Das Smart Home per Sprache und Display steuern – Tür, Kühlschrank und Heizung jederzeit im Blick. Das verspricht ein Gerät eines großen Online-Händlers. Was praktisch klingt, hat eine Kehrseite: Es ist angreifbar. Über das Smart Home können sich Hacker Zugang zum vernetzten Zuhause verschaffen.
Forschende des Bayerischen Forschungsverbundes „Sicherheit in der Alltagsdigitalisierung“ (ForDaySec) entdeckten die Schwachstellen des Geräts und informierten die Verantwortlichen. „Somit musste sich sogar der Pressesprecher dieses großen Online-Händlers mit unseren Forschungsergebnissen auseinandersetzen“, erklärte Prof. Dr. Stefan Katzenbeisser von der Universität Passau auf der Abschlussveranstaltung des Verbunds in München zum Thema „Beyond Awareness - Cybersicherheit im Alltag“.
In den vergangenen vier Jahren hat der interdisziplinäre Verbund, der von Passau aus koordiniert wurde, Sicherheitslücken im digitalen Alltag untersucht. Das Besondere daran: Im Fokus standen nicht primär die technische Perspektive, sondern Nutzende, die veraltete, aber funktionierende Geräte weiterverwenden wollen, sowie Hersteller und ihre Verantwortung über den Kauf hinaus. Beteiligt waren neben IT-Sicherheitsforschenden auch Forschende aus der Soziologie, Ethnografie und Rechtswissenschaft. „Man darf Sicherheit nicht nur als technische Angelegenheit betrachten, sondern man muss auch den Menschen berücksichtigen“, erklärte Prof. Dr. Katzenbeisser.
Unterstützung für diese Haltung erhielt er von den prominenten Gastrednerinnen auf der Veranstaltung, darunter Caroline Krohn-Atug vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Ihr Ziel: Verbraucherinnen und Verbraucher für Cybersicherheit gewinnen. Während viel über Rechenzentren gesprochen werde, seien private Haushalte oft stärker gefährdet. Sensibilisierung allein reiche nicht. Es brauche einen Kulturwandel.
Als Beispiel nannte sie sogenannte Ransom-Angriffe, bei denen Daten verschlüsselt und lediglich gegen Geldzahlungen wieder freigegeben werden. Sie verursachen jährlich Schäden von rund 200 Milliarden Euro. Häufig beginnen sie mit Phishing-Mails – betrügerischen Nachrichten, die Nutzende zur Preisgabe sensibler Daten verleiten. Täglich werden etwa 360 Milliarden E-Mails verschickt – und jede einzelne kann eine Angriffsfläche bieten. „Es reicht nicht, den Verbraucherinnen und Verbrauchern zu sagen: Klickt nicht auf den Link in der Mail.“ Das BSI versuche deshalb, Risiken im Vorfeld zu reduzieren, damit Menschen gar nicht erst in die Verlegenheit geraten, zur letzten Schutzinstanz werden. Sie betonte die Bedeutung der interdisziplinären Forschung im Verbund ForDaySec, denn hieraus entstünden wichtige Impulse für Behörden wie das BSI.
In eine ähnliche Richtung ging die Keynote der Tech-Journalistin Eva Wolfangel. Sie zeigte mit ihren Recherchen auf, wie professionell Cyberkriminalität heute organisiert ist: Spezialistinnen und Spezialisten fälschen täuschend echte Bankseiten, andere nutzen psychologisches Know-how, um Vertrauen zu erschleichen, wieder andere verwischen gezielt digitale Spuren. Einzelnen Nutzenden steht so im Ernstfall eine ganze Armada an Cyberkriminellen gegenüber. Es sei daher unrealistisch, allein an die Vernunft der Verbraucherinnen und Verbraucher zu appellieren.
Zugleich kritisierte Wolfangel klassische Schulungsmaßnahmen in Unternehmen. Dazu zählen etwa fingierte Phishing-Mails, mit denen Mitarbeitende getestet werden. Die Wirkung solcher Maßnahmen sei gering. „Im Zweifel denken sich Nutzende: Ich bin einfach zu dumm, um solche Mails zu erkennen.“ Wolfangel fordert daher ein Umdenken in der IT-Branche: Nicht die Nutzenden seien die Schwachstelle, sondern das System. „Das größte Problem in der IT-Sicherheit ist nicht der Mensch vor dem Bildschirm, wie man ja so oft hört, sondern Sicherheitsmaßnahmen, die nicht umsetzbar sind für die meisten Menschen“, sagt sie.
Für das eingangs geschilderte Problem entwickelte ForDaySec einen Prototypen in Form eines Sicherheitsmonitors. Dieser wird vor Geräte mit möglichen Sicherheitslücken geschaltet. Vereinfacht gesagt führt der Sicherheitsmonitor eine Art digitale Ausweiskontrolle für Geräte durch. Dabei nutzt er kryptografische Signaturen, fälschungssichere digitale Nachweise, die nur auf einem bestimmten Gerät erzeugt werden können. Selbst wenn Angreifer Daten abfangen, können sie diese nicht reproduzieren. Der Prozess läuft automatisch im Hintergrund – ohne zusätzlichen Aufwand für die Nutzenden.
Auch rechtliche Fragen spielten im Forschungsverbund eine Rolle. Die Lage sei komplex, sagt Prof. Dr. Thomas Riehm von der Universität Passau. Es müssten verschiedene Interessen gegeneinander abgewogen werden. „Da wäre einerseits das öffentliche Interesse an IT-Sicherheit, das wir alle haben“, erklärt der Inhaber des Lehrstuhls für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie. „Auf der anderen Seite steht das Interesse der Nutzenden, ein Gerät zu behalten, das so funktioniert, wie sie sich das vorgestellt haben, dessen Bedienung also nicht durch Updates später verändert wird.“
Ein zentrales Ergebnis des Verbunds: Interdisziplinäre Zusammenarbeit ist entscheidend, um die Herausforderungen der digitalen Alltagssicherheit anzugehen. „Die Bedeutung der bayernweiten Vernetzung und des interdisziplinären Arbeitens kann man gar nicht hoch genug einschätzen“, sagt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg und Moderator der Veranstaltung in München. Erst das Zusammenspiel von Technik, Recht und Sozialwissenschaften mache Lösungen möglich, die im Alltag bestehen.
Der Bayerische Forschungsverbund „Sicherheit in der Alltagsdigitalisierung“ (ForDaySec) untersucht seit April 2022 neuartige technische Verfahren für die Cybersicherheit privater Haushalte, kleiner und mittlerer Unternehmen sowie der öffentlichen Verwaltung. Beteiligt sind neben der Universität Passau, die den Verbund koordiniert, die Technische Universität München, die Friedrich-Alexander-Universität Erlangen-Nürnberg, die Otto-Friedrich-Universität Bamberg sowie die Ludwig-Maximilians-Universität München. Gefördert wird der Verbund vom Bayerischen Staatsministerium für Wissenschaft und Kunst.
Mehr Informationen:
