verbrauchen. Die Konsequenz: Die Chips sind – wenn überhaupt – nur mit Standardpasswörtern gesichert und lassen sich oftmals nicht updaten. Eine Sicherheitslücke bleibt darum häufig bestehen, selbst wenn sie von Hackern entdeckt wurde. Zudem: Geräte mit simpel gebauten Chips funktionieren oftmals nicht mit den neusten Betriebssystemen – ein Umstand, der beinahe der Gemeinde Vilters-Wangs SG zum Verhängnis geworden wäre.
Das 5000-Seelen-Dorf zwischen Sargans und Bad Ragaz ist wie viele Gemeinden daran, seine Stromzähler zu digitalisieren. Diese sogenannten Smart Meter müssen nicht mehr abgelesen werden, sondern übermitteln die Daten zum Stromverbrauch selbstständig an das Elektrizitätswerk, das wiederum automatisch eine Rechnung generiert. Zudem, so die Idee, sollen damit intelligente Stromnetze (Smart Grids) möglich werden, die den Strom nach Bedarf verteilen. Der Smart Meter ist die Voraussetzung dafür. Er misst den verbrauchten Strom in Echtzeit.
Im November 2018 wurde dem Gemeinderat von Vilters-Wangs allerdings die Kehrseite der neuen Technologie bewusst. Er hatte eine IT-Sicherheitsfirma damit beauftragt, nach Schwachstellen zu suchen – und sie wurde fündig.
«Ich gehe davon aus, dass ein Blackout möglich gewesen wäre – im schlimmsten Fall», sagt Alexander Hermann, Geschäftsführer der Firma Redguard, die den Testangriff durchgeführt hat. Das Elektrizitätswerk von Vilters-Wangs arbeitete mit Windows-XP-Computern, für die es seit 2014 keine Updates mehr gibt. Ein einfacher Klick einer Mitarbeiterin auf eine betrügerische E-Mail hätte genügt, und die Angreifer hätten sich quasi in der Steuerungszentrale des Elektrizitätswerks auf den Bürostuhl setzen und nach Belieben das Stromnetz manipulieren können. «Viele Systeme im Netzwerk waren aufgrund von schwachen Passwörtern und bekannten Schwachstellen nur ungenügend gegen Cyberangriffe geschützt», sagt der IT-Spezialist.
Vilters-Wangs ist kein Einzelfall (siehe BT vom Donnerstag). «Vielen Gemeinden ist nicht bewusst, dass es solche Einfallstore gibt», sagt IT-Experte Hermann. Dass Vilters-Wangs die Sicherheitslücken entdeckt hat und diese publik macht, ist die löbliche Ausnahme.
Stromnetze gehören zu den kritischen Infrastrukturanlagen – und damit zu den interessanten Zielen für Hacker. Ebenso gern greifen sie Banken an, auch über IoT-Geräte. Das erlebte kürzlich der amerikanische Internetanbieter Cloudflare. An einem nicht näher spezifizierten Tag im vergangenen Sommer registrierte das firmeneigene Abwehrsystem urplötzlich 17,2 Millionen Anfragen auf den Server einer einzigen Bank. Pro Sekunde. Für die Verantwortlichen war sofort klar: Hier handelte es sich um eine sogenannte DDoS-Attacke, mit der die Server des Finanzinstituts lahmgelegt werden sollten.
Die Angreifer nutzten dazu ein Botnet, also einen Zusammenschluss von 20000 bis 30000 ungeschützten IoT-Geräten, die sie zuvor mit einem Virus namens Mirai unter ihre Kontrolle gebracht hatten. Mirai zielt vor allem auf private Geräte wie etwa Überwachungskameras oder Steuerungen von vernetzten Haushalten. Wenn das Gerät einmal infiziert ist, kann es mit Tausenden anderen befallenen Geräten zu einem Netz zusammengeschaltet und für Angriffe genutzt werden.
Unsichere Herzschrittmacher
Gefahren durch IoT-Geräte gibt es auch im Gesundheitsbereich. Das deutsche Bundesamt für Sicherheit in der Informationstechnik untersuchte 2020, ob und wie sich vernetzte Medizinalprodukte wie Insulinpumpen, Herzschrittmacher oder Beatmungsgeräte über Internetschnittstellen manipulieren lassen. Das Fazit: Die insgesamt elf getesteten Geräte wiesen mehr als 150 Schwachstellen auf. Dabei stellten die Forschenden fest, dass das Problem oftmals nicht bei den Geräten selber lag, sondern bei den Begleitgeräten, zum Beispiel bei den Ladestationen für Infusionspumpen.
Auch bei einer Insulinpumpe der Burgdorfer Medizinalfirma Ypsomed fanden die Forschenden Mängel bei Datenschnittstellen und bei der Datenübertragung. «Die verwendete Software und Komponenten von Drittanbietern sind teilweise veraltet und enthalten öffentlich bekannte Schwachstellen», heisst es im Bericht weiter.
Ypsomed-Sprecher Thomas Kutt will das Ganze relativiert haben. «Die genannten Schwachstellen waren nicht kritisch und konnten nicht ausgenutzt werden», erklärt er. Selbstverständlich habe man diese «zeitnah behoben» und die kritisierten Komponenten ersetzt.
«Wie bei einem Atomkraftwerk»
Fachleute warnen schon länger vor solchen Gefahren unserer vernetzten Welt. «Ich will keine Schwarzmalerei betreiben, aber die Verletzlichkeit der globalen digitalen Infrastruktur ist sehr hoch – und die Bedrohung nimmt enorm zu», sagt Ueli Maurer, Informatikprofessor an der ETH Zürich.
Um das Ausmass der Bedrohung zu illustrieren, scheut er keine dramatischen Worte: Die «digitale Krise» sei in ihren Dimensionen durchaus mit der Klimakrise vergleichbar. Es sei wie bei einem Atomkraftwerk, dessen Nutzen und Funktionalität es ist, Strom zu liefern, das aber gleichzeitig höchste Sicherheitsanforderungen erfüllen muss. Auch in der digitalen Welt müssten Nutzen und Funktionalität sorgfältig mit Sicherheitsrisiken abgewogen werden. Aber das werde zu wenig gemacht, sagt Maurer. «Wir sind sehr naiv unterwegs. Wir haben einen Geist aus der Flasche gelassen, den wir noch nicht beherrschen.»
Und dieser naive Umgang mit der Technik zeigt sich deutlich, wenn es um die Privatsphäre geht. Etwa in Lausanne an einem Vormittag Ende August. In einer Bar im Flon-Quartier bereiten Angestellte die Türöffnung vor. Ein Angestellter schleppt eine Kiste mit Material an, einer tippt auf der Kasse herum, erste Gäste setzen sich auf die Terrasse. Zu beobachten ist das alles über eine leicht auffindbare Website, die die Bilder von ungesicherten Überwachungskameras aus der ganzen Welt überträgt. Ob eine Baustelle in Wilhelmshaven, ein Arbeitszimmer in Cupertino oder ein Swimmingpool in Sotschi: Personen und Details sind auf den Bildern mehrerer Tausend Kameras deutlich zu erkennen, und die Aufgenommenen haben offensichtlich keine Ahnung, dass sie gefilmt werden.
Die Kameras seien nicht gehackt, betont der namenlose Betreiber der Website: «Alle aufgeführten Kameras haben keinen Passwortschutz.»
Der Betreiber der Bar ist leicht konsterniert, als ihn der Beobachter darauf anspricht. Die Kameras würden sofort gesichert, verspricht er.
Ungesicherte, öffentlich einsehbare Kameras sind nur eine von vielen Gefahren, die IoT-Anwendungen für unsere Privatsphäre bringen. Auch in den eigenen vier Wänden. Unter dem Modebegriff «Smarthome» explodieren seit einigen Jahren die Angebote für vernetzte Geräte im Haushalt geradezu: Lampen, Sonnenstoren, Kaffeemaschinen, Stereoanlagen, Garagentore, Heizungen – alles lässt sich heute via Internet steuern.
Verfolgt auf Schritt und Tritt
Auch die «Sharing Economy» beruht auf vernetzten Geräten: Per App ausleihbare Velos oder Trottis etwa wären ohne IoT nicht denkbar. Bloss: Was die Geräte aufzeichnen und welche Daten sie an Hersteller oder gar an Dritte senden, lässt sich oft nur mit sehr viel Aufwand herausfinden – wenn überhaupt.
Etwas erahnen lässt sich das Ausmass des Datensammelns am Beispiel von Lime. Der E-Trotti-Anbieter möchte wie auch seine Konkurrenten Tier oder Voi praktisch alles über seine Kundinnen und Kunden erfahren. Neben den beinahe schon üblichen Profildaten wie Handynummer, Geburtsdatum und Kreditkarteninformationen sammelt die Firma auch noch Handy-Standortdaten, Fotos und Videos während der Fahrt, zuletzt besuchte Internetseiten und die Facebook-Freundesliste. Nur mit diesen Daten könnten ihre Dienste bereitgestellt, Fahrzeuge nachverfolgt und gewartet und Werbung personalisiert werden, schreibt Lime in den Datenschutzerklärungen. Als Kunde bleibt einem nur, diese Bedingungen zu akzeptieren oder zu Fuss zum nächsten Bahnhof zu gehen.
