Seit ich in der Sicherheitsbranche arbeite – und ich muss ehrlich sagen, dass das noch nicht so lange ist –, überrascht es mich, dass es keine Attacken auf Spielesysteme gibt. Man liest vielleicht ein paarmal pro Jahr darüber, dass eine Sicherheitslücke eines bestimmten Spiels oder einer Spieleplattform ausgenutzt wurde. Doch meist sind diese Attacken Einzelschläge, die generell eine Spiele-Online-Plattform, ein Spiele-Forum oder eine Spiele-Datenbank angreifen. Der seit vielen Jahren populäre PC-Shooter CounterStrike ist dafür ein großartiges Beispiel: Es scheint dauernd CounterStrike-Hacks zu geben.
Um eines klarzustellen: Spieler auf dem Computer, vor allem jene, die Massive-Multiplayer-Online-Rollenspiele und andere beliebte Games (wie zum Beispiel Minecraft) spielen, sind schon länger zahlreichen Bedrohungen ausgesetzt, die auf ihre Computer abzielen. Doch Angriffe auf XBOX, PlayStation oder Nintendo-Konsolen scheinen sehr selten zu sein. Nintendos und Sonys tragbare Geräte DS und PSP wurden vor etwa sechs Jahren von Trojanern angegriffen und seit damals sagen Experten das Kommen von Spiele-Schadprogrammen für Konsolen voraus. Doch in der Realität müssen sich die jährlichen Voraussagen zu solchen Spiele-Schädlingen erst noch bewahrheiten.
Der Angriff auf das Sony PlayStation Network und der daraus folgende Ausfall im Jahr 2011 zählt bis heute zu den größten Vorfällen und hat etwa 75 bis 100 Millionen Kunden betroffen. Das Netzwerk ist nach dem Angriff fast einen Monat lang ausgefallen und Sony wurde dafür scharf kritisiert. Nicht nur für die Art, wie das Unternehmen mit dem Vorfall umgegangen ist, sondern auch für mehrere Sicherheitsfehltritte, die für den Vorfall verantwortlich waren und ihn in manchen Fällen sogar verschlimmerten. Doch so schlimm der Vorfall auch war – er zielte auf Firmenserver ab, nicht auf die Konsole selbst.
Und natürlich war die PSN-Attacke – zumindest zum Teil – eine Reaktion auf die Art, wie Sony auf die Ankündigung von George Hotz regierte, der auch unter dem Pseudonym geohot bekannt ist, der bekannt machte, die PlayStation 3 mit einem Jailbreak entsperrt zu haben. Es ist sogar wichtig, hier eine Unterscheidung zu machen: Wenn ich von Angriffen spreche, meine ich schädliche, kriminelle Hacks, mit denen Geld, Informationen oder Computer-Ressourcen von Spielekonsolen gestohlen werden sollen, die Computern immer ähnlicher werden. Es gibt natürlich nicht gerade wenige Hobby-Hacks, die manchmal auch als Modding bezeichnet werden, über die Zugriff auf das volle Potential von Konsolen erlangt werden soll oder die Konsolen so modifiziert werden sollen, dass illegale Downlaods damit gespielt werden können.
Wenn Sie an die frühen Tage der Spielekonsolen zurückdenken, wurde dieses Verhalten sogar irgendwie gefördert. Als ich etwa fünf oder sechs Jahre alt war, brachte mein Vater dieses seltsame Gerät namens Game Genie für mein Nintendo Entertainment System mit. Das Game Genie war im Grunde eine automatisierte Hacking-Box. Sie hatte Zugriff auf den Binärcode, der die Videospiele kontrollierte, manipulierte die Spieledaten und ermöglichte den Spielern, Cheat-Codes einzugeben und während dem Spielen Funktionen auszuführen, die eigentlich nicht ausführbar sein sollten.
