Der Kill-Switch, eine unzulässige Abschalteinrichtung?

Viele IT-Systeme und vernetzte Geräte (im Internet der Dinge/Internet of Things „IoT“) verfügen über eine Not-Aus-Funktion, über die diese abgeschaltet werden können.

Häufig kann eine Abschaltung aus der Ferne erfolgen.

Kill-Switches sind potentielle Sicherheitslücken!

Üblicherweise möchte der Betreiber eines Systems den Kill-Switch eigenverantwortlich steuern – in einzelnen Fällen können Anbieter bzw. Hersteller ein System aber selbst technisch außer Betrieb setzen. Auch staatliche Stellen können ein Interesse daran haben, eine Abschaltung vorzunehmen, beispielsweise in Katastrophensituationen. Sicherheitstechnisch ist problematisch, wenn sich Dritte Zugriff auf den Kill-Switch verschaffen können, um Betreiber zu erpressen oder zu Infrastruktur zu sabotieren.

Einige Überlegungen vorweg.

Wer kann und darf eine Abschaltung vornehmen?

  • In vielen Szenarien sollte ausschließlich der Betreiber die Kontrolle über die Systeme haben, d.h. Dritte sollten auch keinen Zugriff auf den Kill-Switch haben.
  • Mit einer entsprechenden Rechtsgrundlage können staatliche Stellen ermächtigt werden, Systeme aus Sicherheitsgründen abzuschalten.
  • Hersteller sollten in der Regel weder die Kontrolle über Systeme erhalten noch diese abschalten können.

Wie kann eine missbräuchliche Abschaltung verhindert werden?

  • Geeignete Vorkehrungen sichern Fernzugriffe ab, bspw. indem die Fernwartung ausschließlich über eine sichere Verbindung von registrierten Geräten aus möglich ist.
  • Sicherheitsupdates werden regelmäßig umgesetzt; Vorzugsweise wird nur zertifizierte bzw. überprüfbare Software eingesetzt.
  • Systeme sollten von außen keine Angriffsfläche bieten, d.h. weitestgehend abgeschottet sein.
  • Updates werden vom Betreiber kontrolliert eingespielt und nicht automatisiert.
  • Administrative Zugriffe auf IoT-Geräte sollten nicht über das Internet oder Mobilfunkverbindungen via „Over the Air (OTA)“ erfolgen (insbesondere Updates).

Die Erforderlichkeit des Not-Aus-Schalters

Aus Betriebssicherheitsgründen muss ein Betreiber jederzeit die Möglichkeit haben, ein System abschalten oder herunterfahren zu können, beispielsweise um technische Anpassungen vornehmen oder in Gefahrensituationen reagieren zu können. Eine versehentliche Abschaltung sollte dabei vermieden werden, indem geeignete Vorkehrungen getroffen werden.

Typische Anwendungsfälle

Letztlich kann jedes Gerät, System und jede Software betroffen sein, wenn es mit dem Internet verbunden ist.

Beispielsweise können gestohlene Smartphones und Notebooks dank Fernortung gefunden und zurückgesetzt werden („Find my Mobile“).

Hersteller von IT-Systemen und vernetzten IoT-Geräten behalten sich in einigen Fällen technisch und/oder vertraglich vor, diese selbst außer Betrieb nehmen zu können:

  • Microsoft kann in Rechenzentren betriebene Exchange-Server bei ungepatchten Sicherheitslücken abschalten.[1]
  • Aufsehen erregte der Fall von John Deere im Ukrainekrieg, als von den Russen erbeutete Traktoren nicht mehr einsetzbar waren, da sie GPS-basiert abgeschaltet wurden.[2] Einige Landwirte sehen diese Zugriffsmöglichkeit kritisch, da der Hersteller zudem Bewegungsdaten der Maschinen auswertet und eigene Reparaturen erschwert. Ein Hacker hat auf Sicherheitslücken aufmerksam gemacht und zudem einen JailBreak vorgenommen.[3]
  • Tesla hat einen OTA-Update-Mechanismus und möglicherweise einen Kill-Switch eingebaut.[4]
  • Waffensysteme können Kill-Switches enthalten, berichtet wird über mögliche Abschaltvorrichtungen im F-35-Tarnkappenjet, den die Bundeswehr anschafft.[5]
  • Vernetzte IoT-Geräte wie Kühlschränke, Staubsaugroboter, Fernseher oder gesamte Smart-Home-Technik können ebenfalls betroffen sein.

Die öffentliche oder nationale Sicherheit kann gefährdet sein, Strafverfolgungsbehörden können Maßnahmen zur Schadensbegrenzung und Beweissicherung ergreifen:

  • Problematisch sind Kill-Switches bei kritischer Infrastruktur, die Abschaltung von Kraftwerken oder Medizintechnik in Kliniksystemen hat große Risiken. Im aktuellen KRITIS Gesetzentwurf spielt Resilienz eine überragende Rolle.[6]
  • Sicherheitsbehörden haben ein Interesse, illegale Server abzuschalten, bspw. um Hacker-Netzwerke lahmzulegen.[7 (i)]
  • Es kann erforderlich sein, Drohnen zum automatischen Landen oder zum Absturz zu bringen. Für Drohnen gibt es eine Zertifizierung der Europäischen Flugsicherheitsbehörde, die eine kontrollierte „Flight Termination“ sicherstellt.[7 (ii)]

Ein weiteres Szenario sind Abo-Modelle, bei denen Systeme vertragsgemäß nur in Verbindung mit einem aktiven Vertrag nutzbar sind. Die Beispiele reichen von Software-Lizenzcheckern bis zu IoT-Geräten wie Smartwatches, die nur in Verbindung mit einem Cloud-Dienstleister funktionieren. Hier kommt zumeist ein softer Kill-Switch zum Einsatz, bei der ein System (zunächst) nur funktionell eingeschränkt und nicht vollständig abgeschaltet wird.

Cloud-Anwendungen sind in naheliegender Weise auch betroffen, da der Anbieter jederzeit den Zugang abschalten kann:

  • So geschehen beim Mail-Konto des Chefanklägers des Internationalen Gerichtshofs, welches Microsoft hat nach Trump-Sanktionen blockiert hat.[8]
  • Einer chinesischen Universität wurde 2025 der Zugang zu MS 365 gesperrt.[9]
  • Google sperrte mehrfach Google-Accounts, ohne dass Nutzer eine zeitnahe Möglichkeit hatten, dem zu widersprechen (bspw. geschehen bei Verdacht auf Kinderpornographie).

Der Begriff „Kill-Switch“ bezeichnet aber in der Regel einen Hauptschalter, mit dem gesamte Systeme außer Betrieb gesetzt werden, Sperrungen einzelner Accounts sind damit zumeist nicht gemeint.

Kill-Switches durch Sicherheitslücken und Updatefehler

Neben Kill-Switches, die seitens der Anbieter bzw. Hersteller bereits technisch vorgesehen sind, gibt es regelmäßig potentielle Abschalteinrichtungen durch Sicherheitslücken. Angreifer können durch Backdoors & Zero Day Exploits ganze Systemlandschaften lahmlegen.

Zunehmend spielen auch fehlerhafte Updates eine Rolle.

Ungewollt waren beispielsweise Abschaltungen wie diese:

  • Weltweite Systemausfälle aufgrund eines fehlerhaften Updates in der Crowdstrike Endpoint Protection Software (der Berliner Flughafen und die TU Berlin waren u.a. betroffen).[10]
  • Mehrstündiger Stillstand der Produktion bei VW in Wolfsburg und weiteren Standorten aufgrund von Netzwerkfehlern.[11]
  • Regelmäßige Betriebsstörungen bei MS 365.
  • Probleme mit Kartenzahlungen im Einzelhandel aufgrund abgelaufener Software-Zertifikate [12]

Fazit

Kill-Switches sind ein probates Mittel um Systeme kontrolliert abzuschalten. Inwieweit eine Zulässigkeit besteht, muss im Einzelfall geprüft werden. Die seitens der Anbieter bzw. Hersteller vorgesehenen Fern-Abschalteinrichtungen sind aus IT-Sicherheitssicht kritisch zu betrachten.

Mit zunehmender Vernetzung und Integration von IoT-Geräten in Systemlandschaften entstehen neue Risiken – Kill-Switches sind nur eines davon.

In einem ausgereiften Sicherheitskonzept sollten Kill-Switches unbedingt mit bedacht und im Regelfall die Zugriffsmöglichkeiten Dritter deaktiviert werden.

Fußnoten

[1] Microsoft führte den Notschalter nach dem Hafnium-Hack 2021 ein, bei der Tausende Exchange-Server schutzlos Hackern ausgeliefert waren. https://niedersachsen.digital/hafnium-hack-ablauf-und-folgen/
Admins hatten die Möglichkeit den Kill-Switch -die sogenannte Exchange Emergency Mitigation- zu deaktivieren https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-emergency-mitigation-service?view=exchserver-2019

[2] https://www.heise.de/news/Nach-Diebstahl-aus-der-Ukraine-Digitale-Landmaschinen-aus-der-Fer ne-gesperrt-7071729.html

[3] https://t3n.de/news/defcon-hacker-jailbreak-john-deere-1491846/

[4] https://nextmotogen.com/can-tesla-turn-off-your-car-remotely/

[5] https://www.fr.de/politik/versteckte-klauseln-im-us-deal-enthuellen-einen-kill-switch-fuer-die-f35-93641443.html

[6]  https://www.bundesregierung.de/breg-de/aktuelles/kabinett-kritis-dachgesetz-2383682

[7] https://www.bka.de/DE/DasBKA/OrganisationAufbau/Fachabteilungen/Cybercrime/Endgame/Endgame.html
https://www.drone-zone.de/dronavia-stellt-erstes-fts-mit-moc2511-zertifizierung-vor/
https://www.easa.europa.eu/en/document-library/product-certification-consultations/final-means-compliance-light-uas2511-moc-light

[8] https://www.heise.de/news/Strafgerichtshof-Microsofts-E-Mail-Sperre-als-Weckruf-fuer-digitale-Souveraenitaet-10387368.html

[9] https://www.scmp.com/tech/tech-war/article/3305889/microsoft-abruptly-cuts-services-chinese-university-genomics-firm

[10] https://de.wikipedia.org/wiki/Crowdstrike-Computerausfall_2024

[11] https://www.heise.de/news/Hardware-Problem-stoert-Produktion-bei-Volkswagen-9319419.html

[12] https://www.heise.de/news/Zertifikatsfehler-Weiterhin-Probleme-mit-Kartenzahlungen-im-Einzelhandel-7125173.html

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert