Angriff der Kühlschränke

Foto: Leander. / Photocase

Die Vernetzung von Alltagsgegenständen schreitet voran. Von der Zahnbürste bis zum Babyfon sind alle möglichen Geräte mit dem Internet verbunden. Doch das „Internet der Dinge“ kann gehackt werden und Botnetze aus Toastern übernehmen unsere Geräte.

Wer ein neues Haushaltsgerät sucht, denkt dabei wahrscheinlich selten über Hackerangriffe nach. Doch beim nächsten Kauf sollte man vielleicht Andrew McGills Toaster im Kopf behalten. McGill ist Programmierer und Journalist, er arbeitet bei dem US-Magazin The Atlantic und sein Toaster wurde kürzlich gehackt.

Glücklicherweise handelt es sich dabei nicht um McGills echten Toaster. Bedenklich ist der Fall trotzdem. McGill hat nämlich für ein Experiment einen Toaster simuliert – und zwar einen, der mit dem Internet verbunden ist. Er wollte herausfinden, wie schnell so ein Gerät zum Ziel von Hackern werden würde. „Ich habe fest damit gerechnet, dass ich Tage oder Wochen auf einen Hacking-Versuch warten müsste“, schreibt McGill später in seinem Bericht auf The Atlantic. Es dauerte weniger als eine Stunde. Innerhalb der ersten zwölf Stunden zählte er an die 300 weitere Hacking-Versuche.

McGills Experiment ist nicht nur eine lustige Anekdote. Immer mehr Alltagsgegenstände sind mit dem Internet verbunden. Vom Babyfon bis zur Zahnbürste – alle erdenklichen Geräte werden „smart“. Marktforscher erwarten einen Milliardenmarkt für vernetzte Geräte. Kein Wunder, dass immer mehr Unternehmen ein Stück vom Kuchen abhaben wollen. Die Internetriesen Google und Amazon haben ihre eigenen Schaltzentralen für das vernetzte Zuhause auf den Markt gebracht. Googles Home und Amazons Echo reagieren auf gesprochene Anweisungen ihrer Benutzer, es sind Mikrofone mit angeschlossenen Software-Assistenten.

Selbst deutsche Mittelständler gehen davon aus, dass es schon in wenigen Jahren praktisch keine Haushaltsgeräte mehr geben wird, die nicht zumindest die Möglichkeit zur Vernetzung bieten. Das kann man sich ähnlich vorstellen wie bei Fernsehern: Es gibt kaum noch Geräte zu kaufen, die nicht smart sind.

Bei dem Run aufs Geschäft fällt die Sicherheit schon mal flach. Dass eine Gefahr von unsicheren vernetzten Geräten ausgeht, wird allerdings erst nach und nach deutlich. 2016 könnte ein Wendepunkt sein. In diesem Jahr wurde der erste massive Angriff auf das Internet öffentlich, in dem vernetzte Geräte eine wesentliche Rolle spielten.

An einem Freitag im Oktober hatten Internetnutzer in den USA mit massiven Netzausfällen zu kämpfen. Große Webdienste wie Netflix und Spotify waren nicht erreichbar, ebenso Seiten wie Reddit, die New York Times oder Wired.

Schuld daran waren unter anderem unsichere Webcams. Hacker hatten Millionen Geräte zu einem Botnetz zusammengeschlossen. Dieses Botnetz richteten sie gegen den DNS-Anbieter Dyn. Unternehmen wie Dyn sind dafür zuständig, die eingetippten Namen von Webseiten in deren IP-Adressen zu übersetzen. Nur so kann ein Browser die gewünschte Seite aufrufen. Dyn ist das Telefonbuch des Internet – und damit eine Schwachstelle in der weltweiten Infrastruktur.

Dieses Unternehmen wurde nun von einer massiven Welle sinnloser Anfragen überrollt. Eine klassische DDoS-Attacke, mit der Dienste durch Überlastung in die Knie gezwungen werden. Angreifer benutzen für solche Attacken Botnetze aus Geräten, die sie unter ihre Kontrolle gebracht haben. Nur waren das bisher in der Regel Computer und Laptops, nicht Videorekorder und Webcams.

Fachleute warnen schon seit einiger Zeit davor, dass vernetzte Geräte für Angriffe genutzt werden könnten. Der IT-Journalist Brian Krebs musste das sogar am eigenen Leib erfahren, als seine Webseite von einem Botnetz aus Überwachungskameras und digitalen Videorekordern angegriffen wurde. Die Software, die dafür genutzt wurde, war amateurhaft einfach, die Wirkung dagegen durchschlagend.

Die Warnungen werden nun drängender. „Wir müssen das Internet vor dem Internet der Dinge retten“ , fordert IT-Sicherheitsexperte Bruce Schneier im Technologie-Magazin Motherboard. Seine Forderung veröffentlichte Schneier nur wenige Wochen vor den massiven Angriffen Ende Oktober. Im Nachhinein wirkt sie fast prophetisch.

