Internet der Dinge Kümmert Euch endlich um die Sicherheit!

So unsicher ist das Netz der Dinge: Bei ihrer Recherche fanden SZ-Reporter auch Webcams in Kinderzimmern.

(Foto: SZ)

Die Verbraucher alleine können das Internet der Dinge nicht sicher machen. Doch die Industrie hat bislang wenig Interesse daran. Das muss sich ändern.

Kommentar von Jannis Brühl

Zu Weihnachten gibt es dieses Jahr Probleme - und zwar Millionen Mal. Unter vielen Christbäumen werden Smart-TVs liegen, Smartwatches und Webkameras, die fast ständig online sein werden. Sie lassen das Internet auf eine systemische Krise zusteuern. Das Internet der Dinge, die Vernetzung aller Geräte, ist überall präsent. Und es hat Löcher - jedes Gerät ist ein potenzieller Riss im Netz.

Ein großer Teil der Webkameras, Drucker, Router, und Smart-TVs ist unsicher. Im Gegensatz zu PCs, Laptops und Smartphones sind die Geräte nicht mit Virenscannern und anderen Verteidigungssystemen ausgerüstet. Da sie am globalen Netz hängen, können Fremde aus der Ferne auf sie zugreifen. Viele sind entweder gar nicht mit einem Passwort geschützt, oder mit einem, das Hacker in Windeseile knacken können. Doch das scheint wenig zu interessieren. Die Hersteller vertrauen darauf, dass die Kunden das Passwort nach dem Aufbau schon ändern werden. Aber die tun es nicht. Sie verlassen sich vielmehr auf die Hersteller und wollen es möglichst bequem haben - das ist fatal.

Die Verantwortung hier auf die Nutzer abzuwälzen, wäre falsch

Die Sicherheitslücken, zusammen mit dem explosionsartigen Wachstum des Internets der Dinge, haben zu einer Krise geführt. Die hat zwei Dimensionen. Zum einen sind die Menschen möglichen Spähangriffen ausgesetzt; wie sich gezeigt hat, finden sich private Dokumente auf ungeschützten Festplatten, Liveübertragungen aus Büros sind für Dritte zu verfolgen, Bilder aus Lagerhallen und Kinderzimmern zu sehen. Alles ohne Hacker-Kenntnisse.

Die Krise betrifft aber nicht nur die Privatsphäre Einzelner, sondern das ganze Internet. Milliarden Geräte können Teil digitaler Attacken sein, die das Netz derzeit in nie dagewesener Weise erschüttern. Sogenannte Bot-Netze übernehmen Zehn- oder Hunderttausende schlecht geschützte Geräte. Bot-Netze sind Schwärme aus automatisierten Schadprogrammen, die Geräte infizieren und sie als Waffen einsetzen: Sie zwingen sie, kollektiv so viele Anfragen an eine Webseite oder einen anderen Dienst im Netz zu stellen, dass dieser unter der Last zusammenbricht. Im Oktober schaffte es ein mächtiges Bot-Netz, einen Teil der Internet-Infrastruktur derart zu stören, dass in Teilen der USA viele Webseiten ausfielen. Der Angriff nutzte hauptsächlich "versklavte" Überwachungskameras und digitale Videorekorder, die am Netz hingen. Diese DDoS-Attacken (Distributed Denial of Service) gibt es seit Jahren, doch heute ist es viel leichter, sich eine Armee aus willenlosen Zombie-Maschinen zu rekrutieren.

Was tun? Die Verantwortung auf die Nutzer abzuwälzen, wäre falsch. Denn sie sind der Industrie ausgeliefert, ihr Spielraum ist hier anders als bei PC und Smartphone begrenzt: Sie können das Betriebssystem nicht wählen, keine zusätzliche Software installieren, um sich zu schützen. Die Geräte des Internets der Dinge haben meist eine festinstallierte Software ohne viele Optionen. Bei einigen können Nutzer nicht einmal das Passwort ändern.

Sicherheit lohnt sich auch fürs Image

Es gibt also vieles zu verbessern. Sicherheit muss voreingestellt sein, denn die Erfahrung zeigt: Selbst wenn Kunden etwas ändern können, tun viele nichts mehr, wenn sie das Gerät einmal angeschlossen haben. Automatische Sicherheitsaktualisierungen müssen Standard werden. Die Unternehmen müssten zudem auf leicht zu knackende Standard-Passwörter wie 12345 verzichten und Kunden notfalls zwingen, ein individuelles Passwort zu wählen. Zudem sollten sie mehr mit externen Hackern und miteinander kooperieren, um Sicherheitslücken zu entdecken.

Sicherheit kostet, das drückt auf die Marge. Doch mehr Sicherheit ist auch in ihrem Interesse. Wenn die DDoS-Angriffe noch heftiger werden - wovon auszugehen ist - werden die Behörden irgendwann einschreiten, etwa indem sie die Hersteller auch für Lücken in ihrer Software haften lassen. Und mehr Regulierung ist sicher nicht das, was sich die Hersteller wünschen.

Auch die Politik kann etwas für mehr Sicherheit tun. Ein anerkanntes Prüfsiegel könnte Unternehmen mit sicheren Produkten auszeichnen, die dann damit werben können. Die größten IT-Firmen haben bereits erkannt, dass sich Sicherheit fürs Image lohnt; Apple, Facebook und Whatsapp setzen auf solide Verschlüsselung. Das sollte auch bei jenen Unternehmen ankommen, die ursprünglich nicht aus der Tech-Branche kommen und nun vernetzte Geräte anbieten, etwa Produzenten von Haushaltsgeräten oder Fernsehern. Lange mussten sie nur sicherstellen, dass ihr Gerät dem Kunden nicht um die Ohren fliegt. Nun aber tragen sie eine Mitverantwortung dafür, dass das Internet stabil bleibt.

Shodan flexibles Teasermodul

Die SZ hat über mehrere Monate in der Suchmaschine Shodan recherchiert, die das Internet der Dinge durchsuchbar macht - und dabei viele Belege dafür gefunden, wie grundlegend unsicher die Architektur der totalen digitalen Vernetzung ist. Was Sie wissen müssen und wie Sie sich schützen können: