Emotet ist zunächst darauf ausgerichtet, ein infiziertes E-Mail-System auszuspionieren. Mit den Kontakten, die es dort findet, versucht das Programm, sich weiter auszubreiten. Auch kann es weitere Schadsoftware auf den Rechner spielen und beispielsweise versuchen, das Bankkonto des Opfers leerzuräumen. Andere Schadprogramme haben das Ziel, das Opfer zu erpressen. Bei solchen Angriffen sollen die Anwender mit manipulierten E-Mails dazu animiert werden, auf einen infizierten Dateianhang zu klicken. Wenn der Nutzer das tut, werden alle Daten auf dem Computer verschlüsselt. Für das Passwort, mit dem die Daten wieder entschlüsselt werden können, wird ein Lösegeld verlangt.

Es vergeht kaum eine Woche, in der nicht Meldungen über betroffene Institutionen die Runde machen. Sicherheitsanalysten haben mittlerweile weit mehr als 10 000 Spielarten von Verschlüsselungstrojanern ermittelt, darunter der berüchtigte Wanna Cry, der auch Rechner der Deutschen Bahn und der Stadt Baltimore im US-Bundesstaat Maryland digital angegriffen und lahmgelegt hat. Wanna Cry nutzte eine Schwachstelle im Microsoft-Betriebssystem Windows aus, die der US-Geheimdienst NSA entdeckt und jahrelang für eigene Spionageangriffe verwendet hatte. Die Cyberwaffe der NSA mit dem Namen Eternal Blue geriet 2016 in die Hände einer Hackergruppe, danach schwappten Angriffswellen mit dem Trojaner durchs Netz.

Gegen die Computerwürmer, die sich durch die Netzwerke von Firmen und Organisationen fressen, kann man sich nur schwer schützen. Das macht ein Beispiel deutlich, von dem der renommierte US-Sicherheitsforscher Bruce Schneier auf einer Fachkonferenz in Helsinki berichtete. „Die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas wurde dadurch gehackt, weil sich im lokalen Netzwerk des Hauses auch ein Fisch-Aquarium mit einem Internet-Anschluss befunden hat.“ Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert werden konnten, bohrte in die dicke digitale Abwehrmauer das entscheidende Loch.

Auf der Konferenz wies Schneier darauf hin, dass in Zukunft längst nicht mehr nur handelsübliche Computer das Ziel von Cyberkriminellen sein werden. „Autos, medizinische Geräte, Drohnen, Thermostate, Kraftwerke – das sind alles Computer.“ Im Vergleich zum PC gebe es aber einen entscheidenden Unterschied. „Wenn am Rechner meine Tabellenkalkulation abstürzt, verliere ich vielleicht eine Datei. Aber wenn die Bremsen meines autonom fahrenden Autos versagen, kann ich vielleicht dabei sterben“, betonte der Informatiker

Die neuen Möglichkeiten des schnellen Mobilfunkstandards 5G sollen die allgegenwärtige Vernetzung technisch möglich machen, sagte Rik Ferguson, Chef der Sicherheitsforschung von Trend Micro, einem japanischen Anbieter von Netzwerk-Software und Online-Dienstleistungen. 5G sei nicht unbedingt dazu da, dass Dateien schneller aus dem Internet heruntergeladen werden können. Stattdessen diene der Standard vor allem dazu, unzählige Verbindungen im Internet der Dinge herzustellen, erklärte Ferguson. Der Gedanke hinter dem Internet der Dinge ist es, Gegenstände und elektronische Geräte mit dem Internet zu verbinden, unter anderem damit sie so ferngesteuert werden können.

Bei den vernetzten Geräten tauchen aber immer wieder Schwachstellen auf. „Die meiste Software wurde schlecht geschrieben und ist nicht sicher, weil niemand für Qualitätssoftware bezahlen möchte“, so Schneier. Daher müssen eigentlich ständig Sicherheitslücken geschlossen werden. Doch das funktioniere selbst bei Smartphones mehr schlecht als recht. Viele Geräte im Internet der Dinge erhalten nie eine neue Software.

Die Forscher machten sich in Helsinki deshalb für staatlich regulierte Rahmenbedingungen stark. „Wir regulieren ja heute schon Feuerschutz und elektrische Sicherheit“, sagte Mikko Hyppönen, Forschungschef des finnischen IT-Sicherheitsunternehmens F-Secure. „Wenn ich mir heute eine Waschmaschine kaufe, kann ich ziemlich sicher sein, dass ich keinen elektrischen Schlag bekomme. Sie wird auch kein Feuer fangen. Aber sie verliert das WLAN-Passwort im Handumdrehen“, so der Informatiker.

Zu einer besseren Regulierung könne die europäische Datenschutzgrundverordnung (DSGVO) beitragen, die inzwischen auch außerhalb der Europäischen Union als Vorbild für Datenschutzregulierungen gilt. Für viele Unternehmen sei es einfacher, sich weltweit nach der DSGVO auszurichten, als verschiedene Versionen ihrer Produkte und Dienstleistungen anzubieten. Inhaltlich könne man sich auch an einem neuen Gesetz in Kalifornien orientieren. Dieses Gesetz verbietet es ab dem nächsten Jahr, vernetzte Geräte auszuliefern, die nur mit einem vorbelegten Simpel-Passwort wie „123456“ geschützt sind.