Doch da die Konsolen leistungsfähiger wurden und auf einmal mit dem Internet verbunden waren, ist die Gefahr von Schadprogrammen für Spielekonsolen mittlerweile recht real. Wie mein Kaspersky-Kollege Christian Funk sagt: „die dauernde Verbindung von modernen Konsolen, mit Apps für Twitter, Facebook, Youtube, Chats und Videokonferenzen wie Skype, öffnet Türen und macht die Konsolen für Angriffe verwundbar.“
Die traurige Wahrheit ist, dass, je mehr wir an wertvollen Informationen in die Maschinen eingeben, desto höher die Wahrscheinlichkeit ist, dass sie von Angreifern attackiert werden, die nach solchen wertvollen Informationen suchen. In einem Artikel auf Securelist, in dem es um die neuesten Konsolen XBOX One und PS4 ging, schätzte Funk, die Faktoren ein, die zum gestiegenen Risiko durch Schadprogramme führen, dem diese Geräte nun gegenüberstehen. Er sagt, dass die zwei wichtigsten Faktoren die Popularität eines Geräts und die Möglichkeit, durch einen Angriff Geld zu machen, sind.
Im Fall der XBOX One, ist Funk vor allem an deren Kompatibilität mit Windows-Mobile-Apps interessiert. Derzeit gibt es laut Funk noch keine In-The-Wild-Schadprogramme, die auf Windos-Mobile-Apps abzielen, wahrscheinlich, da das Betriebssystem keinen großen Marktanteil hat. Doch mit der XBOX One könnte die Zahl der Windows-Mobile-Anwender stark steigen, was auch zu zahlreicheren Bedrohungen führen wird.
Finanziell gesehen, so Funk weiter, gibt es genug Anreize für Angreifer. Doch abgesehen davon hat er bisher nur Bricking-Malware gesehen, die im Grunde das Gerät kaputt macht – sie ist zwar schädlich, bringt den Cyberkriminellen aber kein Geld. Zumindest bisher nicht. Dazu sagt Funk, dass er über Hacks gelesen hat, die die XBOX One angeblich rückwärtskompatibel für Spiele der XBOX 360 machen, doch eigentlich murksen diese nur mit dem Devkit der Konsole rum. Das ist schlimmstes Troll-Verhalten.
„Bei modernen Konsolen liegen die Dinge allerdings anders“, so Funk weiter. „Da die Hersteller immer mehr die Möglichkeit einbauen, zusätzliche Apps zu installieren (für die man mit der Kreditkarte zahlen muss, deren Daten auf dem Spielerkonto gespeichert werden) und Verbindungen zu Sozialen Netzwerken herzustellen, um den Fortschritt und das Erreichte zu teilen, und die Geräte auch immer leistungsfähiger werden, werden diese für Kriminelle immer interessanter.“
Funk drückt seine Bedenken bezüglich des Potenzials von Ransomware-Erpressungen aus, die die Konsole sperren könnten und für das Entsperren ein Lösegeld verlangen würden. Auch datenstehlende Trojaner, die es auf persönliche Informationen oder Kreditkartendaten abgesehen haben, könnten auf den aktuellen Konsolen zu einem Problem für Gamer werden. Und da diese neuen Spielemaschinen viel mehr Rechenleistung bieten, könnten sie auch wertvolle Ziele für Cyberkrimkinelle sein, die diese Leistung für das Bitcoin-Mining oder den Betrieb von Botnetzen benötigen.
Wie Christian Funk in seinem Artikel schreibt, möchten wir hier niemandem unnötig Angst vor den aktuellsten Konsolen machen. Ich bin mir sicher, das die Konsolen toll sind und Ihnen mehr Spaß als Probleme bringen. Allerdings habe ich auch das ungute Gefühl, dass jetzt die Zeit der Spiele-Schadprogramme anbricht. Und ich bin nicht ganz sicher, was wir brauchen, um uns davor schützen zu können. Es ist absolut möglich, dass die Voraussagen nicht ganz eintreffen oder die Konsolenhersteller und vielleicht sogar Sicherheitsfirmen sich um den Schutz der Konsolen und der Spieler kümmern werden. Es ist aber genauso möglich, dass Angreifer beginnen, auf Spielekonsolen loszugehen, wie es mit Windows-Computern vor etwa 10 Jahren war oder mit Android heute der Fall ist. Die Zeit wird es zeigen.