Nur weil in einer Herde von Schafen eines schwarz ist, ist nicht gleich die ganze Herde schwarz. Bernd Heinrich Graf

Das Internet der bösen Dinge

Kann ein internetfähiger Haartrockner das ganze Internet ausschalten? Er kann vermutlich viel mehr als das – und vor allem viel Schlimmeres. Das weiß man nicht erst seit der imposanten Präsentation der Möglichkeiten der smarten Geräte im Oktober, bei der Dutzende Webseiten in den USA ausgefallen sind. Wie man die smarten Dinge wieder sicher macht? Nicht (nur) mit Technologie.

„Habe ich doch gesagt“, muss Ross Anderson, Professor an der Universität Cambridge gedacht haben, falls er am 21. Oktober die immer größer werdenden roten Flecken auf der Karte Amerikas und Europas beobachtet hatte. Sie visualisierten, wo und wie viele Webseiten infolge einer Denial-of-Service-Attacke (DDoS) auf den Domain Name Server Dyn ausgefallen sind. Je mehr Ausfälle, desto roter der Fleck. Twitter, Reddit, PayPal – in der Nacht wurde es recht rot an der Ostküste.

Eine Attacke, die, wie der US-amerikanische Sicherheitsguru Bruce Schneier urteilt, von nur einer einzelnen Person konzipiert und durchgeführt werden konnte. Indem die Schwachstellen der Endgeräte des Internet of Things (IoT) – Webcams, digitale Videorekorder etc. – ausgenutzt und diese zu einem großen Botnetz unfreiwilliger Angreifer gemacht wurden. Und die DynDNS mit Anfragen solange bombardierten, bis sie den Server zum Ausfall brachten – und mit ihm auch alle Webseiten, die auf seinen Dienst angewiesen waren.

Wer glaubt, dies sei der erste Vorfall dieser Art und dieses Ausmaßes gewesen, irrt. Im Januar 2014 gab die auf Sicherheit von Daten und elektronische Kommunikation spezialisierte Firma Proofpoint bekannt, ein Botnetz von 100.000 infizierten IoT-Endgeräten entdeckt zu haben. Mithilfe dieses Netzes wurden 750.000 Spam-Mails verschickt, schätzte die Firma und stellte fest, dass die primitiven, aber voll funktionsfähigen Computer in den smarten Geräten zunehmend das Interesse der Malware-Entwickler weckten. Kaum geschützt, oft nur mit einfachen Sicherheitsmaßnahmen versehen, wie ein fabrikseitig voreingestelltes Passwort. Oft ganz ohne Schutz. Ideales Mittel für Massenangriffe, die lange vorher vorbereitet und nicht entdeckt werden sollen.

Paranoia war gestern, heute ist es Realität

Spam-Mails: Das sei schlimm, sagte damals Ross Anderson dem Economist. Dennoch: Schlimmeres sei denkbar. Und malte Szenarien aus, die man schnell als paranoid bezeichnen würde. Die kompromittierten Geräte könnten dazu missbraucht werden, verbotene oder strafbare Inhalte zu hosten oder Webseiten mit Datenflut zu erpressen. Aber auch Cyber-Angriffe mit weitreichenden Folgen wären denkbar, wie das gleichzeitige Ein- und Ausschalten mit Schadsoftware befallender Klimaanlagen. Damit hätte man ein Stromnetz sabotieren und zum Ausfall bringen können. Potenzielles Ergebnis: Blackout, wie aus dem gleichnamigen Zukunftsthriller von Marc Elsberg. In der Cybersicherheit, warnte Ross Anderson, sei die Paranoia von heute oft die Realität von morgen.

In den Jahren, die folgten, wurde viel über Sicherheit in der Entwicklung und Produktion smarter Geräte geredet, diskutiert und geschrieben. Konzepte wie Privacy-by-Design und Security-by-Design wurden normiert, methodisch aufgearbeitet, getestet, veröffentlicht. Sie wurden zum Teil Gegenstand der Regulierung, wie Privacy-by-Design in der EU-Datenschutzverordnung, oder sollen rechtlich verankert werden, wie Security-by-Design laut kürzlich veröffentlichter Cyber-Sicherheitsstrategie 2016 des Bundesministeriums des Innern (BMI). Nur offenbar gehalten hat sich bisher kaum jemand daran. Insbesondere nicht die Hersteller und Verkäufer der smarten Dinge. Wie sich herausstellte, werden die smarten Endgeräte nicht nur billig verkauft, sondern auch billig produziert.

Angemessene Sicherheit kostet Geld, verlängert die Entwicklungszyklen und verzögert den Time-to-Market, heißt es. Oft handelt es sich um Offshore-Produkte, die für die Märkte in den USA oder Europa lediglich umetikettiert werden. Viele der Produzenten, so die Experten, halten nichts von den Sicherheitsanforderungen für die smarten Geräte und interessieren sich nicht für den Datenschutz. Das Gleiche gilt offenbar für dessen Verkäufer.

Die Nutzer bleiben desinteressiert

Von den Endverbrauchern kann man schwerlich erwarten, dass sie für jede Glühbirne, jedes Thermostat oder jeden Rauchmelder alsbald die Passwörter wechseln oder Sicherheitsupdates einspielen. Es sind auch nicht die „sorglosen Bürger“, wie die Cyber-Sicherheitsstrategie des BMI die Nutzer nennt, die für die Implementierung angemessener Schutzmaßnahmen verantwortlich gemacht werden sollten. Es ist nicht ihre Aufgabe, sich darüber Gedanken zu machen. Ein potenzieller Nutzer smarter Dinge wünscht sich eine Webcam, einen Kühlschrank oder einen Videorekorder mit ein paar nützlichen Eigenschaften zum guten Preis, konstatiert Bruce Schneier. Auch wenn diese Geräte kompromittiert und zu einem Botnetz missbraucht werden – den Besitzer stört das solange nicht, wie sie weiter richtig funktionieren.

Mit dem Internetausfall in den USA wurde klar, dass die Sicherheit in den smarten Geräten über Jahre hinweg vernachlässigt wurde. Dass in unseren Häusern und Büros Dinge stehen, die voller Schwachstellen und Sicherheitslücken sind. Und dass der Missbrauch dieser Schwachstellen zu bösen Zwecken nun Realität geworden ist.

Nun wird hektisch an Lösungen gearbeitet. Ross Anderson schlug vor, die Verantwortung für die adäquate Sicherheit in den smarten Geräten den Verkäufern aufzuerlegen. Er schlug eine gesetzliche Regelung vor, die denVerkäufer für die Sicherheit eines jeden Gerätes, das ans Internet angebunden wird, verantwortlich gemacht hätte. Mit wenig Erfolg. Ulf Buermeyer, Jurist, Richter und ehemaliger Linux-Admin, schlug anlässlich der Diskussion um einen neuen Strafrechtsparagrafen zum digitalen Hausfriedensbruch Lösungen für das Botnetz-Problem außerhalb des Strafrechts vor: „Wirklich wirksam wären Maßnahmen zur Steigerung der IT-Sicherheit, insbesondere eine scharfe Produkthaftung für Sicherheitslücken. Damit würden die gesellschaftlichen Kosten bei denen angesiedelt, die die gegenwärtigen Probleme tatsächlich beheben könnten: bei den Herstellern von Hard- und Software“, schrieb er. Keine gute Idee, meinten Kritiker, man könne beispielsweise Hersteller nicht für die Ausfälle verantwortlich machen, bei denen Angreifer eine Hintertür (Backdoor) nutzen, die vom Staat per Gesetz eingebaut wurden.

Das böse „R“-Wort

Inzwischen nimmt der US-Sicherheitsguru Bruce Schneier das lange verpönte Wort „Regulierung“ in den Mund. Und wirbt dafür, dass Großmärkte wie die USA eine starke Internetsicherheit für die Internet-of-Things-Geräte gesetzlich normieren. In diesem Fall würden die Hersteller gezwungen werden, die Sicherheit ihrer Geräte an die hohen Anforderungen anzupassen, falls sie auf diesen Märkten tätig sein sollten. Würden in den USA und in einigen der Länder mit den wichtigsten Märkten eine solche Regulierung eingeführt, hätte dies eine globale positive Auswirkung auf die Sicherheit des Internets der Dinge, argumentiert Schneier. Denn die wesentlichen Kosten eines Gerätes seien die Entwicklungskosten. Es würde sich für den Hersteller nicht lohnen, so Schneier, zwei verschiedene Versionen für zwei Märkte zu produzieren: die eine mit starker – die andere mit schwacher oder gleich ganz ohne Sicherheit.

Im Grunde genommen gehörte schon viel Glück dazu, dass es diesmal nur ein paar Webseiten waren, die ausgefallen sind. Smarte Geräte sind nun einmal im Einsatz. Ihre Schwachstellen können zu kritischen, besitz- und lebensbedrohlichen Sicherheitsvorfällen führen. Es stellt sich nicht mehr die Frage, ob sie ausfallen, schreibt Bruce Schneier in The Washington Post, sondern wann sie ausfallen. Die deutsche Regierung setzt beim Thema Cybersicherheit auf Kooperationen mit der Wirtschaft und auf Konzepte wie „Made in Germany“, um die „digitalen Verwundbarkeiten“ zu minimieren.

Ob „Vorgaben für eine angemessene Verteilung von Verantwortlichkeiten und Sicherheitsrisiken im Netz zum Beispiel durch Produkthaftungsregeln für IT-Sicherheitsmängel und Sicherheitsvorgaben für Hard- und Softwarehersteller“ notwendig seien, sollte wenigstens geprüft werden, heißt es in der Cyber-Sicherheitsstrategie. Für Experten wie Bruce Schneier stellt sich die Frage, ob sich der Staat regulativ einmischen soll oder nicht, mittlerweile gar nicht mehr. Es gibt für die Regierung nur noch die Möglichkeit einer smarteren Regulierung und Intervention – oder eben einer stupideren.

Lesen Sie auch die neuste Kolumne von Aleksandra Sowa: Salzstreuer im Dienste der Sicherheit

Leserbriefe

comments powered by Disqus

Mehr zum Thema: Internet, Digitale-gesellschaft, Roboter

Kolumne

Medium_34504e8e15
von Reinhard Schlieker
29.11.2016

Kolumne

Medium_57ff04dfa7
von Aleksandra Sowa
09.10.2016

Gespräch

Medium_c93d3a5f3e
meistgelesen / meistkommentiert