Die Bots greifen sofort an. 98 Sekunden war die neue Überwachungskamera am Netz, da war sie auch schon infiziert, die feindliche Übernahme durch ein Computerprogramm begann. Sie war nun eine Waffe, bereit, fremde Webseiten lahmzulegen. IT-Experte Rob Graham hatte die Kamera für 55 US-Dollar bei Amazon gekauft. Das Drama, das sich in dem Gerät abspielte, beschrieb er auf seinem Twitter-Account. Grahams Kamera war von jenem Gespenst übernommen worden, das derzeit im Internet umgeht: Mirai, ein sogenanntes Bot-Netz, erschüttert das Vertrauen in die Stabilität des gesamten Netzes.
Ein Bot-Netz ist ein Verbund aus Programmen, der von digitalen Störenfrieden oder Kriminellen befehligt wird. Mit ihrer automatisierten Software übernehmen sie Zehn- oder Hunderttausende Geräte, die mit dem Internet verbunden sind: Kameras, Drucker, Router. Sie führen nun wie Zombies die Befehle des Bot-Meisters aus, der das Netz kontrolliert. Einmal infiziert, zwingt das Netz die Geräte, Kontakt mit dem Ziel des Angriffs aufzunehmen, zum Beispiel einer Webseite. Greifen zu viele Geräte auf die Seite zu, bricht sie zusammen und kann nicht mehr erreicht werden.
Einen Angriff kann man auf dem Schwarzmarkt für 30 Dollar bestellen
Dieses Vorgehen ist eine spezielle Form einer sogenannten DDoS-Attacke - Distributed Denial of Service, ihre Macht liegt darin, eine astronomische Zahl von Geräten für ihre Angriffe einzuspannen und so ihre Schlagkraft zu erhöhen. Dass so viele internetfähige Geräte schlecht geschützt sind, gefährdet also nicht nur die Privatsphäre ihres Besitzers. Im Gegensatz zu PCs und Laptops verfügen sie über keine Verteidigungsmechanismen und Anti-Virenprogramme. Die Zahl der ungeschützten Geräte steigt steil an und macht die Bot-Netze mächtig. Das bedroht sogar das Internet als Ganzes strukturell. Wie unsicher die Maschinen sind, zeigt die SZ-Recherche zum Netz der Dinge.
Die Besitzer der betroffenen Geräte bekommen von den Attacken meist gar nichts mit. Jan-Peter Kleinhans, der für den Berliner Think Tank Stiftung Neue Verantwortung das Internet der Dinge erforscht, sagt: "Wenn mein Router infiziert ist und nachts um 3 einen DDoS-Angriff fährt, dann merke ich das nicht." Kleine Bot-Netze kann man für 30 Euro am Tag auf dem digitalen Schwarzmarkt mieten. Mit ihnen lassen sich einzelne Webseiten kurz lahmlegen. Große Angriffe mit ausgefeilten Netzen aus Hunderttausenden Geräten können verheerende Schäden anrichten.
Das Bundesamt für Sicherheit in der Informationstechnik urteilt eindeutig: Die meisten internetfähigen Geräte seien "im Auslieferungszustand unzureichend gegen Cyber-Angriffe geschützt und können somit von Angreifern leicht gefunden und übernommen werden".
Söldner bieten ihre Dienste an, um Netze lahmzulegen
Wer hinter den Angriffen steckt, lässt sich selten rekonstruieren. Es kommt nur heraus, wenn sich die Angreifer in ihrem Angriff selbst verewigen: "Botschaften im Code hinterlassen nur die Narzissten", sagt Michael Tullius von Akamai. Das IT-Unternehmen organisierte die digitale Verteidigung in einem der DDoS-Fälle, der in den vergangenen Wochen bei Fachleuten eine Art Glaubenskrise auslöste, wenn es um das Netz geht.
Der Journalist Brian Krebs, spezialisiert auf IT-Sicherheit, hatte über die zwielichtige Branche der DDoS-Söldner berichtet. Daraufhin wurde Krebs' Webseite mit einem DDoS-Angriff einer bislang nie dagewesenen Wucht lahmgelegt, Akamais Gegenwehr gegen den Ansturm aus dem Netz der Dinge konnte er sich nicht mehr leisten. Doch diese Attacke war nur die Ouvertüre.
Sicherheitsexperte Tullius sagt: "Wir müssen mit wesentlich größeren Attacken rechnen. Mich würde nicht überraschen, wenn wir bis Jahresende noch mehrere sehen." Er habe allein binnen einer Woche mit sechs Kunden gesprochen, die mit Mirai erpresst würden.
Selbst die neuen "Dash Buttons" - vernetzte Kunststoffknöpfe von Amazon, mit denen Kunden bei Amazon bestimmte Produkte wie Waschmittel mit einem Klick nachbestellen, könnten theoretisch mit Hilfe von Malware übernommen werden und als Teil einer Bot-Armee angreifen.
Die dunkle Seite des Internet der Dinge zeigte sich vor einem Monat deutlicher denn je: Das Mirai-Bot-Netz zielte auf einen zentralen Teil der Internet-Infrastruktur. Viele Webseiten waren nicht mehr erreichbar, darunter Amazon und Paypal. Ausgeführt wurde die Attacke hauptsächlich mit infizierten Überwachungskameras und digitalen Videorekordern eines chinesischen Billigherstellers. Ein weiterer Mirai-Angriff Anfang dieses Monats traf Internetanbieter in Liberia. Er war so massiv, dass zwischenzeitlich befürchtet wurde, dass das ganze Land aus dem Netz geschossen worden war (was sich bislang nicht rekonstruieren ließ).
Wer also rettet das Internet vor dem Internet der Dinge? "Der Endnutzer wird es nicht tun", sagt Michael Tullius. Die Kunden wollen Elektronik billig haben, dafür verzichten sie oft auf Sicherheit. Und das Bewusstsein fehlt, sich etwa mit stärkeren Passwörtern zu schützen als jenen, mit denen viele Geräte ab Werk gesichert sind.
Forscher Kleinhans sieht den Kunden auch nicht in der Pflicht: "Beim PC trägt der Nutzer größere Verantwortung, weil er mehr Freiheit hat, auf die Software Einfluss zu nehmen." Vernetzte Geräte würden dagegen mit einer festen Software ausgeliefert, der Kunde habe keine Alternative.
Sollen Behörden einfach zurückhacken?
Möglich wäre Kleinhans zufolge, dass auch die Hersteller von Software für Schäden hafteten, die mit ihren Produkten angerichtet würden. Bei den ununterbrochen stattfindenden DDoS-Attacken könnten mögliche Zahlungen schnell so hoch werden, dass die Hersteller sich beugen.
Das Internet der Dinge zu regulieren ist schwierig. Die Hersteller sitzen auf der ganzen Welt. Da Angriffe von jedem Ort der Erde gegen Ziele auf der ganzen Erde ausgeführt werden, helfen nationale Lösungen nicht. Behörden denken darüber nach, selbst zurückzuhacken. Sie könnten etwa infizierte Geräte lahmlegen oder die Kontroll-Server übernehmen, über die Angreifer die Bots kontrollieren. Das würde aber wiederum neue rechtliche Probleme mit sich bringen.
Nachdem die DDoS-Fälle immer dramatischer werden, wird nun also in den USA, der EU und Deutschland an Regeln gearbeitet. Doch Politik und Verbraucherschützer müssen sich gegen ein starkes Argument durchsetzen: Dass gerade die IT-Branche besonders innovativ sei und Regulierung die Innovation bremse. Kleinhans hat dennoch Hoffnung: "Das ist wie bei der Umweltbewegung und der Chemiebranche: Am Anfang hieß es: 'Ihr seid verrückt, nicht regulieren, ihr hemmt Innovation!' Dabei hat es funktioniert, und der Chemiebranche hat es sogar das Image gerettet." Heute wollten junge Leute wieder für sie arbeiten.
Das Versprechen der smarten Industrie von der totalen Vernetzung hat sich mit den Mirai-Attacken in den Augen vieler endgültig in eine Dystopie verwandelt. Das Internet of Things hat längst seinen Spitznamen weg: "Internet of Shit".