Datensicherheit und Schutz der Privatsphäre müssten angesichts von Milliarden im Einsatz stehenden Geräten eigentlich eine Selbstverständlichkeit sein. Doch das Thema hat bei den Behörden bislang wenig Priorität. Das nationale Zentrum für Cybersicherheit (NCSC) schreibt, es erhebe keine Zahlen zu IoT-Angriffen und befasse sich auch nicht mit deren Rückverfolgung.
Auch die Politik tut sich schwer mit dem Konzept «Privacy and Security by Default», also mit dem standardmässigen Schutz vor Attacken und vor Verletzungen der Privatsphäre.
Auf ein entsprechendes Postulat des grünen Zürcher Nationalrats Balthasar Glättli hin liess der Bundesrat einen Bericht ausarbeiten. Das Fazit ist ernüchternd: In Zukunft ist vermehrt mit Cyberattacken über IoT-Geräte zu rechnen. Einen international anerkannten Standard für die Sicherheit von IoT-Geräten gibt es jedoch nicht, und dem Bund eilt es auch nicht, einen solchen einzuführen. Es sei «im Handlungsfeld ‹Standardisierung und Regulierung› sektoriell zu prüfen, inwiefern Lösungsansätze wirtschaftsfreundlich zu realisieren sind». Sprich: Vom Bund ist nichts zu erwarten.
Grünen-Präsident Glättli versteht das nicht. «Bei Elektrogeräten gibt es das CE-Zeichen, das für die Sicherheit garantiert. Warum kann man einen solchen Standard nicht auch für IoT-Geräte einführen?» Angesichts der riesigen Zahl solcher Geräte sei das unumgänglich, findet Glättli. «Wenn es international nicht möglich ist, muss halt die Schweiz Standards setzen.»
Etwas Bewegung gibt es im Kanton Zug. Dort beantragt der Regierungsrat einen Kredit über rund 7,5 Millionen Franken zur Schaffung eines nationalen Testinstituts für Cybersicherheit. «Wir wollen eine Behörde werden, die beurteilt, wie sicher oder unsicher digitale Geräte sind, und damit einen neuen Sicherheitsstandard etablieren», sagt Raphael Reischuk, einer der Köpfe hinter dem neuen Testzentrum. IoT-Geräte seien in dieser Hinsicht besonders wichtig, da sie in grossen Stückzahlen vorhanden sind und eine Bedrohung für unsere vernetzte Gesellschaft darstellen.
Das Personal fehlt
Aber auch im Kanton Zug braucht ein solches Projekt etwas Zeit. Es fehle das Fachpersonal, sagt Reischuk. Er hofft, in drei bis vier Jahren eine schlagkräftige Behörde aufbauen zu können, die den Gefahren der Cyberwelt entgegentreten kann.
An Lösungen arbeitet auch die Informatikprofessorin Angela Nicoara, die am Bericht des Bundes mitgearbeitet hat. Sie forscht und lehrt an der Hochschule Luzern. Ihr Ansatz lässt sich unter dem Stichwort «Security by Default» zusammenfassen: IoT-Systeme sollen bereits bei der Herstellung zwingend über minimale Sicherheitsmechanismen verfügen müssen. Es sei zudem wichtig, dass nicht nur das IoT-Gerät selbst, sondern die ganze Infrastruktur bis hin zum Cloud-Backend durchgängig gesichert ist.
Konkret forscht sie daran, wie IoT-Systeme verschlüsselt miteinander kommunizieren können – etwas, was bei vielen Smartphones bereits Standard ist. Damit soll verhindert werden, dass bei einem Angriff sämtliche Informationen mitgelesen werden können. Trotz allen Problemen ist Nicoara optimistisch, was die Zukunft betrifft. «Wir können das Internet der Dinge sicher machen. Nur so wird die Bevölkerung die Technologie auch akzeptieren.»
Derweil dürften in Vilters-Wangs die Einwohnerinnen und Einwohner wieder etwas ruhiger schlafen können. Die Gemeinde hat die veralteten Computer ersetzt, die Passwörter geändert, die Mitarbeitenden geschult und die Smart Meter voneinander abgeschottet. Nach dem Gespräch mit dem Beobachter soll die IT-Infrastruktur in den nächsten Jahren zudem erneut einem Test unterzogen werden. Auch Stefan Rathgeb hat nach dem überstandenen Ransomware-Angriff seine Lehren gezogen. Seine Daten hat er unterdessen auf einer Festplatte gesichert, die nicht mit dem Internet verbunden ist.
