Das Risiko, Alltagsgegenstände als Waffe einzusetzen

Am 18. September explodierte in Baalbek, Libanon, ein Funkgerät. (Quelle: Anadolu)

Die jüngsten Angriffe im Libanon mittels mit Sprengstoff beladener Pager und Funkgeräte stellen eine neue Taktik dar und sind eine große sicherheitspolitische Herausforderung für alle Länder der Welt .

Das Besondere an dieser Taktik ist, dass es sich nicht um technologische Sabotage gegen den Feind handelt. Historisch gesehen wurde die Trojanische-Pferd-Taktik eingesetzt, indem Kommunikationssysteme oder militärische Ausrüstung ausgenutzt wurden, um gezielt bestimmte Ziele anzugreifen.

Software-Targeting

Die Anschläge im Libanon sind umstritten, da dabei Sprengsätze zum Einsatz kamen, die auch im zivilen Leben weit verbreitet sind. Bei den Anschlägen im Libanon wurden 37 Menschen getötet, darunter zwei Kinder und mehrere Hisbollah-Kommandeure, und fast 3.000 weitere verletzt.

Experten für humanitäres Völkerrecht werfen dem Anschlag einen Verstoß gegen internationales Recht vor, da nicht zwischen militärischen und zivilen Zielen unterschieden und verbotene Sprengfallen in konventionellen Sprengsätzen eingesetzt wurden, die Zivilisten gefährden könnten. Sicherheitsexperten warnen zudem, dies könne den Beginn einer neuen Ära der „Waffenisierung“ von Alltagsgegenständen einläuten.

Angriffe, bei denen IoT-Geräte durch gezielte Manipulation ihrer Software sabotiert oder deaktiviert werden, kommen immer häufiger vor. Da die Hersteller die Software kontrollieren, mit der die Produkte Daten erfassen und verarbeiten, verfügen sie über integrierte Funktionen zur Funktionserweiterung oder -minderung. Dies ermöglicht auch präventive Anpassungen, indem Unternehmen die Funktionalität gezielt einschränken, indem sie Software-Updates strategisch begrenzen.

Ein aktuelles Beispiel aus dem Markt ist ein Streit zwischen einem Zughersteller und einer Eisenbahngesellschaft in Polen, der dazu führte, dass einige kürzlich reparierte Züge im Jahr 2022 monatelang nicht einsetzbar waren, weil der Hersteller digitale Fernverriegelungen verwendet hatte.

Diese Beispiele verdeutlichen, wie wichtig die Kontrolle von Software in einer Zeit ist, in der immer mehr Produkte und Infrastrukturen vernetzt sind. Anstatt Sabotageakte zu verüben oder heimlich Sprengsätze mithilfe von Scheinfirmen herzustellen, können Angreifer Software ins Visier nehmen. Sie können Hersteller infiltrieren, um die Softwareproduktion zu manipulieren, Sicherheitslücken auszunutzen oder einfach Netzwerke anzugreifen.

Sicherheitsnachrichtendienste betonen seit langem die Notwendigkeit, kritische Infrastrukturen zu schützen, die zunehmend auf digitale Netzwerke angewiesen sind, von intelligenten Stromnetzen über Notfallkommunikationssysteme bis hin zu Verkehrsleitsystemen.

Im Jahr 2021 warnte der kanadische Sicherheitsnachrichtendienst (CSIS), dass die Ausnutzung kritischer Infrastruktursysteme durch feindliche Akteure „schwerwiegende finanzielle, soziale, gesundheitliche und sicherheitsrelevante Auswirkungen“ im Land haben würde.

Gewährleistung der Sicherheit der Menschen

Um die potenziellen Auswirkungen zu verstehen, ist es wichtig, mit etwas Alltäglichem zu beginnen. Ein zweitägiger Stromausfall bei Rogers Communications im Juli 2022 legte aufgrund eines Fehlers bei einem System-Upgrade die Internet- und Mobilfunkdienste für mehr als 12 Millionen Kunden in ganz Kanada lahm.

Die Angriffe im Libanon stellen möglicherweise einen Verstoß gegen das Völkerrecht dar, da sie Zivilisten ins Visier nahmen und mit Sprengstoff präparierte Alltagsgegenstände verwendeten. Die Verwendung von Kommunikationsgeräten als Waffen bei den Angriffen wird eingehend untersucht. Der ehemalige CIA-Direktor Leon Panetta bezeichnete die Angriffe als Terrorismus.

Wenn mehrere Hersteller und Händler an der Montage eines Produkts beteiligt sind, muss der Endverbraucher der Integrität der Lieferkette vertrauen können, die dieses Produkt hergestellt und geliefert hat. Im Fall der Anschläge im Libanon sind die wirtschaftlichen und politischen Auswirkungen weitreichend, und es wird schwierig sein, das Vertrauen wiederherzustellen.

Neben den Folgen von Angriffen auf globale Lieferketten ergeben sich auch politische Implikationen für Hersteller von Produkten für das „Internet der Dinge“, die eine Verbesserung der Corporate-Governance-Praktiken erfordern.

Die US-amerikanische Federal Communications Commission (FCC) hat kürzlich ein freiwilliges Kennzeichnungsprogramm für das „Internet der Dinge“ ab 2024 genehmigt, das es Herstellern ermöglicht, das nationale Gütesiegel „Virtual Network Trustmark“ zu verwenden. Ziel ist es, Verbrauchern fundierte Kaufentscheidungen zu ermöglichen und Hersteller zu ermutigen, immer höhere Cybersicherheitsstandards zu erfüllen.

Die Angriffe im Libanon verdeutlichen die Notwendigkeit, dass Regierungen auf allen Ebenen angemessene Anforderungen für die Beschaffung und den Betrieb digitaler Infrastruktur festlegen. Dazu gehört auch die Klärung der Verantwortlichkeiten für Betrieb und Instandhaltung der Infrastruktur, um die öffentliche Sicherheit im Zeitalter von Cyberbedrohungen besser zu gewährleisten.