Liebe Leserinnen und Leser,
betrachten Sie die Aussage in der Titelseitenüberschrift, „Schiffe versenken“, gern sowohl wörtlich als auch im übertragenen Sinne: Es steht hier als Synonym für „digitales Sicherheitsrisiko“.
Im wörtlichen Sinne versteht Mirko Ross „Schiffe versenken“ in seinem Vortrag auf der „building IoT 2019“. Der filmisch festgehaltene Beitrag (https://vimeo.com/338651047) heißt: „Die schlechtesten IoT-Produkte und was Entwickler daraus lernen können.“ IoT steht für „Internet of Things“. Ross ist unter anderem beratender Experte für Sicherheit im Internet bei der EU-Agentur ENISA. Er sagt: „IoT-Sicherheit gibt’s nach wie vor nur in homöopathischen Dosen.“ Exkurs: Der Vorsitzende des Gesundheitsausschusses des Bundestags, Erwin Rüddel, bezeichnete Homöopathie als Glaubensfrage. Daraus folgt: Es gibt überhaupt keine IoT-Sicherheit. Ross liefert ein Beispiel dafür (ab Minuten 13:08 im Video): Schiffe kommunizieren in der Regel via Satellitenkommunikationsmodul. Damit unterscheidet sich ein Schiff nicht von einer IP-Videokamera, die man bei einem chinesischen Hersteller kauft. Sehr viele dieser Satellitenmodule laufen im Factory Setting, so Ross. Das heißt, niemand hat jemals das Admin-Passwort des Herstellers geändert. Nun könne man über www.shodan.io („the world‘s first search engine for Internet-connected devices“) Schiffe genauso identifizieren wie Videokameras. Und genau so könne man sie auch manipulieren. Denn es sei denkbar, Admin-Zugang vorausgesetzt, das Autopilotsystem neu zu konfigurieren. So habe man in Tests die Position des GPS-Empfängers von Schiffen z. B. um zwei Meter ändern können. Dann erhält der Autopilot eine andere Auffassung davon, wo das Schiff anfängt und wo es endet – die Einfahrt in den Hafen könnte ziemlich riskant werden. Auch die Kollisionswarnungssysteme spielen mit dem Autopilotensystem zusammen, sagt Ross. Es wäre also möglich, andere Schiffe als Objekte, die einen Quadratkilometer groß sind, erscheinen zu lassen. Im Ärmelkanal würde eine solche Umprogrammierung für Chaos und Fehlentscheidungen sorgen.
Man fragt sich, warum derart unsichere Softwareprodukte überhaupt produziert und in Umlauf gebracht werden. Dieser Frage geht ein Vortrag vom letzten Congress des Chaos Computer Clubs nach. „Fefe“ (diese CCC-Leute stehen mit ihren bürgerlichen Namen offenbar auf Kriegsfuß – eine Unsitte, wie ich meine) stellt folgende Risikolücke fest (06:15), die von Programmierern ausgeht: „Security ist kein Gradient. ( … ) Man merkt nicht, wenn man zu weit gegangen ist. Das merkt man erst, wenn man gehackt wird.“ Ein interessanter Beitrag, der geeignet ist zu verstehen, warum Sicherheitslücken bei der Softwareprogrammierung überhaupt entstehen. Er schlägt in seinem Vortrag übrigens den Bogen vom fehlerbehafteten Verhalten der Programmierer zum fehlerbehafteten Verhalten der Softwarenutzer bzw. Nutzer digitaler Angebote. Als Beispiel nennt er die Datenherausgabe an Facebook: „Zu dem Zeitpunkt, wo man merkt, dass man zuviel (Daten) rausgegeben hat, ist es zu spät.“ Diese warnende Meinung steckt auch in dem folgenden Beitrag über Browser-Fingerprinting.