Seit den Wikileaks-Enthüllungen geht die Angst um: Können HackerInnen über Smart-TVs in Wohnzimmer eindringen oder Autos fernsteuern? Das Lamm hat Schweizer SpitzenpolitikerInnen gefragt, ob sie sich bewusst sind, wie gefährlich das Internet der Dinge für uns ist – und was sie als Gegenmassnahmen planen. Die Antworten waren ernüchternd.

Die freundliche Verkäuferin im Mediamarkt hat dir vorgeschwärmt, wie detailreich dein neuer Samsung 65 Zoll Smart-TV die Champions League wiedergeben wird. Dass dir die CIA beim Fussballschauen zuschauen kann, ist zwar merkwürdig, aber nicht gravierend. Solange die CIA mit dem Schweizer Nachrichtendienst zusammenarbeitet und Anschläge verhindert, nimmst du das gerne in Kauf.

Schützt mich der Staat vor Cyberkriminellen?

Was aber, wenn sich noch andere Leute Zugang zu deinem Smart-TV oder deinem Computer verschaffen? Ist Vater Staat auch dann zur Stelle, wenn ein Cyberkrimineller mittels sogenannter Ransomware meine Steuererklärung und mein Fotoarchiv verschlüsselt, um ein Lösegeld in Form von Bitcoins zu erpressen?

Leider nein. Denn wie es scheint, sind Ferienfotos und Steuererklärungen nicht so wichtig. Und so kümmert man sich in Bern leider bloss um kritische Infrastrukturen (Atomkraftwerke, Staudämme, RUAG etc.) und KMUs – unter anderem mit dem ersten „schweizweiten Ransomware Awareness Tag” und heissen Tipps aus dem „10-Punkte-Programm zur Erhöhung der IT-Sicherheit”. Alles koordiniert von der Elitetruppe des Finanzdepartements und des VBS, der Melde- und Analysestelle Informationssicherung des Bundes (kurz und herzig: MELANI).

Unsere VolksvertreterInnen kümmern sich darum, oder?!

Nicht nur der Staat hat wenig Verständnis für die „Sörgeli” der einfachen Bürgerinnen; auch unsere Repräsentanten scheinen sie nur mässig zu interessieren. Auf die Frage von das Lamm, wie er den Schutz der Privatbevölkerung vor Cyberkriminellen auf die politische Agenda setzen will, lässt der Ständerat Ruedi Noser (FDP) kurz und knapp verlauten: „In der Schweiz ist Sicherheit immer zu Oberst [sic] auf der Agenda.” Vergegenwärtigt man sich die Tatsache, dass Noser die parlamentarischen Vorstösse seiner Partei zur Internetsicherheit nicht unterschrieben hat, wird klar: Der Zusammenhang zwischen Sicherheit und Internet ist ihm nicht bewusst – ein verstörender Befund angesichts der Tatsache, dass er Präsident des grössten Informatikbranchenverbands ist.

Auch die VolksvertreterInnen aus dem linken Lager geben sich zurückhaltend. Balthasar Glättli (Grüne) hat zwar eine Anfrage an den Bundesrat gerichtet und eine Interpellation eines Ratskollegen mitunterschrieben. Öffentlich geäussert hat er sich aber nicht, um ein „überparteiliches und rasches Vorgehen nicht zu gefährden”.

Lediglich Edith Graf-Litscher (SP) erklärt sich zu einer längeren Stellungnahme bereit, die sich jedoch nur wenig vom Positionspapier der SP zur Internetpolitik unterscheidet. Obwohl Graf-Litscher die Frage, wie man die Bevölkerungen vor den Bedrohungen durch das Internet der Dinge schützen kann, nicht beantwortet, ist bei ihr wenigstens der Wille zur Verteidigung unserer Privatsphäre erkennbar: „Ich vertrete die Ansicht, dass das Recht auf eine persönliche Kopie der Daten verankert werden soll.”

Da offensichtlich weder der Bund noch unsere PolitikerInnen den Schutz der Bevölkerung vor Cyberkriminalität als zentrale Aufgabe erachten, wende ich mich an meine letzte Hoffnung: Die Stiftung SWITCH wacht über sämtliche .ch-Adressen und verwaltet alle wissenschaftlichen Netze der Schweiz. Doch auch sie fühlt sich nicht zuständig: „Für Fragen zu IoT sind wir nicht die richtige Stelle.” Und das, obwohl sie als Teil der kritischen Infrastruktur prädestiniert wäre, sich dem Thema anzunehmen.

Zweimal im Monat alle Artikel von das Lamm in der Mailbox! Das Lamm ist ein Onlinemagazin. Das heisst, wir veröffentlichen laufend neue Artikel. Damit Dir keiner entgeht, kannst Du unseren Newsletter abonnieren. Kein Spam, keine Mails mit Hinweisen auf Sonderangebote, sondern einfach genau das: Zweimal im Monat das ganze Lamm in der Mailbox! Newsletter *



Das Lamm betreibt auch einen Telegram-Kanal: t.me/dasLamm

Ansätze gibt es, nur will die niemand hören

Da ich mit meinem Latein am Ende bin, erkundige ich mich bei Martin Steiger von der Digitalen Gesellschaft, einer gemeinnützigen Organisation für Grundrechte im digitalen Raum. Er teilt meine Einschätzung, dass vom Internet der Dinge für unbescholtene BürgerInnen grosse Gefahren ausgehen. Das liegt, so Steiger, aber auch an den Herstellern. Denn das „Internet of SHITTY Things”, wie Steiger das Internet der Dinge scherzhaft nennt, konnte erst zur Spielwiese für Cyberkriminelle werden, weil viele Produzenten nach wie vor unsichere Geräte verkaufen. Kostendruck und hohe Ansprüche an die Benutzerfreundlichkeit hätten zu einer Vernachlässigung der Sicherheit geführt. Steiger führt als Beleg den CloudPet-Skandal an: Im Februar landeten Fotos und Sprachaufnahmen von 820’000 Familien auf dem Internet, weil der digitale Plüschbär nicht ausreichend geschützt war.

Mit der allgemeinen Sicherheit im Internet verhält es sich wie mit der Strassenbeleuchtung. Alle profitieren davon, dass Strassen beleuchtet sind. Aber nur die wenigsten würden für die Beleuchtung bezahlen, zumal Autos bereits Scheinwerfer haben. Und weil sich die meisten (fälschlicherweise) durch ihre Virenscanner ausreichend geschützt fühlen, gibt es keine Zahlungsbereitschaft für „allgemeine” Sicherheit im Internet. Deshalb fordert Steiger, der Gesetzgeber müsse dringend intervenieren und eine erweiterte Produkthaftung sowie Deklarationspflicht einführen. Damit würden KonsumentInnen schon vor dem Kauf wissen, welche Daten sie preisgeben, und bei sicherheitsrelevanten Zwischenfällen würden die Hersteller zur Kasse gebeten.

Zudem tadelt Steiger die gegenwärtigen nachrichtendienstlichen Strategien. Wie Enthüllungen von WikiLeaks gezeigt haben, nutzen Nachrichtendienste Sicherheitslücken in Smart-TVs aus oder bauen diese sogar absichtlich ein. Diese Schwachstellen können anschliessend zum Abhören genutzt werden. Nur: Sie stehen auch Cyberkriminellen offen. Insofern verschlechtere das Vorgehen der Nachrichtendienste die Sicherheit enorm und müsse deshalb hinterfragt werden.

Privatsphäre oder Sicherheit? Ein Kategorienfehler

Dass wir davon offensichtlich weit entfernt sind, hat gemäss Steiger einen einfachen Grund: „Ich glaube, solche Themen überfordern unsere PolitikerInnen. Sie möchten einfache Lösungen und hören viel zu selten auf ExpertInnen.”

Steigers Antwort erscheint plausibel. Im Abstimmungskampf um das neue Nachrichtendienstgesetz wurde der Bevölkerung das Bild vermittelt, dass wir uns zwischen Privatsphäre und Sicherheit entscheiden müssen, obwohl es keinerlei wissenschaftliche Anhaltspunkte für einen allfälligen Zusammenhang gibt. Privatsphäre und Sicherheit – dabei handelt es sich um keine Entweder-oder-Frage. Aber einfache Argumente wirken. Und ein Blick in die sozialen Medien offenbart, dass Privatsphäre der Mehrheit egal ist. Denn sie hält sich ans Tempolimit, zahlt brav die Steuern und hat auch sonst nichts zu verbergen. Was dabei vergessen geht: Bloss weil man vor dem Staat nichts zu verbergen hat, ist man noch lange nicht sicher vor Cyberkriminellen.

PS: Alle AutobesitzerInnen, die sich über die smarte Bordelektronik freuen, sollten sich diese Reportage zu Gemüte führen.

Edith Litscher-Graf, Balthasar Glättli und Max Klaus (MELANI) haben auf unseren Artikel reagiert und uns detaillierter geschildert, was sie unmittelbar für unsere Sicherheit unternehmen.

Hackerin oder Internetkrimineller? Im Volksmund wird nicht zwischen Hackern und Internetkriminellen unterschieden. Das ist nicht nur inhaltlich falsch, sondern auch schlecht für die politische Öffentlichkeit. Denn auf dem Internet kann man sich nicht nur neue Schuhe kaufen, man kann sich auch über gesellschaftliche Probleme austauschen und damit den politischen Kampf organisieren. Politischer Ungehorsam ist ein wichtiges Mittel in diesem politischen Kampf, welches von Hackern gerne benutzt wird. Paypal verweigert Wikileaks die Benutzung ihrer Dienste, Anonymous greift Paypal an. Die Paypal-Seite ist für eine Stunde offline. Paypal zahlt die Zeche (ca. 5,5 Millionen USD) und rudert schliesslich zurück. Dieser politische Kampf, auch Hacktivism genannt, steht den Handlungen der Internetkriminellen diametral gegenüber. Allein das schnelle Geld entscheidet dort, die Mittel werden nach pragmatischen Gesichtspunkten ausgewählt. Wer mehr über Hacktivism erfahren will, dem empfehle ich diese Doku über Aaron Swartz: