Kaum ein modernes Gerät kommt heute ohne Internetanschluss auf den Markt. Neben Computern und Smartphones sind Router und Webcams, aber auch Autos und sogar Toaster ans Netz angeschlossen. Das sogenannte Internet der Dinge (IoT) bringt ein großes Problem mit sich: Viele Hersteller scheren sich nicht um IT-Sicherheit.
Das nutzen Kriminelle, um die Kontrolle über diese Geräte zu übernehmen und sie fernzusteuern, ohne dass die Besitzer etwas davon mitbekommen. Sie schalten sie zu Botnetzen zusammen und können so etwa Webseiten lahmlegen. Dafür reicht ein Befehl, und sämtliche Geräte des Botnetzes greifen gleichzeitig auf eine bestimmte Seite zu. Diese sogenannten DDoS-Angriffe zwingen fast jeden Server in die Knie.
Jan-Peter Kleinhans hat sich in einer Analyse für den Think Tank Stiftung Neue Verantwortung mit dem IoT auseinandergesetzt. Im Interview erklärt er, warum das Internet gerade mit unsicheren Geräten verseucht wird.
SZ: Herr Kleinhans, Ihre Untersuchung der IoT-Landschaft nennen Sie "Internet der unsicheren Dinge". Andere sprechen von "Internet of Shit". Ist es wirklich so schlimm?
Jan-Peter Kleinhans: IT-Sicherheitsforscherinnen und -forscher finden mindestens einmal in der Woche Schwachstellen bei Geräten, die an das Internet angeschlossen werden. Das Netz wird gerade mit unsicheren Geräten verseucht. Der Markt versagt am laufenden Band, einigermaßen vertrauenswürdige Geräte herzustellen.
Ist das Internet in Gefahr?
Noch ist die Gefahr nicht besonders groß, aber das Risiko nimmt zu. An allen Ecken und Enden werden unsichere Geräte kompromittiert. Im vergangenen Jahr waren nach einem massiven DDoS-Angriff mehrere große Webseiten und Dienste für viele Menschen nicht zu erreichen: Twitter, Netflix und Spotify zum Beispiel. Die Angreifer hatten Dyn lahmgelegt. Das ist einer der größten Dienstleister für DNS-Dienste.
Wofür sind diese Dienste wichtig?
Sie funktionieren wie ein Telefonbuch: Nutzer geben Netflix.com in ihre Browser ein, und diese Dienste finden heraus, auf welcher IP-Adresse Netflix liegt. So ist es den Angreifern über einen Umweg gelungen, weite Teile des Internets an der US-Ostküste zum Einsturz zu bringen. Und das ist erschreckend, weil wir hier von einem Botnetz reden, das stümperhaft zusammengeschustert war.
Professionellere Angreifer könnten also noch größeren Schaden anrichten?
Forscher warnen, dass wir Angriffe sehen werden, die mit deutlich mehr Bandbreite daherkommen. Die Gefahr für das Internet wird auf jeden Fall größer. In den vergangenen Monaten haben wir gesehen, dass es Botnetze gibt, hinter denen eine deutliche robustere Architektur steckt. Diese Botnetze schlafen derzeit noch. Wie groß ihre Schlagkraft ist, wissen wir also nicht.
Warum gibt es so viele Geräte, die Angreifer derart problemlos übernehmen können?
Ich sehe zwei Gründe. Erstens: Von außen kann ich als Kunde nicht beurteilen, wie gut die Software-Qualität von Produkten ist. Wie lange gibt es Updates? Wurden Tests durchgeführt? Die Hersteller liefern nur Marketing-Hülsen. Deshalb spielt IT-Sicherheit für die meisten Menschen bei der Kaufentscheidung keine Rolle.
Hersteller sind also von der technologischen Entwicklung überfordert?
Unternehmen, die 50 Jahre lang Waschmaschinen gebaut haben, wollen diese auf einmal vernetzen. Dafür müssten sie ihren Entwicklungszyklus modernisieren und IT-Sicherheitsexperten einstellen. Sie müssten sich Gedanken machen, wie sie für so eine Maschine die nächsten zehn Jahre Sicherheitsupdates zur Verfügung stellen. Unternehmen investieren hier kein Geld.
Warum nicht?
Weil sie keinen finanziellen Anreiz dazu haben. Und das ist der zweite Grund, warum viele vernetzte Geräte so unsicher sind. Aus ökonomischer Sicht sind weder Hersteller noch Kunden die Leidtragenden. Hunderttausende Router und Webcams werden zwar übernommen, aber die Angriffe von Botnetzen zielen nie auf Konsumenten oder Hersteller, sondern auf Webseiten, Dienstleister und kritische Internet-Infrastruktur.
Die Kunden bemerken gar nicht, dass ihr Router für einen Angriff verwendet wird?
In den meisten Fällen bekommen sie nichts davon mit. Gerade, wenn die Attacke nachts um drei durchgeführt wird. Selbst wenn Nutzer informiert werden, fällt es ihnen schwer, die Hardware nachhaltig von der Schadsoftware zu befreien. Man kann das Gerät zwar aus- und wieder einschalten, aber nach zehn Minuten ist der Router erneut infiziert. Solange die Hersteller keine Updates veröffentlichen, bleibt das Gerät anfällig.
Was müsste passieren, um das Internet der Dinge abzusichern?
Eine Lösung könnten Geräte sein, die sich automatisch auf den aktuellen Stand bringen. Wir haben jetzt schon fünf bis acht vernetzte Geräte zu Hause. In Zukunft werden es mehr als 20 sein. Ich kann mich dann nicht selbst darum kümmern, all diese Geräte zu aktualisieren.
Erstausrüster stellen Produkte her, bringen sie aber nicht selbst in den Handel. In Ihrer Untersuchung haben Sie herausgefunden, dass ein Erstausrüster bis zu 70 Hersteller beliefert, die sie dann mit ihren Markennamen verkaufen.
Diese Masse hat mich überrascht. Einerseits ist es verständlich, dass Firmen, die keine Expertise darin haben, beispielsweise Kopfhörer zu bauen, sich an diese Erstausrüster wenden und später ihr eigenes Logo verwenden. Aber wenn es um IT-Sicherheit geht, schießen wir uns damit ins Knie. Denn es ist extrem interessant für Angreifer, auf einen Schlag Millionen von Geräten kompromittieren zu können. Und wie wir sehen, passiert zurzeit genau das.
