Vom 14. Juni bis zum 15. Juli 2018 findet die 21. Fußball-Weltmeisterschaft statt. Der Großteil der Veranstaltung wird sich in der realen Welt in Russland abspielen, doch können gegnerische Angriffe von virtueller Seite nicht ausgeschlossen werden. Ob bei der Übertragung der Spiele, auf Wettplattformen oder beim Ticketverkauf, auch die IT-Systeme werden gute Verteidiger brauchen.
Die Fußball-Weltmeisterschaft ist wie jede andere sportliche Großveranstaltung ein besonderer Moment internationaler Verbundenheit, zugleich aber auch Rahmen staatlicher Zerwürfnisse wie beispielsweise in dem Fall, bei dem vor Kurzem Russland und die Ukraine aneinandergerieten. Der Hauptunterschied zu den Auseinandersetzungen auf dem Rasen besteht darin, dass die Hacker sich hier davor hüten, ihr Trikot offen zu zeigen: Ihr Ziel ist, so wenige Spuren wie möglich zu hinterlassen. Die meisten Vorfälle sind eher auf Ebene der politischen Strategie angesiedelt als im Bereich der Informatik. Es braucht Gespür und Können, um echte Spuren von den Täuschungen der Angreifer unterscheiden zu können.
Provider, Betreiber und ADSL-Boxen sind alle Zielscheiben und Tore, auf die geschossen wird. Weniger, um Chaos zu schaffen, indem man für Unmut unter den privaten Zuschauern der Übertragungen sorgt, sondern um das Gastgeberland zu diskreditieren, indem man Störungen bei bedeutenden Infrastruktureinrichtungen wie Krankenhäusern oder Straßennetzen auslöst. Russland gerät so (wieder) ins Zentrum der aktuellen Geschehnisse der Cyberwelt.
Die Übertragungen: die schwierige Frage der Vertraulichkeit von Informationen
Jede Spielübertragung ist der Gefahr von Hackerangriffen ausgesetzt: Dies reicht von der einfachen Störung – man denke an Amélie Poulain, die sich an ihrem Nachbarn rächte, indem sie in den Momenten, in denen Tore fielen, das Kabel seiner Antenne herauszog – bis hin zu weitreichenderen, fast industriellen Eingriffen. Heikles Problem: Informationen müssen übertragen werden können, aber nicht zu viele. Sie müssen an die Kunden übermittelt werden, wobei sichergestellt werden muss, dass diese nicht ihr Signal verwenden, um es mit ihren Nachbarn gemeinsam zu nutzen. In Frankreich werden die mit besonderer Ungeduld erwarteten Spiele unverschlüsselt auf dem Sender TF1 übertragen. Das Risiko von Hackerangriffen wird vor allem Spiele betreffen, die über kostenpflichtige Medien übertragen werden.
Auf der Arabischen Halbinsel hat die katarische Mediengruppe beIN Sports Saudi-Arabien bereits vorgeworfen, ein groß angelegtes Hacking-Programm finanziert zu haben, das auf ihre Sender ausgerichtet war. Aber wie kann man sich verteidigen? Wie sind die Daten, die übertragen werden sollen, zu verschlüsseln? Ein einziger böswilliger Kunde (oder ein etwas zu wohlwollender Kunde, je nach Sichtweise) kann einen entschlüsselten Datenstrom nutzen und ihn an einen anderen Ort weiterleiten. Eine alte Frage im Rahmen der Digitalen Rechteverwaltung: Wie kann sichergestellt werden, dass eine Person, die ein Medium anschaut, dieses nicht weiterübertragen kann? Im erwähnten Fall hat beIN Sports für den Moment damit reagiert, die Programme kostenfrei anzubieten! Für die Mediengruppe bedeutet dies, dass andere Mittel gefunden werden müssen, um Einnahmen zu erzielen (über zusätzliche Inhalte oder Werbung).
Schwarzmarkt und Wettplattformen: die entscheidende Integrität der Informationen
Das Hauptproblem bei elektronischen Tickets liegt nicht mehr so sehr bei der Vertraulichkeit der Informationen sondern eher bei ihrer Verfügbarkeit und Richtigkeit. Wie bei der letzten Weltmeisterschaft ist das diesjährige Turnier bereits von groß angelegten Phishing-Kampagnen geprägt, deren Ziel es ist, falsche Tickets zu verkaufen. In Kombination mit Denial-of-Service-Angriffen („DoS“ – Dienstverweigerung) könnte es zu schwerwiegenden Folgen kommen, da ein System, das nicht in der Lage ist, richtige von falschen Tickets zu unterscheiden, schnell zu gewaltigen Warteschlangen vor den Stadien und sehr realen Sicherheitsproblemen mit Hooligans führen wird. Eine Imagefrage: Stellen Sie sich ein Eröffnungsspiel zwischen Russland und Saudi-Arabien mit fast leeren Tribünen vor, während der Großteil der Fans vor den Türen des Stadions feststeckt … oder Sportjournalisten in ihren Pressebereichen vollkommen verloren ohne Internetverbindung. Die Informationen müssen also durch Firewalls, Redundanzen bei der Ausstattung und geeignete Back-ups auch ohne Internetzugang geschützt werden.
Eine Imagefrage: Stellen Sie sich ein Eröffnungsspiel zwischen Russland und Saudi-Arabien mit fast leeren Tribünen vor, während der Großteil der Fans vor den Türen des Stadions feststeckt …
Die Frage der Integrität ist natürlich nicht zu vernachlässigen, da es möglich sein muss, mit Sicherheit festzustellen, dass es sich auch um den rechtmäßigen Ticketinhaber handelt. Da die Folgen von elektronischem Betrug dieser Art dennoch weniger verheerend sind, tritt das Problem der Integrität im Vergleich zu dem der Verfügbarkeit ein wenig in den Hintergrund. Die Integrität der Informationen rückt bei einem anderen Thema dieser Weltmeisterschaft in den Fokus: Wettplattformen. Wie kann sichergestellt werden, dass das Geld der richtigen Person überwiesen wird (z. B. demjenigen, der dank seines untrüglichen Bauchgefühls auf das unwahrscheinliche entscheidende Tor Islands im Spiel gegen Argentinien in der 89. Minute gesetzt hatte)? Natürlich ist es möglich, die Information zu verschlüsseln und hier vor allem Verfahren mit kryptografischen Signaturen einzusetzen, um sicherzustellen, dass die „Vorhersage“ von der richtigen Person (die Wettseite und nicht der Angreifer) und im richtigen Moment (vorzugsweise vor dem Treffer!) geschrieben wurde, und dass schließlich das Geld ordnungsgemäß überwiesen wird, also über eine Bank.
Im Gegensatz zu den Systemen, bei denen der Verfügbarkeit der Informationen Vorrang gegeben wird, geht dieses Mal die Integrität der Daten über Verfügbarkeit – es spielt keine Rolle, ob ein Tresor weiterhin funktioniert, wenn ihn jemand geleert hat. Also wird man bei einer Seite für Online-Wetten darauf bedacht sein, dass die Orte, an denen die Wetten gespeichert sind, nicht lediglich durch Back-up- oder Redundanz-Systeme vor Angriffen geschützt sind, sondern durch einen umfassenden Netzwerkschutz der klassischen Art mit einer Kombination aus Verschlüsselung, Passwörtern, Firewalls und automatisierten Analysesystemen zur Identifizierung betrügerischer Vorgänge.
Und die Spiele selbst?
Bleibt natürlich noch der entscheidende Moment – das Spiel. Während die Sportkommentatoren innerhalb des Stadions vernetzt sein müssen, um uns die Spiele live erleben zu lassen, sind die Übertragungswagen mit ihren riesigen Antennen auf dem Dach meistens autonom und direkt mit den Satelliten verbunden. Sofern man nicht gerade vor Ort ist, um das Signal eines Übertragungswagens zu stören – und das auch noch schafft, ohne ertappt zu werden –, ist es eher unwahrscheinlich, dass ein Satellit mitten in einem Spiel gehackt wird.
In Spielfeldnähe dürfte man also ungestört bleiben. Es dürfte noch eine ganze Weile dauern, bis die Hacker eventuell in der Lage sind, Videobeweisbilder live zu verändern und den Pfostenschuss des Franzosen Gignac gegen Portugal in einen gültigen Treffer zu verwandeln! Und ein durch IT-Angriffe komplett kompromittierter Videobeweis würde es Sergio Ramos noch immer nicht erlauben, sich dies zunutze zu machen, um nach Belieben den gegnerischen Torwart wegzutackeln – in der realen Welt gibt es trotzdem (in der Theorie) noch immer Menschen, die diese Art Details überwachen. Mit einer richtigen digitalen Hygiene dürften auch den Spielern Manipulationsversuche erspart bleiben. Die britische Regierung ist sogar so weit gegangen, die Spieler des englischen Teams über die Gefahren von Cyberangriffen über ihre Smartphones und Spielkonsolen zu informieren! Solange es sich nicht um Androiden handelt, deren Steuerung aus der Ferne gehackt werden könnte, dürfte die sportliche Fairness gewahrt bleiben.
Der größte Schwachpunkt bleibt derzeit die Übertragung, und zwar nicht seitens der Übertragungswagen, sondern die für die Fernsehzuschauer. Es gibt keine Audio- oder Videoinhalte, die außerhalb des klassischen Marktes nach ihrer Ausstrahlung lange Zeit unzugänglich bleiben. Die Sicherstellung der Vertraulichkeit gegenüber einer oder auch zehn Vertrauenspersonen ist eine Sache, im Falle von Hunderten Millionen Zuschauern bleibt dies utopisch.
Aber ist dies wirklich das schwerwiegendste Problem? Michel Platini erklärte am 20. Mai, dass die Weltmeisterschaft 1998 durch die eigenen Veranstalter „gehackt“ war, da Brasilien und Frankreich bis zum Finale nicht aufeinandergetroffen waren. Wie wäre es, die Organisation der nächsten Weltmeisterschaft in vier Jahren künstlicher Intelligenz zu überlassen und damit vorlieb zu nehmen, dass die Menschen allein auf dem Rasen spielen?
Danke an Paul Fariello, Security Researcher und offensiver Mittelfeldspieler des Security-Intelligence-Teams bei Stormshield, für seine wertvolle Unterstützung beim Verfassen dieses Artikels, in Zusammenarbeit mit der Redaktion von Usbek & Rica.