Es ist höchste Zeit, das Internet vor dem Internet of Things zu schützen

Der Journalist und Sicherheitsforscher Brian Krebs ist es gewohnt, attackiert zu werden. Doch was er vor einigen Wochen erlebte, dürfte auch den renommierten Experten, der regelmäßig über die neuesten Maschen von Cyberkriminellen berichtet, überrascht haben.

Nachdem er Mitte September einen Online-Händler für DDoS-Attacken enttarnte,mit dessen Produkt Käufer die Websites von Konkurrenten lahmlegen können, wurde er selbst zur Zielscheibe. Zwar führte seine Recherche zur Verhaftung der beiden Betreiber des DDoS-Angebots, doch kurze Zeit später wurde Krebs' Seite selbst durch eine gigantische DDoS-Attacke lahmgelegt. Das Besondere an dem Angriff: Er wurde über ein Botnet ausgeführt, das vor allem aus einfachen Geräten bestand, die mit dem Internet verbunden sind. Der Fall zeigt eindrücklich, welches Risiko die Massen der Internet of Things-Geräte in unseren Haushalten tatsächlich darstellen.

Dass DDoS-Attacken eine unangenehme Waffe von Cyberkriminellen sind, ist an sich nichts Neues. Bei einem sogenannten distributed denial-of-service (DDoS)-Angriff werden Websites oder andere Internetdienste durch gezielte Überlastung zum Absturz gebracht. Dabei wird die Rechenpower von ungeschützten Computern in einem Botnet gebündelt und ohne das Wissen ihrer Besitzer ein Angriff ausgeführt. Die Taktik ist schon Jahrzehnte alt: Mit DDoS-Angriffen sorgen Hacker für Chaos, Kriminelle erpressen Betreiber von Websites, aber auch Regierungen nutzen die Methode regelmäßig, um ihre eigenen Systeme zu testen. Es gibt Abwehrmechanismen gegen die Angriffe und es gibt auch Firmen, bei denen man DDoS-Angriffe mieten kann.

Im Endeffekt laufen diese Auseinandersetzungen auf ein Kräftemessen hinaus: Gelingt es dem Angreifer, sein Ziel mit einer solchen Datenmenge zu fluten, dass das System lahmgelegt wird, gewinnt der Angreifer. Wenn der Verteidiger die Leistungsfähigkeit seiner Systeme erhöhen kann, um der Daten-Attacke stand zu halten, geht der Verteidiger als Sieger aus der Schlacht hervor.

Was den Angriff auf Krebs so besonders machte, war zum einen das riesige Ausmaß der Attackeund auch die Geräte, die eingesetzt wurden. Anstatt nur gewöhnliche PCs für sein Botnet zu verwenden, kaperte der Hacker Überwachungskameras, Festplattenrekorder, Router und andere Internet of Things-Gadgets.

Es ist bereits viel über die hohen Sicherheitsrisiken des Internet of Things berichtet worden. Der monumentale Angriff auf Krebs konnte mit einer simplen und laienhaften Software ausgeführt werden. Die Attacke beweist, dass das Internet der Dinge weiterhin ein Sicherheitsrisiko darstellen wird, so lange die Regierung nicht einschreitet, um etwas gegen das Problem zu unternehmen.

Schaut euch hier das Motherboard-Interview mit dem Kryptographie-Experten Bruce Schneier an

Wir haben es hier mit einem Marktversagen zu tun, das sich nicht einfach von alleine in Luft auflösen wird—sondern gegen das aktiv etwas unternommen werden muss. Unsere Computer und Smartphones sind nur darum so gut geschützt, weil ganze Teams von Sicherheitsingenieuren ständig an dieser Sicherheit arbeiten. Unternehmen wie Microsoft, Apple und Google investieren sehr viel Zeit und Geld in ihre Programme, bevor sie an den Markt gehen—und sie können auftretende Sicherheitslücken im Ernstfall sehr schnell schließen.

Diese Unternehmen können sich große Sicherheitsteams leisten, weil sie, direkt oder indirekt, sehr viel Geld an ihrer Software verdienen—und die Sicherheit dieser Software dabei ein entscheidendes Verkaufskriterium ist. Das ist bei anderen internetfähigen Geräten wie Festplattenrekordern oder Routern nicht der Fall. Diese Geräte werden mit einer deutlich geringeren Gewinnspanne verkauft und oft von günstigen Drittanbietern produziert. Diese Anbieter haben schlichtweg nicht das Know-how, um die Geräte gegen Zugriffe abzusichern.

Als ob das nicht schon schlimm genug wäre, können die meisten dieser Geräte nicht einmal upgedatet werden, nachdem sie infiziert worden sind. Obwohl der Quellcode des Botnets, das den Angriff auf Krebs ausgeführt hat, veröffentlicht wurde, können bei den betroffenen Geräten nicht die nötigen Updates durchgeführt werden. Microsoft versorgt seine Computer einmal im Monat mit Sicherheitsupdates und auch Apple folgt ähnlichen Intervallen. Der einzige Weg, um die Firmware in einem Heimrouter zu aktualisieren, ist hingegen, ihn zu entsorgen und einen neuen zu kaufen.

Die Sicherheit unserer Computer und Smartphones wird auch dadurch erhöht, dass wir sie regelmäßig austauschen. Wir kaufen alle paar Jahre einen neuen Laptop, Smartphones ersetzen wir sogar noch öfter. Aber das gilt lange nicht für alle Geräte, die das Internet der Dinge ausmachen. Denn die Geräte halten sich jahre- oder sogar jahrzehntelang. Wir kaufen uns vielleicht alle fünf bis zehn Jahre einen neuen Festplattenrekorder und gönnen uns vielleicht nur alle 25 Jahre einen neuen Kühlschrank. Manch ein Thermostat dürften wir ein Leben lang nicht ersetzen. Der Bankensektor kämpft bereits heute mit den Problemen, die dadurch entstehen, dass Geldautomaten mit Windows 95 ausgestattet sind. Diese Probleme werden im Internet der Dinge bald zuhauf auftreten.

Der Markt kann dieses Problem nicht selbst regulieren, weil sich weder der Käufer noch der Verkäufer darum schert. Als Beweis dafür braucht man sich nur die ganzen CCTV-Kameras und Festplattenrekorder anzuschauen, die im Angriff auf Brian Krebs verwendet wurden. Den Besitzern ist es völlig egal, dass ihre Geräte Teil einer gigantischen DDoS-Attacke waren. Sie haben ihre Geräte günstig gekauft, sie sind immer noch funktionstüchtig und den Namen Brian Krebs haben sie vermutlich noch nie gehört.

Auch den Händlern ist all das recht egal: Sie bieten inzwischen neuere und bessere Geräte an und den ursprünglichen Käufern kam es nur auf den Preis und die Funktionalität an. Diese Gleichgültigkeit ist der Grund, warum es keine Marktlösung für die Sicherheitslücken gibt. Betriebswirte bezeichnen das als externen Effekt. Man kann sich das in etwa wie eine unsichtbare Umweltverschmutzung vorstellen: Weder der Käufer noch der Verkäufer können die negativen Auswirkungen sehen—und wer ist schon bereit für unsichtbare Nachteile von Dritten zusätzliche Kosten zu übernehmen?

Aus den genannten Gründen wird das Internet of Things so lange unsicher bleiben, bis unsere Regierungen etwas gegen das Problem unternehmen. Bei Marktversagen ist staatliche Intervention die einzige Lösung. Die Regierung könnte den Herstellern Sicherheitsauflagen erteilen, die sie zwingen, internetfähige Geräte sicherer zu machen, auch wenn diese Sicherheit den Kunden egal ist.

Die Behörden könnten Hersteller dazu verpflichten, für Schäden zu haften, so dass sie von Leuten wie Brian Krebs verklagt werden könnten. All diese Maßnahmen würden es für die Unternehmen sehr teuer machen, unsichere Geräte zu verkaufen und sie dazu animieren, in sicherere Systeme und Geräte zu investieren.

Natürlich wäre das nur eine nationale Lösung für ein internationales Problem. Das Internet ist global und Hacker können genausogut Geräte aus Asien statt aus Europa oder den USA für eine Botnet-Attacke verwenden. Auf lange Sicht gesehen müssen wir ein Internet schaffen, dass solchen Angriffen standhalten kann. Aber das wird ein langer Prozess. Bis dahin müssen wir uns auf weitere gigantische Botnet-Attacken einstellen, bei denen ungesicherte Geräte aus dem Internet der Dinge instrumentalisiert werden, um ziemlich reale Schäden bei den Opfern der Angriffe anzurichten.