Warum das Internet of Things (IoT) einen Strom-Blackout verursachen könnte

IoT-Geräte können in grossem Masse für Cyber-Angriffe missbraucht werden, Erfolgreiche Erpressungsversuche (z.B. «Fake Sextortion») sowie Überweisungsbetrug mit «Office 365»-Zugangsdaten und das Schwergewichtsthema «Umgang mit eingekauften Risiken bei Hard- und Software»: Der am 30. April 2019 veröffentlichte 28. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2018 im In- und Ausland.

Die rasch voranschreitende Digitalisierung ist nur mit entsprechender Hard- und Software zu bewältigen. Der Markt wird klar von US-Unternehmen dominiert, mit China auf der Überholspur sowie vereinzelten globalen Mitspielern im Bereich Hard- und Software, beispielsweise aus Korea, Russland oder Deutschland.

Der potenzielle Zugriff auf IKT-Hersteller durch die jeweiligen Sitzstaaten führt zu Fragen über den richtigen Umgang mit diesen Risiken. Der 28. Halbjahresbericht MELANI widmet sich dieser Problematik im Schwerpunktthema und behandelt weitere aktuelle Themen wie die nachfolgend beschriebenen.

Haushaltsgeräte als Auslöser für einen Stromausfall
Mit dem Internet der Dinge (IoT) werden allerlei Geräte wie Heizungen und Klimaanlagen für deren Fernsteuerung ans Internet angeschlossen. Dies ist praktisch, birgt aber auch gewisse Risiken. Einer im Jahr 2018 publizierten Studie der Princeton Universität zufolge wäre es durchaus möglich, dass böswillige Akteure ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, wie einen Stromausfall, missbrauchen könnten. Der Halbjahresbericht beleuchtet die Problematik und enthält Empfehlungen.

Erpressung mittels Fake-Sextortion
Seit März 2018 kursieren unzählige «Fake Sextortion»-Mails. In einer E-Mail behaupten die Angreifer, sie würden über kompromittierendes Bildmaterial verfügen, das die Empfänger beim Konsum pornografischer Websites zeigt. Als «Beweis» für die Echtheit der Behauptung werden in der E-Mail oft Passwörter oder Mobiltelefonnummern genannt, die aus früheren Datenlecks stammen. Der Halbjahresbericht befasst sich mit dieser Problematik und zeigt die Entwicklung der verschiedenen «Fake-Sextortion»-Wellen.

Office 365-Zugangsdaten für Überweisungsbetrug verwendet

Mit über 100 Millionen monatlichen Nutzern sind Office 365-Konten zu einem populären Ziel für Angreifer geworden. Im zweiten Halbjahr 2018 kam es mit auf diese Weise ergatterten Office-365-Zugangsdaten vermehrt zu sogenanntem Überweisungsbetrug. Davon spricht man, wenn Betrüger in kompromittierten Konten nach bestehenden elektronischen Rechnungen suchen, diese dann kopieren, mit einer anderen IBAN versehen und erneut zustellen.

Der 28. Halbjahresbericht MELANI ist publiziert unter: