Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Skyline von Tokio

Die Unternehmen des Landes haben viel Nachholbedarf bei der Cybersicherheit.

(Foto: AFP)

„Project Notice“ Warum Japans Staat seine eigenen Bürger hackt

Mit einem Großangriff auf vernetzte Geräte will die Regierung die Konzerne aufschrecken. Die Lage ist ernst: Japan hinkt bei der IT-Sicherheit weit hinterher.
Kommentieren

TokioNormalerweise werden große Cyberattacken im Verschwiegenen durchgeführt. Der japanische Staat testet nun eine andere Variante: Mit großem medialen Aufwand kündigte die Regierung an, dass staatliche Hacker ab dem 20. Februar landesweit mehr als 200 Millionen vernetzte Geräte von Firmen und Bürgern angreifen würden, Computer und Smartphones ausgenommen.

Unter der Aufsicht des Innen- und Kommunikationsministeriums werden Angestellte von Japans nationalem Institut für Informations- und Kommunikationstechnik (Nict) mit einfachen Standardkennwörtern wie „admin1234“ versuchen, in Webkameras, Internetrouter und andere Geräte einzudringen. Und damit die Nation das auch weiß, wurden neben Medienberichten eine eigene Internetseite und Poster lanciert.

In allen wird prominent auf das „Project Notice“ verwiesen. Und dabei steht der Begriff Notice für das pädagogische Programm des Hackerangriffs: Es handelt sich um eine Abkürzung für „National Operation Towards IoT Clean Environment“, also eine nationale Operation, die zu einer sauberen Umwelt im Internet der Dinge (IoT) führen soll. Die Nutzer sollen so erinnert werden, die voreingestellten einfachen Passwörter zu ändern.

Der Versuch gilt unter Cybersecurity-Experten als Novum. Es sehe zwar auf den ersten Blick nur wie eine schlichte Untersuchung der Verwundbarkeit aus, sagt der Vizepräsident des Cybersecurity-Beraters Comae Technologies, der nur unter „The Grugq“ auftritt, dem Handelsblatt. Der Test von Nutzernamen und Kennwörter passiere im Internet andauernd. „Aber dass eine Regierung das vorher ankündigt, habe ich noch nicht gehört.“

In diesem Fall ist das allerdings keine negative Verwunderung. Im Gegenteil. „Es ist keine schlechte Idee, den Menschen mitzuteilen, dass ihre Geräte mit Standardkennwörtern offen für Attacken sind“, lobt der Sicherheitsexperte. „Man muss ja nur auf das Botnet Mirai schauen, um zu sehen, was passiert, wenn diese Tore offengelassen werden.“

Mirai gilt als das Botnet, dass 2016 fast das Internet in die Knie gezwungen hätte. Die Initiatoren durchforsteten damals das Internet nach offenen Internetzugängen. Bei denen probierten sie dann eine Liste von gerade 60 Standardkennwörtern durch – mit sagenhaftem Erfolg. Mehr als 400.000 Geräte konnten Mirai kapern.

Diese Armee an Geräten nutzten die Betreiber des Botnets dann für massive „Distributed Denial of Service“ (DDoS)-Attacken. Bei diesem Verfahren werden Internetserver solange mit Anfragen beschossen, bis sie wegen Überlastung zusammenbrechen.

Zahl der vernetzten Geräte ist stark gestiegen

Erst schossen die Initiatoren damit im September 2016 die Internetseite des auf Internetsicherheit spezialisierten Journalisten Brian Krebs aus dem Netz, kurz darauf den französischen Web-Dienst OVH. Im Oktober 2016 gipfelte der Angriff in einer Attacke auf das amerikanische Unternehmen Dyn, das für weite der Teile der US-Ostküste die Internetadressen verwaltet. Viele Internetseiten waren daraufhin für Stunden nicht mehr zu erreichen.

Doch das war 2016. Nun ist 2019 – und die Zahl der vernetzten Geräte und damit der Einfallstore für Cyberkriminelle explodiert. Die Angaben der Prognosen variieren, aber sie alle machen wie die von IoT Analytics aus dem Jahr 2018 das wachsende Risiko deutlich.

Die Experten erwarten, dass die Zahl der IoT-Geräte von sieben Milliarden Stück im Jahr 2018 auf bis 2020 auf 9,9 Milliarden und bis 2025 auf 21,5 Milliarden steigen wird. Rechnet man Computer, Smartphones und Tablets dazu, sind die Zahlen noch viel höher. Japans Problem: Das Land gilt in der Szene als besonders verwundbar.

„Sicherheitsexperten sind besorgt darüber, dass Japan Cybersicherheitsstrategie zehn Jahre zurückhinkt“, warnten Experten des Technikkonzerns NEC bereits 2017 in einem Artikel. Norbert Gehrke, Gründer von Tokyo Fintech, nennt einen Grund: „Die Japaner haben noch nicht verstanden, dass ein 12-Jähriger in Korea oder Peru in japanische Rechner einbrechen könnte.“ Denn der Glauben, in einem der sichersten Länder der Welt zu leben, habe die Japaner auch im Cyberspace zu vertrauensselig gemacht.

Doch noch schlimmer ist für NECs Experten die Nachlässigkeit von Unternehmen und Behörden. „Der gesamte Mangel in hausinterner Sicherheitsexpertise von der Spitze bis in die unteren Ränge ist für Cybersicherheitsexperten sehr beunruhigend.“ Dafür machen die Verfasser ein Bündel an Faktoren verantwortlich.

Es beginnt mit Japans Kultur der Vermeidung von persönlichem Risiko. Die würde nicht etwa dazu führen, dass Organisationen Gefahren offen angingen. Stattdessen würden nur wenige Manager und Beamte ihre Karrieren riskieren, um ihre Organisationen aufzuschrecken, so die Experten.

Minister für Cybersicherheit hat noch nie einen Computer bedient

Außerdem würden Manager Hacks aus Angst vor Blamage vertuschen, anstatt sie aufzudecken. Erschwerend komme hinzu, dass es in den Führungen von Behörden und Unternehmen oft an Wissen fehle, beklagten die Experten von NEC.

Der lebende Beweis für diese These ist Japans Minister für Cybersicherheit, der die Olympischen Spiele 2020 in Tokio gegen digitale Attacken schützen soll: Der 68-jährige Yoshitaka Sakurada hat nach eigener Aussage in seinem Leben noch nie einen Computer bedient.

Das Urteil der NEC-Experten ist daher hart: „Japanische Führungskräfte sehen Cybersicherheit noch immer als Kosten anstatt als integralen Bestandteil ihres Geschäftsbetriebs.“ Viele Unternehmen hätten noch nicht einmal einen Vorstand für Informationssicherheit.

Die dümmsten Passwörter der Welt
Hacker
1 von 19

Obwohl Daten- und Identitätsdiebstähle ständig Schlagzeilen machen, benutzen viele Internetnutzer weiterhin unsichere Passwörter. Das beliebteste Passwort der Welt sei nach wie vor „123456“, teilte das Potsdamer Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) am Dienstag auf Grundlage einer Analyse gestohlener Datensätze mit. Die HPI-Forscher stützten ihre Angaben auf die Analyse von mehr als 215 Millionen geraubten Identitätsdaten, die sie seit 2011 im Netz entdeckt hatten. Allein in diesem Jahr untersuchten sie nach eigenen Angaben fast 35 Millionen Datensätze, die von Cyberkriminellen in speziellen Internetforen veröffentlicht wurden. Diese Daten stammten demnach aus 15 verschiedenen Quellen, darunter einem Hackerangriff auf das Seitensprungportal Ashley Madison.

(Foto: dpa)
Jahreswechsel
2 von 19

Simple Zahlenfolgen

Unter den mehr als 3,3 Millionen Passwörtern, die 2014 geknackt wurden, sind simple Zahlenreihen besonders häufig vertreten. Auf dem ersten Platz landet "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567".

Datenquelle: SplashData, Liste von "Time" veröffentlicht

(Foto: dpa)
Cyberkriminalität
3 von 19

Passwort: "Password"

Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter.

(Foto: dpa)
Nicht gerade kreativ
4 von 19

Fantasiewörter

Sie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz".

(Foto: Reuters)
Mark Reynolds
5 von 19

Das sportliche Passwort

Sport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball".

(Foto: AP)
Fabelwesen
6 von 19

Mystische Gestalten

Auch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun.

(Foto: Reuters)
Super Bowl Football
7 von 19

Sport, die zweite

Anhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten.

(Foto: ap)

Immerhin hat die Regierung die Lage erkannt – mit den Olympischen Spielen als Katalysator. Die Regierung will sie zu einer Leistungsschau von Hightech aus Japan verwandeln. Erfolgreiche Cyberattacken würden diesen Plan hintertreiben.

Mit neuen Gesetzen stärkt die Regierung daher die eigene Verteidigung. Außerdem beschleunigen Staat und Unternehmen die Ausbildung von IT-Fachleuten, um die enorme Personallücke von mehr als 130.000 Experten zu schließen.

Die jetzige Cyberattacke auf das eigene Land soll nun die Nutzer daran erinnern, dass es notwendig sei, angemessene Sicherheitsvorkehrungen zu treffen, erklärt das staatliche IT-Institut Nict den Bürgern und Unternehmen. Sie wurde daher von langer Hand vorbereitet. So erlaubten die Parteien 2018 durch ein spezielles Gesetz den Experten des Nict, für fünf Jahre befristet in Geräte einzudringen.

Leise Kritik wurde ebenfalls beiseite gewischt. Die Regierung versichert stattdessen, dass die Hackingattacke die Privatsphäre der Bürger nicht verletze. Denn es würden keine E-Mails und andere Kommunikationen ausgespäht werden. Die Zukunft muss nun zeigen, ob diese Erziehungskampagne die Japaner tatsächlich für Cybersecurity sensibilisiert.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Startseite

0 Kommentare zu "„Project Notice“: Warum Japans Staat seine eigenen Bürger hackt"

Das Kommentieren dieses Artikels wurde deaktiviert.