Das Problem dabei sind die vernetzten Geräte selbst. Oder besser gesagt: ihre Hersteller. Die Unternehmen machten sich oft wenig Gedanken über die Sicherheit und Wartung der Produkte, sagt Michelle Thorne. Thorne arbeitet bei der Mozilla Foundation, der Stiftung hinter dem Internetbrowser Firefox. Sie hat ein Buch über das Internet der Dinge verfasst: „Understanding the Connected Home“ heißt das Werk von Thorne und Peter Bihr.

„Es kann sein, dass Leute das kaufen und dann müssen sie plötzlich ihren Kühlschrank aktualisieren“, sagt Thorne. „Die Tech-Firmen sind nicht bereit, das zu unterstützen und über langfristige Wartung nachzudenken.“

Oft sind Updates nicht einmal möglich. Standard-Passwörter können teilweise nicht geändert werden. Für den Angriff auf Dyn im Oktober benutzten Hacker massenhaft Überwachungskameras eines chinesischen Herstellers, die mit einem Standard-Passwort liefen. Und nicht alle Unternehmen kennen sich mit IT-Sicherheit ausreichend aus, um ihre neuerdings vernetzten Geräte ausreichend abzusichern. Niemand weiß, wie viele billige Überwachungskameras oder Videorekorder so unsicher mit dem Internet verbunden sind.

Somit könnte der Angriff auf die Netz-Infrastruktur zumindest eine positive Auswirkung haben. Die Probleme sind nun bekannt, die weitreichenden Auswirkungen der Sicherheitsmängel wurden gründlich demonstriert. Das hat unter anderem staatliche Aufsichtsbehörden auf den Plan gerufen. Die deutsche Behörde für IT-Sicherheit, das Bundesamt für Sicherheit in der Informationstechnik (BSI), mahnte die Hersteller bereits zur Besserung.

Die meisten mit dem Internet verbundenen Haushaltsgeräte „sind im Auslieferungszustand unzureichend gegen Cyber-Angriffe geschützt und können somit von Angreifern leicht übernommen und für Straftaten missbraucht werden“, warnte das BSI. „Wir fordern daher die Hersteller von Netzwerkgeräten auf, die Sicherheit ihrer Produkte zu verbessern und schon bei der Entwicklung neuer Produkte das Augenmerk nicht nur auf funktionale und preisliche Aspekte zu richten, sondern auch notwendige Sicherheitsaspekte einzubeziehen.“ Hersteller sollten die Kommunikation über das Netz verschlüsseln und Updates bereitstellen.

Experten brachten auch die Idee eines IT-Gütesiegels ins Gespräch. An einem solchen Siegel könnten Kunden erkennen, dass Produkte festgelegte Sicherheitsstandards erfüllen. Ob strengere Regeln eingeführt werden, ist noch offen. Und selbst wenn es sie geben sollte, dürfte es bis dahin noch einige Zeit dauern.

Es könnte aber durchaus sein, dass Sicherheit bei vernetzten Geräten zum Verkaufsargument wird. Das mag ein optimistisches Szenario sein, unmöglich ist es allerdings nicht. Eine ähnliche Entwicklung haben Messenger-Apps hingelegt. Noch vor wenigen Jahren war Sicherheit bei den Chatdiensten ein Nischenthema, dem sich nur einige kleine Anbieter widmeten. Mittlerweile verschlüsselt selbst der Riese Whatsapp die Nachrichten seiner Nutzer. Einen wesentlichen Anstoß dafür lieferten die Enthüllungen von Edward Snowden über die massenhafte Überwachung der digitalen Kommunikation.

Es könnte sein, dass derart große DDoS-Angriffe Verbraucher beim Kauf vorsichtiger machen. Hersteller würden so stärker unter Druck gesetzt, ihre vernetzten Produkte sicherer zu machen. Allerdings ist der Markt sehr vielfältig, nicht alle Unternehmen, die vernetzte Geräte anbieten, kennen sich zwangsläufig auch mit IT-Sicherheit aus. Wahrscheinlich wird der Vorfall vom Oktober also nicht die letzte Attacke sein, an der Haushaltsgeräte mit Internetverbindung beteiligt sind.

Jessica Binsch

Jessica Binsch

Jessica Binsch arbeitet als freie Journalistin in Berlin und berichtet über Digitalisierung und Gesellschaft. Sie interessiert sich besonders für Netzpolitik, Netzaktivismus und die gesellschaftlichen Auswirkungen technologischer Entwicklungen.

Foto: privat
Jessica Binsch

Letzte Artikel von Jessica Binsch (Alle anzeigen)