Information und Bildungsarbeit von und für die SAP-Community

Money makes the world go round…

Kennen Sie das auch? Ihre Vorhersagen treffen zu und Sie können sich trotzdem nicht freuen? Im konkreten Fall geht es um Smart-TVs.
Raimund Genes, Trend Micro
30. Juni 2016
Security
avatar

Vor einigen Jahren, als Smart-TVs langsam anfingen sich durchzusetzen, habe ich das mögliche Missbrauchspotenzial ausgelotet – es ist definitiv vorhanden.

Auf der einen Seite die technische Machbarkeit: Die Nutzung bekannter Technologien – bei denen es auch in der Vergangenheit schon Lücken gab und schon rein statistisch mit weiteren Lücken zu rechnen war – machte Angriffe wahrscheinlich.

Auf der Gegenseite aber die wirtschaftliche Sinnhaftigkeit: Sie machte Smart-TVs als Angriffsziel einfach uninteressant: Faktoren wie die noch geringe Verbreitung, die zersplitterte Plattformlandschaft sowie ein fehlendes Geschäftsmodell spielten hier die entscheidende Rolle.

Damals scherzten wir im Kollegenkreis noch über ein mögliches Geschäftsmodell: Das Einblenden einer Sperrmeldung („Lieber Zuschauer, gegen Bezahlung eines Betrags XY können Sie das Spiel weiter verfolgen“) während des Endspiels der Fußball-EM beispielsweise…

Aus Spaß wurde Ernst

Leider ist dieser Scherz von der Realität eingeholt worden. Es gibt inzwischen Schadsoftware für Android-basierte Smart-TVs, für normale Computer würde man sie als Erpressungstrojaner bezeichnen.

Sie sperrt den Fernseher und blendet eine angebliche Meldung der „US Cyber Police“ ein. In der wird der Zuschauer einer Straftat bezichtigt, die er natürlich nicht begangen hat – und von der er sich gegen Zahlung von iTunes-Geschenkkarten im Gegenwert von etwa 200 US-Dollar freikaufen kann.

Genau dieselbe Vorgehensweise hat vor nicht allzu langer Zeit PC-Benutzer in Form des sogenannten „BKA-Trojaners“ heimgesucht.

Warum also jetzt „auf einmal doch“ Smart-TVs?

Während es in der Frühzeit der Smart-TVs viele verschiedene Plattformen gab, hat sich inzwischen Android auf breiter Front durchgesetzt. D.h. aus Sicht der Cyberkriminellen ist das Verhältnis aus Entwicklungsaufwand zu Anzahl der möglichen Opfer „besser“.

Hinzu kommt, dass sie bei Mobilgeräten die Entwicklung von Schadsoftware perfektioniert haben – und damit der Lernaufwand bei Smart-TVs vergleichsweise gering ist.

Und weil sich Smart-TVs inzwischen massenhaft verkauft haben, ist natürlich auch die Anzahl der potenziellen Opfer gestiegen.

An diesem Fall lässt sich eine wichtige Lektion mit Cyberkriminellen belegen: Nicht alles, was technisch machbar ist, wird auch getan. Nur weil ein System verwundbar ist, stürzen sich nicht Heerscharen von Cyberkriminellen zwangsläufig darauf.

Aus Marketingsicht ist das reine Vorhandensein eines Risikos natürlich Grund genug, in diese Bresche zu schlagen. Der entscheidende Aspekt ist die Eintrittswahrscheinlichkeit! Sie hängt bei „normalen“ Angriffen vom möglichen Gewinn ab.

Wir haben diese Entwicklung in der Vergangenheit oft beobachtet: Spam, ­Phishing, Trojaner, Sicherheitslücken, persönliche Daten. Erst als damit Geld zu verdienen war, ging – salopp gesagt – die Post ab.

Daher war schon zu Beginn der Smart-TVs klar: Es kommen Angriffe, sobald sich ein Geschäftsmodell entwickelt bzw. rentiert.

Heißt das, dass man Risiken, deren Geschäftsmodell noch nicht tragfähig ist, ignorieren darf?

Aus Sicht der Risikobetrachtung: Nein! Jedoch ist die Eintrittswahrscheinlichkeit anzupassen. Man muss das Risiko also im Auge behalten, darf aber keine Panik-Schnellschüsse durchführen.

Uns muss nur klar sein, dass früher oder später viele gefährdete Technologien im großen Maßstab missbraucht werden. Damit einher geht auch die Frage nach der „Säuberung“, die in vielen Köpfen herumschwirrt.

Und spätestens hier wird es absolut unangenehm. Beim Smart-TV kann man vielleicht einfach nur nicht mehr fernsehen. Aber während sich ein PC, ein mobiles Gerät oder auch ein Fernseher vielleicht noch mit vertretbarem Aufwand in einen sauberen Zustand versetzen lassen, wird es bei immer mehr Embedded-Geräten immer schwerer.

Auf der einen Seite haben diese häufig weder ein Interface, mit dem man noch etwas bewirken kann, noch besteht der physische Durchgriff auf diese. Man stelle sich einfach ein kleines generisches Gerät vor, das Sensoren ausliest und Aktoren bedient – ohne Interface und ganz tief in viele Produkte integriert.

Aus Sicht der Cyberkriminellen ist das vielleicht das Paradies. Technisch vielleicht nur mit großem Aufwand zu kompromittieren – bei Erfolg aber unbezahlbar!

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.