Du måste aktivera javascript för att sverigesradio.se ska fungera korrekt och för att kunna lyssna på ljud. Har du problem med vår sajt så finns hjälp på https://kundo.se/org/sverigesradio/
Datensicherheit

Unsichere Netze „Gefahr für die nationale Sicherheit“

Publicerat måndag 3 november 2014 kl 15.18
„So, dann drücken wir mal auf die Taste hier“
(6:36 min)
1 av 2
Kristoffer Örstadius, Reporter von Dagens Nyheter (Bild: SVT)
2 av 2
Lars-Göran Emanuelsson, Sachverständiger bei der Behörde für Zivilschutz und Katastrophenbereitschaft (Bild: SVT)

Die Sicherheit vieler schwedischer Datennetze ist so mangelhaft, dass es für Hacker nur wenige Augenblicke bedarf, um sich Zutritt zur Gebäudesystemen zu verschaffen.

Die Tageszeitung Dagens Nyheter hatte am Wochenende enthüllt, dass allein bei einem einzigen Betreiber von Gebäudeverwaltungssystemen die Datennetze von 733 Gebäuden über das Internet zugänglich sind.

Symbolische Alarmglocke

Der Reporter machte dafür in der Kirche von Hedemora in südlichen Mittelschweden die Probe aufs Exempel und  ließ in Anwesenheit des Pfarrers über seinen Laptop eine Kirchenglocke läuten: „So, dann drücken wir mal auf die Taste hier“, sagt der Reporter. (Glockengeläut) 

„Das hätte jetzt aber nicht möglich sein dürfen“, so der merklich verblüffte Pfarrer. Doch die Kirchenglocke von Hedemora ist für den Reporter Kristoffer Örstadius nur der Aufhänger seiner Enthüllung, mit der Symbolik des Alarms, und der ist nicht unbegründet.

Der Polizei kann man einfach den Strom abschalten

Denn betroffen sind unzählige öffentliche Gebäude, darunter Polizeizentralen, Krankenhäuser und Flughäfen.

Mit einfachen Mitteln, so die Recherche, seien dort Heizung, Ventilation, Strom und andere gebäudetechnische Funktionen erreichbar und abschaltbar.

Natürlich haben solche Systeme auch automatische Sicherungen, doch die sind nicht auf Cyberangriffe ausgerichtet, sondern auf technische Ausfälle.

IT-Sicherheitsexperte sieht erhebliche Risiken

Die Reportage zitiert den zu Rate gezogenen IT-Sicherheitsexperten Leif Nixon mit der Feststellung: „Die Sicherheitssperren, die automatisch ablaufen, schützen vor Fehlfunktionen, aber nicht vor einem intelligenten Angriff.“  Mit den entdeckten Schwachstellen, so der Experte, seien die „Möglichkeiten, Unfug in den Gebäuden“ anzustellen, sehr groß.

Wenn man bedenkt, dass unter einem Cyberangriff bisher vor allem das Lahmlegen und Ausspähen von Computern und Servern verstanden wurde, dann muss man sich jetzt vor Augen führen, was geschehen kann, wenn beispielweise Zivilschutzeinrichtungen, Einsatzzentralen oder Serverparks angegriffen werden, indem zuerst der normale Strom und dann die Notstromaggregate über die ganz normale Gebäudeverwaltung abgeschaltet würden.

Nationale Sicherheit kann in Gefahr kommen

Damit könne dann unter Umständen auch die nationale Sicherheit gefährdet sein, wenn Bahnhöfen, Satellitenanlagen und Behördenkomplexen mit wenigen Tastendrücken auf einem Laptop der Strom abgedreht werden kann: „Die Gefahr, die ich sehe, besteht darin, dass es um so viele Gebäude geht, viele davon im öffentlichen Dienst, dass die Gefahr ziemlich groß ist, dass ein Chaos ausgelöst werden kann“ sagt Kristoffer Örstadius im schwedischen Fernsehen, „wenn man einen Angriff gleichzeitig durchführen würde, wenn zum Beispiel Terroristen auf diese Weise Gebäude angreifen.“

Der Ernst der Lage wird auch von Lars-Göran Emanuelsson, bestätigt, Sachverständiger bei der Behörde für Zivilschutz und Katastrophenbereitschaft: „Es ist ernstzunehmen, dass man in solche Systeme eindringen kann, und deshalb  arbeiten wir sehr daran, bei den Anwendern ein Bewusstsein für diese Gefahren zu entwickeln. Und diese Sache beweist ja, dass wir noch mehr daran arbeiten müssen.“

Wer muss was wissen - und tun?

Ob eine reine Kenntnis - ein Bewusstsein der Gefahr - ausreicht, darf allerdings bezweifelt werden. Emanuelsson will daher auch die Lieferanten solcher Systeme mehr in die Pflicht nehmen: „Es ist wichtig, dass wir von den Herstellern und denjenigen, die solche Systeme einbauen, fordern, dass die Sicherheit bereits von Anfang ordentlich umgesetzt wird, und nicht später erst nachgebessert wird. Deshalb muss das Ganze auch auf höchster Unternehmensebene verankert sein. Erst wenn die Chefs wissen, welche Risiken bestehen, können sie auch verantwortungsvoll entscheiden und das Sicherheitsdenken in der ganzen Organisation durchsetzen.“

Reportageserie zeichnet schockierendes Bild der Datenunsicherheit

Alle diese Aspekte sind in der Vergangenheit in Schweden, einem Land, das in Punkto IT und Internet stets eine Vorreiterrolle einnahm, sträflich vernachlässigt worden. Dieses Bild zeichnet die Serie von Artikeln, die Dagens Nyheter, die größte schwedische Tageszeitung, nun veröffentlicht hat.

Zu diesem Bild gehören Homepageinstallationen, die über ein Standardpasswort problemlos gekapert werden können, oder Internetprovider, die ihren Kunden ungeschützte Router ins Haus stellten. Eines der meistausgelieferten  Geräte kam mit einem, den Benutzern völlig unbekannten, Administratorlogin, das es gestattet, auch dann einzudringen, wenn der Benutzer pflichtbewusst das Passwort geändert hatte.

Als Loginname, so fand die Zeitung heraus, brauchte man nur das Wort „Kung“ (schwedisch „König“) und einen vierstelligen Code eingeben, der auch für Anfängerhacker keine besondere Herausforderung darstellt.

Zu diesem Bild passen auch massenweise Drucker, Webcams und andere Geräte, die völlig ungeschützt ihre Daten jedem ausliefern, der sich die Mühe macht, einfach nur die IP-Adresse des Geräts zu erraten oder mit einem Scanner einzulesen.

Ratlosigkeit

Doch was tun? Welche Kompetenz wird da dem ahnungslosen Endbenutzer aufgebürdet, der die Geräte einfach nur benutzen will, ohne sich in die Funktionsweise von Firewalls, Verschlüsselungen und Virusscannern vertiefen zu müssen? Und was kann man denn als einfacher Benutzer nun tun, nachdem man das alles jetzt gehört hat? Genau diese Frage stellte die Moderatorin des schwedischen Fernsehens an die beiden Experten, Örstadius und Emanuelsson, und die nachdenkliche Reaktion spricht für sich.

Als Lars-Göran Emanuelsson, der Mann von der Katastrophenbereitschaft, endlich einspringt, hat er auch nur ein altbekanntes Rezept parat:  „Man muss sich genauso schützen, wie man das immer tun soll, wenn man sich mit dem Internet verbindet: Man muss eine Firewall haben und ein Antivirusprogramm.“

Dass ebendiese Funktionen mit Leichtigkeit umgangen werden können, hatte Kristoffer Örstadius gerade bewiesen. Und deshalb sorgen die jüngsten Enthüllungen zur Datensicherheit in Schweden für noch mehr Unsicherheit.

Michael Harmann

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Har du frågor eller förslag gällande våra webbtjänster?

Kontakta gärna Sveriges Radios supportforum där vi besvarar dina frågor vardagar kl. 9-17.

Du hittar dina sparade avsnitt i menyn under "Min Lista".