Sie verwenden eine veraltete Browserversion. Bitte verwenden Sie eine unterstütze Versiondamit Sie MSN optimal nutzen können.

„Project Notice“: Warum Japans Staat seine eigenen Bürger hackt

Handelsblatt-Logo Handelsblatt 18.02.2019 Kölling, Martin

Die Unternehmen des Landes haben viel Nachholbedarf bei der Cybersicherheit. © AFP Die Unternehmen des Landes haben viel Nachholbedarf bei der Cybersicherheit.

Mit einem Großangriff auf vernetzte Geräte will die Regierung die Konzerne aufschrecken. Die Lage ist ernst: Japan hinkt bei der IT-Sicherheit weit hinterher.

Normalerweise werden große Cyberattacken im Verschwiegenen durchgeführt. Der japanische Staat testet nun eine andere Variante: Mit großem medialen Aufwand kündigte die Regierung an, dass staatliche Hacker ab dem 20. Februar landesweit mehr als 200 Millionen vernetzte Geräte von Firmen und Bürgern angreifen würden, Computer und Smartphones ausgenommen.

Unter der Aufsicht des Innen- und Kommunikationsministeriums werden Angestellte von Japans nationalem Institut für Informations- und Kommunikationstechnik (Nict) mit einfachen Standardkennwörtern wie „admin1234“ versuchen, in Webkameras, Internetrouter und andere Geräte einzudringen. Und damit die Nation das auch weiß, wurden neben Medienberichten eine eigene Internetseite und Poster lanciert.

In allen wird prominent auf das „Project Notice“ verwiesen. Und dabei steht der Begriff Notice für das pädagogische Programm des Hackerangriffs: Es handelt sich um eine Abkürzung für „National Operation Towards IoT Clean Environment“, also eine nationale Operation, die zu einer sauberen Umwelt im Internet der Dinge (IoT) führen soll. Die Nutzer sollen so erinnert werden, die voreingestellten einfachen Passwörter zu ändern.

Mehr auf MSN

NÄCHSTES
NÄCHSTES

Das könnten Sie auch interessieren:

Russland: Eiserner Digital-Vorhang

Amerikas neue Mondmission: "Diesmal werden wir bleiben"

Der Versuch gilt unter Cybersecurity-Experten als Novum. Es sehe zwar auf den ersten Blick nur wie eine schlichte Untersuchung der Verwundbarkeit aus, sagt der Vizepräsident des Cybersecurity-Beraters Comae Technologies, der nur unter „The Grugq“ auftritt, dem Handelsblatt. Der Test von Nutzernamen und Kennwörter passiere im Internet andauernd. „Aber dass eine Regierung das vorher ankündigt, habe ich noch nicht gehört.“

In diesem Fall ist das allerdings keine negative Verwunderung. Im Gegenteil. „Es ist keine schlechte Idee, den Menschen mitzuteilen, dass ihre Geräte mit Standardkennwörtern offen für Attacken sind“, lobt der Sicherheitsexperte. „Man muss ja nur auf das Botnet Mirai schauen, um zu sehen, was passiert, wenn diese Tore offengelassen werden.“

Mirai gilt als das Botnet, dass 2016 fast das Internet in die Knie gezwungen hätte. Die Initiatoren durchforsteten damals das Internet nach offenen Internetzugängen. Bei denen probierten sie dann eine Liste von gerade 60 Standardkennwörtern durch – mit sagenhaftem Erfolg. Mehr als 400.000 Geräte konnten Mirai kapern.

Diese Armee an Geräten nutzten die Betreiber des Botnets dann für massive „Distributed Denial of Service“ (DDoS)-Attacken. Bei diesem Verfahren werden Internetserver solange mit Anfragen beschossen, bis sie wegen Überlastung zusammenbrechen.

Zahl der vernetzten Geräte ist stark gestiegen

Erst schossen die Initiatoren damit im September 2016 die Internetseite des auf Internetsicherheit spezialisierten Journalisten Brian Krebs aus dem Netz, kurz darauf den französischen Web-Dienst OVH. Im Oktober 2016 gipfelte der Angriff in einer Attacke auf das amerikanische Unternehmen Dyn, das für weite der Teile der US-Ostküste die Internetadressen verwaltet. Viele Internetseiten waren daraufhin für Stunden nicht mehr zu erreichen.

Doch das war 2016. Nun ist 2019 – und die Zahl der vernetzten Geräte und damit der Einfallstore für Cyberkriminelle explodiert. Die Angaben der Prognosen variieren, aber sie alle machen wie die von IoT Analytics aus dem Jahr 2018 das wachsende Risiko deutlich.

Die Experten erwarten, dass die Zahl der IoT-Geräte von sieben Milliarden Stück im Jahr 2018 auf bis 2020 auf 9,9 Milliarden und bis 2025 auf 21,5 Milliarden steigen wird. Rechnet man Computer, Smartphones und Tablets dazu, sind die Zahlen noch viel höher. Japans Problem: Das Land gilt in der Szene als besonders verwundbar.

„Sicherheitsexperten sind besorgt darüber, dass Japan Cybersicherheitsstrategie zehn Jahre zurückhinkt“, warnten Experten des Technikkonzerns NEC bereits 2017 in einem Artikel. Norbert Gehrke, Gründer von Tokyo Fintech, nennt einen Grund: „Die Japaner haben noch nicht verstanden, dass ein 12-Jähriger in Korea oder Peru in japanische Rechner einbrechen könnte.“ Denn der Glauben, in einem der sichersten Länder der Welt zu leben, habe die Japaner auch im Cyberspace zu vertrauensselig gemacht.

Doch noch schlimmer ist für NECs Experten die Nachlässigkeit von Unternehmen und Behörden. „Der gesamte Mangel in hausinterner Sicherheitsexpertise von der Spitze bis in die unteren Ränge ist für Cybersicherheitsexperten sehr beunruhigend.“ Dafür machen die Verfasser ein Bündel an Faktoren verantwortlich.

Es beginnt mit Japans Kultur der Vermeidung von persönlichem Risiko. Die würde nicht etwa dazu führen, dass Organisationen Gefahren offen angingen. Stattdessen würden nur wenige Manager und Beamte ihre Karrieren riskieren, um ihre Organisationen aufzuschrecken, so die Experten.

Minister für Cybersicherheit hat noch nie einen Computer bedient

Außerdem würden Manager Hacks aus Angst vor Blamage vertuschen, anstatt sie aufzudecken. Erschwerend komme hinzu, dass es in den Führungen von Behörden und Unternehmen oft an Wissen fehle, beklagten die Experten von NEC.

Der lebende Beweis für diese These ist Japans Minister für Cybersicherheit, der die Olympischen Spiele 2020 in Tokio gegen digitale Attacken schützen soll: Der 68-jährige Yoshitaka Sakurada hat nach eigener Aussage in seinem Leben noch nie einen Computer bedient.

Das Urteil der NEC-Experten ist daher hart: „Japanische Führungskräfte sehen Cybersicherheit noch immer als Kosten anstatt als integralen Bestandteil ihres Geschäftsbetriebs.“ Viele Unternehmen hätten noch nicht einmal einen Vorstand für Informationssicherheit.

Immerhin hat die Regierung die Lage erkannt – mit den Olympischen Spielen als Katalysator. Die Regierung will sie zu einer Leistungsschau von Hightech aus Japan verwandeln. Erfolgreiche Cyberattacken würden diesen Plan hintertreiben. 

Mit neuen Gesetzen stärkt die Regierung daher die eigene Verteidigung. Außerdem beschleunigen Staat und Unternehmen die Ausbildung von IT-Fachleuten, um die enorme Personallücke von mehr als 130.000 Experten zu schließen.

Die jetzige Cyberattacke auf das eigene Land soll nun die Nutzer daran erinnern, dass es notwendig sei, angemessene Sicherheitsvorkehrungen zu treffen, erklärt das staatliche IT-Institut Nict den Bürgern und Unternehmen. Sie wurde daher von langer Hand vorbereitet. So erlaubten die Parteien 2018 durch ein spezielles Gesetz den Experten des Nict, für fünf Jahre befristet in Geräte einzudringen.

Leise Kritik wurde ebenfalls beiseite gewischt. Die Regierung versichert stattdessen, dass die Hackingattacke die Privatsphäre der Bürger nicht verletze. Denn es würden keine E-Mails und andere Kommunikationen ausgespäht werden. Die Zukunft muss nun zeigen, ob diese Erziehungskampagne die Japaner tatsächlich für Cybersecurity sensibilisiert.

| Anzeige
| Anzeige

Mehr von Handelsblatt

| Anzeige
image beaconimage beaconimage beacon