Rational betrachtet haben Sie sicher recht – ich habe mal gehört, der Mensch sei ein vernunftbegabtes Wesen – es hat aber keiner behauptet, der Mensch mache permanent von dieser Eigenschaft Gebrauch. Also könnte es auch andere Gründe geben: Der „Internet Addiction Test“ zur Feststellung einer „Online-Sucht“ existiert seit 2009. Mehrere Studien in den USA und Kanada wollen inzwischen herausgefunden haben, dass die Menschen leichter auf Sex verzichten können als auf ihren Zugang zum Internet: Das Veröffentlichen von Nachrichten bei Facebook soll das Hirn mehr stimulieren als der Geschlechtsverkehr. So macht es anscheinend nicht nur glücklich, unser Postfach, sondern auch den Status unseres gesamten Lebens zu „checken“ – denken Sie an die Selbstquantifizierung per Fitness-Armband oder das Fahrverhalten im Auto – und eben auch die Stromverbraucher zu Hause. Es scheint, als ob viele Menschen suchtgefährdet sind und noch dazu alles tun, um sich neben der Mail, Facebook und Twitter weitere Stimuli zur Suchtbefriedigung zu verschaffen. Die Wirtschaft katalysiert diesen Trend mit vermeintlich günstigen Tarifen und nutzt die verbreitete „Geiz ist geil“-Mentalität.
Das Interessante dabei: In den 80er Jahren des vergangenen Jahrhunderts gingen nicht nur zahllose Menschen gegen die Volkszählung auf die Straße, sondern eine Anwältin soll sogar 300.000 Exemplare eines juristischen Ratgebers gegen die vermeintliche Spitzelei des Staates verkauft haben. Seither haben wir offenbar eine kollektive Gehirnwäsche durchlaufen und machen uns heute nicht nur selbst nackig, sondern zahlen sogar noch für physikalische Sicherheitsrisiken.
Ich bin überzeugt, die Menschen glauben in Wahrheit selbst nicht an ihre behauptete zusätzliche Sicherheit. Tatsächlich befriedigen sie ihre Sucht. Und diesen Leuten mit rationalen Argumenten zu kommen, ist etwa so sinnvoll, wie einem Fixer zu erklären, dass er womöglich seine Lebenserwartung reduziert. Und ähnlich wie der Fixer reagieren die Netz-Süchtigen ungehalten, wenn sie den Eindruck bekommen, man wolle ihnen die Stimuli wegnehmen. Das Schlimme dabei ist: Diese Netz-Junkies verdienen sich ihre Brötchen in Apotheken, Arztpraxen, Banken, Finanzämtern, Steuerberatungskanzleien, Versicherungsunternehmen und Zulassungsbehörden. Ich wage zu bezweifeln, dass sie mit den Daten anderer Leute besser umgehen als mit ihren eigenen. Sollte ich mit dieser Annahme rechthaben, könnten Sie irgendwann aus Ihrer Tageszeitung erfahren, dass was schiefgegangen ist.
Gibt es offizielle Zahlen, die die Gefahr solcher Angriffe beziffern können?
Was immer 'offiziell' sein mag – ein Institut der Fraunhofer Gesellschaft behauptet, in den USA seien bereits 15.000 Systeme zur Gebäudeautomatisierung am Netz – und von denen seien zehn Prozent löchrig. Bei so einer Zahl ist natürlich völlig unklar, wer da was mit welchem Aufwand geprüft hat: Nur die Software? Oder auch die Hardware? Diese Frage ist wichtig, weil der US-Geheimdienst NSA ja auch Firmware von irgendwelchen elektronischen Geräten manipulieren soll. Diese Firmware ist Teil der Hardware – mit einem gewöhnlichen Virenscanner kommen Sie da gar nicht bei – solche Infektionen sind nur durch Austausch der Hardware zu beheben. Und auch die Firmware „intelligenter“ Stromzähler soll manipulierbar sein. Die gleiche NSA macht sich übrigens in die Hose, weil immer wieder Schadsoftware in den SCADA-Steuerungen fürs US-Stromnetz gefunden wird.
Nehmen wir aber der Einfachheit halber an, 90 Prozent dieser Systeme seien tatsächlich wasserdicht, sowohl Hardware als auch Software: Wenn Sie das System mit einem infizierten Computer oder Telefon steuern, riskieren Sie die Sicherheit des gesamten Haushalts. Und jedes Mal, wenn Sie einen neuen Sensor anklemmen, vergrößern Sie diese Angriffsfläche erneut. Bei jedem vernetzten Gerät sind Sie auf die Fähigkeiten derer angewiesen, die an der Entwicklung, Installation und Wartung beteiligt waren. Und natürlich könnten Sie selbst als Anwender auch eine Fehlerquelle darstellen.
Wie sieht der Cybereinbruch in ein Haus der Zukunft aus?
Zunächst möchte ich die bevorstehende Entwicklung des eigenen oder gemieteten Hauses als Lebensmittelpunkt an sich beschreiben: Das Leben eines Neugeborenen lässt sich theoretisch von der Wiege bis zur Bahre protokollieren – Verwandtschaftsverhältnisse, Erbanlagen, Geburtsurkunde, Wohnort, sozialer Status, Kindheitserfahrungen, Lebenslauf und Vieles mehr. Das intelligente Telefon gibt beispielsweise Auskunft über die besten Freunde und wie oft mit diesen wann und worüber kommuniziert wird. Die Spracherkennung stellt dabei fest, wann Sie unbegründet die Zeitformen der Verben wechseln und prognostiziert die Wahrscheinlichkeit, dass Sie jetzt grade gelogen haben. Hinzu kommen vernetzte Spielsachen, Zahnbürsten, Sanitäranlagen und Haushaltsgeräte. Allein die Marken geben Auskunft über den Lebensstandard – diese Informationen werden ergänzt durch die Gewohnheiten, die sich im Gebrauch der Geräte spiegeln.
Die angesehene IEEE, der internationale Berufsverband der Ingenieure, ist der Ansicht, dass wir unsere „intelligenten“ Geräte in zehn Jahren mit unseren Gedanken steuern werden. Aus dem Gebrauch dieser Geräte lässt sich mit Hilfe künstlicher Intelligenz ein Persönlichkeitsprofil eines jeden einzelnen Bewohners erstellen – das ist wichtig, damit die Technik in der Lage ist, jeden Bewohner personalisiert zu betreuen: Musik, Freizeittipps, Kochen, Freunde – der Mensch soll die Technik als selbstverständliche Lebensbegleitung wahrnehmen. Der frühere Google-Chef Eric Schmidt kündigte bereits 2007 an, dass uns der Konzern künftig empfehlen wolle, was wir 'morgen' tun sollen. Unser Handeln und die darauf aufbauenden Schlussfolgerungen lassen gleichermaßen im 'Mindfile' – der 'Hirndatei' ablegen.
Die spannende Frage ist nun, wer mit welcher Absicht Zugriff zu dieser Hirndatei oder den damit verbundenen Geräten erhält und was er damit anfängt. Der Cybereinbruch beginnt mit schlichter Spionage: Ira Hunt, früher technischer Direktor der CIA, äußerte wenige Monate bevor der Geheimdienstskandal aufflog: „Da man Informationen nicht verknüpfen kann, die man nicht hat, versuchen wir grundsätzlich alles zu sammeln, was wir sammeln können und behalten es für immer“. Außerdem sei der Dienst schon fast in der Lage, „jede von Menschen generierte Information zu verarbeiten“. Deshalb wollen uns die Geheimdienste nach eigenem Bekunden dabei zusehen, wie wir das Licht in unserem Wohnzimmer mit unserem intelligenten Telefon anschalten und den Geschirrspüler anwerfen.
Das Ziel des US-Geheimdienstprogramms AQUAINT ist, rauszubekommen, was 'x' über 'y' „denkt“. Idealerweise entstünde damit ein Echtzeitsystem, mit dessen Hilfe Bewusstseinszustände von Einzelnen, Gruppen oder Volksgemeinschaften im Zeitverlauf verfolgt werden können. Damit könnten einzelne Unternehmen, Branchen, die Politik oder Militärs in den USA Vorteile gegenüber Dritten erhalten: So lassen sich Arbeits- und Lieferverträge und globale Handelsabkommen im eigenen Sinn steuern.
Die Datenkriminalität würde es wohl nicht beim Spionieren belassen: Was wäre es Ihnen wert, wenn Sie morgen noch Ihren Backofen oder Ihre Dusche nutzen könnten? Und der islamische „Staat“ würde wohl erst gar keine Wahl lassen, sondern den Strom gleich abdrehen – wahlweise im Haus, in Ihrer Stadt oder dem ganzen Land. Die Szenarien sind endlos.
Interessant an dieser Stelle ist, wie wir uns selbst bedrohen: Stuxnet ist ein Computerschädling, mit dem die USA und Israel vor Jahren Zentrifugen in Iranischen Atomanlagen zerstörten. Diese Schadsoftware ist längst außer Kontrolle geraten und bedroht heute Energieversorger und andere Industrieunternehmen weltweit. So könnte es sein, dass die US-Geheimdienste de facto dem eigenen Land irgendwann den Strom abstellen. Die Folgen könnten dabei katastrophal sein. Damit hätte sich dann die Zerstörung der Iranischen Atomanlagen als Pyrrhussieg erwiesen.
Worauf müssen insbesondere die Hersteller solcher Produkte in Bezug auf Sicherheitslücken achten?
Die Bundesregierung will sogenannte „kritische Infrastrukturen“ per IT-Sicherheitsgesetz auf ein höheres Sicherheitsniveau bringen. Dazu gehören die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Europa verlangt künftig außerdem, Pannen und Angriffe zu melden und droht denen mit Bußgeld, die beim Datenschutz versagen. Der Bundesverband der Deutschen Industrie erwartet, dass die Branchen den massiven Druck an ihre Lieferanten und Dienstleister weitergeben werden.
So wird jedes Unternehmen früher oder später ein umfassendes Sicherheitskonzept benötigen. Dabei werden die Risiken für „IT-Systeme“, „Daten“, „mobile Endgeräte“, „Standardsoftware“, „Individualsoftware“ und die „Produkte“ oder auch „Dienstleistungen“ zu definieren sein. Auf Basis dieser Definitionen müssen dann die Maßnahmen entwickelt werden, um den Risiken zu begegnen. Wer kein solches Konzept hat, könnte sich künftig schwertun, Kredite zu oder eine Unternehmenshaftpflichtversicherung zu erhalten. Genauso schwierig dürfte sich die Suche nach Eigenkapitalgebern gestalten. Und die schlimmste Strafe droht den Unternehmen ohnehin von den Kunden.
Der Somfy-Anbieter TaHoma Connect hat sich vom IT-Sicherheitsunternehmen SySS einen „sehr hohen Sicherheitsstandard“ attestieren lassen. Wieviel diese Aussage wert ist, kann ich nicht beurteilen. Aber immerhin ist es löblich, dass sich der Anbieter überhaupt Gedanken um die Sicherheit seiner Kunden macht. Es gibt nicht viele Hardware-Anbieter, die das tun.
Wie kann ich als Verbraucher mein Smart Home-System schützen? Gibt es hierzu Schutzvorkehrungen, die sich bereits bewährt haben?
Sie müssen zunächst einmal dem Anbieter vertrauen – dazu ist es interessant, den Anbieter zu fragen, wie er mit dem Thema Sicherheit umgeht – wenn der nur was von „geheim“ schwafelt, können Sie davon ausgehen, dass dem Anbieter Ihre Sicherheit ziemlich egal ist.
Ansonsten würde ich als Anwender den jeweiligen Dienst, das jeweilige Produkt tatsächlich nur so verwenden, wie es der Anbieter vorgesehen hat. Aus eigener Erfahrung weiß ich, wie schnell man in Versuchung kommt, doch mal was „auszuprobieren“. Das ist aber heute nicht mehr ratsam, denn jeder dieser Versuche könnte ein neues Sicherheitsrisiko mit sich bringen.
Wer übernimmt für einen Hacker-Angriff die Verantwortung (auch haftungstechnisch) und gewährleistet technische Sicherheit?
Ich bin kein Jurist, aber wenn Sie geschädigt wurden, liegt es vermutlich an Ihnen, die Ansprüche geltend zu machen. Da muss dann zunächst mal geklärt werden, wer die Software entwickelt, implementiert und administriert hat und an welcher Stelle genau der Schaden entstanden ist. Und Sie müssen nachweisen, dass Sie als Nutzerin den Schaden nicht selbst verursacht haben. Bis heute allerdings tun sich die Juristen erstaunlich schwer damit, das Produkthaftungsgesetz auf Software anzuwenden.
Sie warnen in Ihrem Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen. Wie uns die künstliche Intelligenz herausfordert.“ eindringlich vor der Gefahr aus dem Netz, können Sie überhaupt zu smarten Produkten raten?
Ich glaube, wir brauchen Qualitätsstandards bei der Sicherheit: Wenn die Politik mangelhafte Entscheidungen in der Steuerpolitik oder zu Kindergärten fällt, so können diese Entscheidungen jederzeit wieder korrigiert werden. Bei der Informationstechnik ist das grundlegend anders: Vor zwei Jahren hat uns Edward Snowden darauf aufmerksam gemacht, dass die Geheimdienste in den USA und Großbritannien alles sammeln, was sie kriegen können – die Gesellschaft für Informatik rechnet mit 10.000 „strategischen Servern“ allein in Deutschland, zu denen die Dienste unbefugt Zugang haben könnten.
Die Bundesregierung hat es bislang versäumt, eine Diskussion darüber anzustimmen, welche Konsequenzen wir daraus zu ziehen haben. Hätten wir eine solche Diskussion geführt, wäre das Sicherheitsbewusstsein in unserem Land bei allen Angehörigen der oben erwähnten Rollen größer und die Verantwortlichen hätten den erfolgreichen Angriff auf die IT-Systeme des Bundestages abwehren können. Im November 2015 hat die Unternehmensberatung EY eine weltweite Untersuchung vorgestellt: 36 Prozent der 1.755 befragten Führungskräfte glauben nicht, dass ihr Unternehmen in der Lage sei, einen hoch entwickelten Angriff auch nur zu erkennen.
Ganz zu schweigen von „abwehren“. Wenn das Unternehmen angegriffen wurde, ist es interessant, die Produktion von Hardware aller Art zu infizieren – das sollte Jedem bewusst sein, der über den Kauf „intelligenter“ Produkte nachdenkt; egal ob es sich um iToaster, iAutos oder iHerzschrittmacher handelt. 70 Prozent der vernetzten Geräte sollen nach Erkenntnis von HP übrigens verwundbar sein. Solang wir das erforderliche Sicherheitsniveau vernetzter Geräte sowie die Verantwortung und Haftung der Beteiligten Entscheider, IT'ler und Nutzer nicht geklärt haben, sollten wir unseren Verstand beisammen halten anstatt die „Intelligenz“ in irgendwelche Geräte auszulagern.
Sie kommen in Ihrem Buch zu dem Schluss, dass die Angreifer aus dem Netz künstliche Intelligenz verwenden, um menschliche/technische Schwächen automatisiert auszunutzen, die Angegriffenen meinen gleichzeitig, sie hätten nichts zu verbergen. Der digitale Graben wächst parallel zum Zuwachs der technischen Leistungsfähigkeit. Was muss konsequenterweise passieren, damit dieser Graben geschlossen werden kann?
Der Chef einer Kapitalgesellschaft muss heute persönlich mit Millionen-Bußgeldern rechnen, wenn er kein System entwickelt, mit dessen Hilfe Risiken eingedämmt werden können – egal ob es darum geht, das Zahlen von Schmiergeldern oder den Abfluss von Informationen zu verhindern. Ich vermute, dass sich die Verantwortlichen schneller bewegen würden, wenn ihnen bewusst wäre, dass sie durch Nichtstun die Axt an die eigene wirtschaftliche Existenz legen können. Somit wäre es wichtig, die Entscheider für das Thema zu begeistern. Sobald das geschehen ist, werden diese Entscheider dafür sorgen, dass die finanziellen Mittel vorhanden sind, um die Mitarbeiter aller Ebenen in einen systematischen Schulungsprozess zu bringen.
Das Gleiche muss in den Behörden stattfinden. Dazu gehören auch Kindergärten, Schulen und Hochschulen – unsere Kleinsten sollen mit Hilfe der Technik Sprache lernen: Dann müssen wir ihnen aber auch sagen, wie sie die Technik beherrschen können.