«Click Here to Kill Everybody» heisst das neue Buch von Bruce Schneier – «Klick hier, um alle zu töten». Der Titel klingt reisserisch, doch der Autor weiss, wovon er spricht: Bruce Schneier ist einer der einflussreichsten und bekanntesten Experten für Computersicherheit.
Trotzdem ist man von so einem reisserischen Titel überrascht. Schliesslich hat Bruce Schneier nach den Anschlägen vom 11. September 2001 den Begriff «Movie Plot Threats» geprägt. Als Ausdruck für Angriffs-Szenarien, die so weit hergeholt sind, so unwahrscheinlich, dass sie höchstens als Stoff für einen Hollywood-Film taugen.
Bruce Schneier ist einer der angesehensten und bekanntesten Experten für Computersicherheit und Autor von gut einem Dutzend Büchern, die sich mit Sicherheitsfragen und Kryptographie beschäftigen. Viele von ihnen gehören zu den Standardwerken in ihrem Gebiet, darunter etwa der New York Times Bestseller «Data and Goliath». Sein Blog « Schneier on Security » hat über 250'000 Leserinnen und Leser.
Schneier ist Fellow des Berkman Center for Internet & Society an der Harvard Law School und beim Open Technology Institute der New America Foundation. Er ist Vorstandsmitglied der Electronic Frontier Foundation.
Das Interview mit Bruce Schneier fand anlässlich eines Events des Schweizer Cyber-Security-Unternehmens InfoGuard in Zug statt, wo Schneier als Gastsprecher auftrat.
Nun scheint es, als würde Schneier mit seinem neuen Buch plötzlich selbst vor solchen unmöglichen Szenarien warnen. Mit nur einem Klick alle töten – wie soll das gehen? «Ich habe den Titel tatsächlich gewählt, um damit möglichst viel Aufmerksamkeit zu erzielen», sagt Schneier. Und ergänzt: «Doch die Bedrohung, die ich darin beschreibe, ist keineswegs an den Haaren herbeigezogen.»
Hacker steuern Auto in Strassengraben
Der 55-jährige Amerikaner stellt einen grundlegenden Wandel in der Welt der Computer fest. Während Hackerangriffe früher nur die Maschinen selbst bedrohten und die auf ihren Festplatten gespeicherten Daten, können solche Attacken heute auch Folgen in der realen Welt haben. Denn langsam werde die ganze Welt zum Computer: «Autos, Haushaltsgegenstände, Spielzeuge, Kraftwerke, all das ist heute computergesteuert und mit dem Internet verbunden» – und damit angreifbar geworden.
Ein Beispiel ist für Schneier die Möglichkeit, mit Schadsoftware die Bremsen eines Autos auszuschalten. Das ist keineswegs ein Science-Fiction-Szenario. Amerikanische Hacker haben schon vor zwei Jahren in einem Versuch bewiesen, dass sie die Steuerung eines mit dem Internet verbundenen Jeeps übernehmen können, als sie das Auto in einen Strassengraben steuerten.
Auch andere ans Internet angeschlossene Geräte – die zusammen das sogenannte «Internet of Things» ausmachen, das Internet der Dinge – haben sich als anfällig für Angriffe erwiesen. Vor einigen Wochen konnten sich Hacker Zugriff auf ein Aquarium in einem Casino in Las Vegas verschaffen und so an Daten aus dem Netzwerk des Casinos gelangen. Die Schadsoftware Mirai machte sich gezielt die Schwächen von Internet-of-Things-Geräten zu Nutze, um sie in ein Bot-Net einzubinden. Und mehrmals hat sich gezeigt, dass auch Industrieanlagen und Kraftwerke nicht vor (staatlichen) Attacken sicher sind.
Mehr Regulierung ist nötig
Schon heute sind Milliarden von Geräten ans Internet angeschlossen. Je nach Schätzung soll ihre Zahl bis im Jahr 2020 auf bis zu 75 Milliarden wachsen. Viele dieser Apparate sind mehr schlecht als recht vor Angriffen geschützt – weil die Hersteller bei der Sicherheit gespart haben oder weil ihre Benutzer vergessen, die Software auf dem neusten Stand zu halten.
Wie aber soll man sich vor der Bedrohung schützen, die vom Internet der Dinge ausgeht? Auf die neuen Technologien zu verzichten kommt für Bruce Schneier nicht in Frage. Stattdessen müssten wir einen Weg finden, die Geräte sicher zu machen. Und das werde nicht ohne staatlichen Druck gehen: «Es gab in den letzten 150 Jahren wohl keinen Industrie-Zweig, der von sich aus für mehr Sicherheit gesorgt hätte.» Egal ob Flugzeuge, Autos, medizinische Geräte, Medikamente oder Lebensmittel – überall sei staatlicher Druck nötig gewesen.
Die Technologie-Branche hätte sich lange vor solchen Eingriffen schützen können. Weil Computer als harmlos galten und weil die Unternehmen erfolgreich gegen Regulierung lobbyierten. Doch jetzt, da die ganze Welt zu einem Computer werde, steige auch die Gefahr, die von den Produkten dieser Unternehmen ausgehe. Und das werde zu einem Umdenken führen, ist Bruce Schneier überzeugt.
Wer mehr Sicherheit wolle, so sein Fazit, müsse darum nach staatlicher Regulierung verlangen. Allerdings: Das könnte auch zu mehr Überwachung führen. Das Beispiel China jedenfalls zeigt, dass staatlicher Einfluss auf die Technologie-Branche nicht immer nur das Wohl der Bürger im Sinn hat.