Nur im Stadtzentrum von Lausanne übertragen drei Kameras weiterhin alle zwei Sekunden ein Bild aus einer gut besuchten Bar.
Info: Dieser Artikel stammt aus dem «Beobachter» 20/21.
*****************************************
Internet der Dinge
Internet der Dinge heisst: Geräte oder Dinge mit eingebetteter Computerintelligenz sind mit dem Internet verbunden und kommunizieren so miteinander. Ausgenommen sind Multifunktionsgeräte wie Smartphones oder Computer. IoT-Geräte (Internet of Things) sammeln Daten und übertragen sie an Cloud-Systeme. Auch die dazu benötigte Infrastruktur wird zum IoT gezählt. 10,6 Milliarden IoT-Geräte sind aktuell weltweit in Betrieb. In zwei Jahren werden es mindestens 50 Prozent mehr sein – und somit die Hälfte aller mit dem Internet verbundenen Geräte. ta/ll
*****************************************
So geht Sicherheit im Smarthome
Internetrouter, ferngesteuerte Heizung, Smart-TV oder via App aktivierter Staubsauger: Mit dem Internet verbundene Geräte sind ein mögliches Einfallstor für Hacker. Wenn ein Gerät einmal geknackt ist, haben die Angreifer unter Umständen Zugriff auf das gesamte Netzwerk und damit selbst auf die privaten Computer.
Mit einigen Tricks lassen sich die vernetzten Geräte aber zumindest sicherer machen. Fachwissen ist dazu nur selten nötig. Meist helfen Gebrauchsanleitungen und Tutorial-Videos weiter.
- Fragen Sie sich beim Kauf eines Geräts, ob Sie tatsächlich ein Modell brauchen, das mit dem Internet verbunden ist. Kaffeemaschinen, Kühlschränke und Drucker funktionieren auch ohne – und sind damit sicherer.
- Wenn es nicht ohne Internetanschluss geht, fragen Sie, ob das Gerät update-fähig ist und welche Sicherheitsvorkehrungen es mitbringt (Passwörter, Verschlüsselung und Ähnliches).
- Wechseln Sie sofort nach der Installation das Passwort Ihres Internetrouters. Es sollte mindestens zwölf Stellen, Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
- Richten Sie für Besucherinnen und Besucher ein Gäste-WLAN ein.
- Nutzen Sie keine öffentlichen WLANs, wenn Sie aus der Ferne auf Ihre Heimgeräte zugreifen.
- Registrieren Sie Ihre IoT-Geräte beim Hersteller, um regelmässige Software-Updates zu erhalten. Falls nicht möglich: Suchen Sie selbst regelmässig nach aktueller Software und installieren Sie sie.
- Nicht benutzte Geräte verbrauchen Strom – und sind eine potenzielle Schwachstelle. Schalten Sie sie aus. ta/ll
*****************************************
Digitale Selbstverteidigung
Alles, was wir im Internet tun, hinterlässt Daten, die erfasst und ausgewertet werden – von Werbefirmen, Sozialen Medien, Geheimdiensten und Suchmaschinen. Daraus lässt sich ein äusserst detailliertes Profil über unsere Vorlieben, Neigungen und Interessen ableiten.
Selbst sehr persönliche und schützenswerte Informationen wie unsere politische Gesinnung, die psychische Verfassung oder die finanzielle Situation lassen sich aus unserem Online-Verhalten eruieren. Die Datenkraken wissen zuweilen mehr über uns als wir selbst. Wer diese Daten genau verwendet – und vor allem wofür –, weiss niemand. Dienen sie lediglich dazu, die Website für Kundinnen und Kunden zu optimieren? Oder werden sie gegen uns eingesetzt, um uns zu manipulieren? Der beste Schutz gegen diese Überwachungsmaschinerie ist, möglichst wenig Daten zu hinterlassen. Massnahmen, die unseren digitalen Fussabdruck minimieren, sollten deshalb zur Alltagsroutine gehören. In einem Dossier sammelt der «Beobachter» laufend Tipps und Tricks zur digitalen Selbstverteidigung. In einem Tutorial erfahren Sie, wie sicher Ihre Passwörter sind und ob schon eins geknackt worden ist. ta/ll
