Fast jedes smarte Gerät, das man sich heute kaufen kann, scheint Schwachstellen zu haben – vom Router über Babyfon und Thermostat bis zum Garagentoröffnern. Doch nicht nur intelligente Heimelektronik könnte von Hackern angegriffen werden, sondern auch kritische Infrastruktur. Ampelanlagen könnten manipuliert werden, Strahlungssensoren falsche Ergebnisse liefern, selbst Katastrophen sind nicht ausgeschlossen. Was wäre, wenn ein Damm bricht, weil er manipulierte Daten über den Wasserstand erhält? Leider sind solche Szenarien derzeit alles andere als undenkbar.
Ein Team aus Forschern der IBM Spezialeinheit X-Force Red und von Threatcare, einem IT-Sicherheitsunternehmen, hat die Sensor-Hubs von Libelium, Echelon und Battelle untersucht – also die Knotenpunkte, an denen die Daten der Unternehmen zusammenlaufen. Alle drei Firmen verkaufen Systeme für Smart Cities, für intelligente Städte. Sie agieren auf einem boomenden Markt: Die weltweiten Ausgaben, um Städte schlauer zu machen, sollen in diesem Jahr auf rund 81 Milliarden Dollar steigen. Alle drei Unternehmen werden davon profitieren – jeweils in unterschiedlichen Geschäftsfeldern. Echelon, zum Beispiel, ist einer der weltweit führenden Anbieter von intelligenter Straßenbeleuchtung.
Doch obwohl die Firmen unterschiedliche Produkte anbieten, funktionieren ihre Systeme im Grundsatz ganz ähnlich: Mit Hilfe vieler Sensoren und der Verknüpfung ihrer Daten soll eine Stadtverwaltung damit einen viel tieferen Einblick zur Lösung miteinander verbundener Probleme erhalten. Die Sensoren überwachen, zum Beispiel, das Wetter, die Luftqualität, den Verkehr, die Strahlung oder Wasserstände und können die zuständigen Behörden automatisch informieren, egal ob es um den Ausfall der Straßenbeleuchtung geht oder um die Warnung vor einem ernsten Notfall.
Ein Hacker löste in Dallas den Tornado-Alarm aus
Zuletzt haben aber einige Fehlalarme Schlagzeilen gemacht: Im Januar versetzte ein falscher Raketenalarm die Bewohner von Hawaii in Panik. Letztes Jahr löste ein Hacker die Tornado-Sirenen in Dallas aus. Es waren Vorfälle wie diese, die Daniel Crowley von der IBM-Spezialeinheit X-Force Red und Jennifer Savage vom Sicherheitsunternehmen Threatcare dazu inspirierten, die vorhanden Smart-City-Lösungen genauer zu untersuchen.
Was sie fanden, war erschreckend. Schon bei der ersten Prüfung fanden die Forscher 17 neue Schwachstellen in den Produkten der drei Unternehmen. Acht davon waren sogar kritische Fehler. Die Forscher fühlten sich in ihrem Grundgedanken bestätigt.
„Wir wollten die Systeme näher betrachten, weil in ihnen man eine Menge manipulierter Informationen streuen kann, wenn man ihren zentralen Knotenpunkt kontrolliert“, sagt Daniel Crowley. „Es gibt da ganz offensichtlich eine riesige Angriffsfläche zu geben, und es steht viel auf dem Spiel. Schließlich wird zurzeit diskutiert, dass überall Computer eingebaut werden sollen, denen wichtige Aufgaben übertragen werden sollen – die öffentliche Sicherheit oder das Management von Kontrollsystemen in Industriebetrieben. Wenn die Technik versagt, wären das Leben und die Existenzgrundlage vieler Menschen gefährdet. Deswegen müssen wir die richtigen Sicherheits- und Datenschutzmechanismen installieren. Sonst können furchtbare Dinge passieren, besonders wenn wir es mit motivierten Hackern zu tun haben, die gut ausgestattet sind.“
Die Forscher stießen auf ganz grundlegende Schwachstellen, zum Beispiel Standardpasswörter, die so einfach sind, dass man sie erraten kann. Sie machen es Angreifern leicht, ein System unter ihre Kontrolle zu bringen. Andere Bugs, die auftauchten, würden es Hackern ermöglichen, Schadsoftware ins System zu schleusen oder Authentifizierungs-Mechanismen zu umgehen.
Die Daten der smarten Städte sind im offenen Internet verstreut
Viele Smart Cities nutzen für die Vernetzung ihrer Sensoren und die Übertragung der Daten in die Cloud außerdem das öffentliche Internet – kein geschlossenes Stadtnetzwerk. Die Geräte könnten also von jedem entdeckt werden. Mit einfachen Suchmaschinen für das Internet der Dinge, so genannten Crawlern wie Shodan oder Censys, fanden die Forscher ohne Probleme Tausende von ungeschützten Smart-City-Komponenten überall auf der Welt. Das Team kontaktierte, zum Beispiel, die Beamten einer großen US-Stadt, in der sie eine anfällige Verkehrsüberwachung entdeckt hatten, und ein europäisches Land mit gefährdeten Strahlungsdetektoren.
„Ich lebe selbst in einer Stadt, die immer mehr smarte Geräte einsetzt“, sagt Jennifer Savage von Threatcare. „Wir haben ein Haus gekauft. Dort können wir selbst entscheiden, ob wir vernetzte IoT-Geräte haben wollen oder nicht. Wir können uns einen normalen (dummen) Fernseher kaufen oder einen Smart-TV. Aber ich kann nicht kontrollieren, ob direkt vor meinem Haus Straßenlaternen mit Kameras stehen. Ich kann auch nicht entscheiden, wie meine Stadt den Verkehr überwacht.“
Die Unternehmen haben schnell reagiert
Die drei betroffenen Unternehmen haben Korrekturen, also Patches, für alle 17 Fehler bereitgestellt. Echelon teilte WIRED mit, dass man mit IBM zusammengearbeitet hat, um die Probleme zu lösen. Betroffene Kunden und das Department of Homeland Security seien informiert worden. Eine Sprecherin von Battelle bestätigte, dass die IBM-Forscher Schwachstellen bei einer Open-Source-Lösung gefunden hatten, die zusammen mit der Autobahnaufsicht entwickelt wurde. Die Software sei aber noch nicht zum Einsatz gekommen. Auch das spanische Unternehmen Libelium hat nach eigenen Angaben sofort reagiert und ein Update zum Download bereitgestellt, dass die Sicherheitslücken schließen soll.
Schnell Patches für alle Fehler parat zu haben, ist natürlich sehr wichtig. Trotzdem kommt es den Forschern vor allem darauf an, überhaupt erst einmal das Bewusstsein für mögliche Probleme zu schärfen. Sie wollen sicherstellen, dass die Kommunen auf Patches drängen. Denn für Unternehmen seien die leider nicht immer eine Priorität. Problematisch ist außerdem, dass die Systeme, die die Forscher untersuchten, sich nicht automatisch updaten lassen. Das ist bei industriellen Steuergeräten üblich, da ein fehlerhaftes Update die Infrastruktur gefährden könnte. Der Nachteil ist aber, dass jede Stadt, die die Produkte verwendet, die Patches selbstständig installieren muss. Sonst sind ihre Smart-City-Geräte leichte Beute im öffentlichen Internet.
Hat bereits jemand die Sicherheitslücken ausgenutzt?
Obwohl die Forscher betonen, dass sie keine Beweise dafür haben, ob jemand die Sicherheitslücken missbraucht hat, bevor sie entdeckt wurden. Sicher ist aber, dass jemand im August 2015 einen Beitrag über einen der Schwachpunkte veröffentlicht hat – in einem Forum für Hacker. „Wer weiß, was sie damit gemacht haben“, sagt Jennifer Savage. Es gebe schließlich nicht nur wohlmeinende White Hat Hacker, die Schwachstellen aufdecken wollen, um das Netz sicherer zu machen.
In letzter Zeit etwa wurde immer wieder über Angriffe durch Hacker mit staatlichem Auftrag berichtet, vor allem Russland soll es auf die Kontrollsysteme von Industrie und Infrastruktur abgesehen haben. Hacker, die offenbar vom russischen Staat unterstützt wurden, haben das US-Stromnetz und die digitale Infrastruktur für die Wahl ausgetestet. In anderen Ländern sollen sie sogar verheerenden Schaden angerichtet haben. darunter zwei Stromausfälle in der Ukraine. Da die weltweite Bedrohung wächst, nehmen die amerikanischen Bundesbehörden die Schwächen der eigenen Infrastruktur zunehmen ernst. Sie wollen die Systeme in Zukunft besser schützen. Aber was ist mit den Städten?
Viele von ihnen werden weiterhin in intelligente Technologien investieren. Hoffentlich ist ihnen dabei klar, dass mehr Daten oft mehr Risiko bedeuten – und das Schwachstellen nicht immer einfach zu beheben sind.
