Internet der Dinge:Söldner bieten ihre Dienste an, um Netze lahmzulegen

Wer hinter den Angriffen steckt, lässt sich selten rekonstruieren. Es kommt nur heraus, wenn sich die Angreifer in ihrem Angriff selbst verewigen: "Botschaften im Code hinterlassen nur die Narzissten", sagt Michael Tullius von Akamai. Das IT-Unternehmen organisierte die digitale Verteidigung in einem der DDoS-Fälle, der in den vergangenen Wochen bei Fachleuten eine Art Glaubenskrise auslöste, wenn es um das Netz geht.

Der Journalist Brian Krebs, spezialisiert auf IT-Sicherheit, hatte über die zwielichtige Branche der DDoS-Söldner berichtet. Daraufhin wurde Krebs' Webseite mit einem DDoS-Angriff einer bislang nie dagewesenen Wucht lahmgelegt, Akamais Gegenwehr gegen den Ansturm aus dem Netz der Dinge konnte er sich nicht mehr leisten. Doch diese Attacke war nur die Ouvertüre.

Sicherheitsexperte Tullius sagt: "Wir müssen mit wesentlich größeren Attacken rechnen. Mich würde nicht überraschen, wenn wir bis Jahresende noch mehrere sehen." Er habe allein binnen einer Woche mit sechs Kunden gesprochen, die mit Mirai erpresst würden.

Selbst die neuen "Dash Buttons" - vernetzte Kunststoffknöpfe von Amazon, mit denen Kunden bei Amazon bestimmte Produkte wie Waschmittel mit einem Klick nachbestellen, könnten theoretisch mit Hilfe von Malware übernommen werden und als Teil einer Bot-Armee angreifen.

Die dunkle Seite des Internet der Dinge zeigte sich vor einem Monat deutlicher denn je: Das Mirai-Bot-Netz zielte auf einen zentralen Teil der Internet-Infrastruktur. Viele Webseiten waren nicht mehr erreichbar, darunter Amazon und Paypal. Ausgeführt wurde die Attacke hauptsächlich mit infizierten Überwachungskameras und digitalen Videorekordern eines chinesischen Billigherstellers. Ein weiterer Mirai-Angriff Anfang dieses Monats traf Internetanbieter in Liberia. Er war so massiv, dass zwischenzeitlich befürchtet wurde, dass das ganze Land aus dem Netz geschossen worden war (was sich bislang nicht rekonstruieren ließ).

Wer also rettet das Internet vor dem Internet der Dinge? "Der Endnutzer wird es nicht tun", sagt Michael Tullius. Die Kunden wollen Elektronik billig haben, dafür verzichten sie oft auf Sicherheit. Und das Bewusstsein fehlt, sich etwa mit stärkeren Passwörtern zu schützen als jenen, mit denen viele Geräte ab Werk gesichert sind.

Forscher Kleinhans sieht den Kunden auch nicht in der Pflicht: "Beim PC trägt der Nutzer größere Verantwortung, weil er mehr Freiheit hat, auf die Software Einfluss zu nehmen." Vernetzte Geräte würden dagegen mit einer festen Software ausgeliefert, der Kunde habe keine Alternative.

Sollen Behörden einfach zurückhacken?

Möglich wäre Kleinhans zufolge, dass auch die Hersteller von Software für Schäden hafteten, die mit ihren Produkten angerichtet würden. Bei den ununterbrochen stattfindenden DDoS-Attacken könnten mögliche Zahlungen schnell so hoch werden, dass die Hersteller sich beugen.

Das Internet der Dinge zu regulieren ist schwierig. Die Hersteller sitzen auf der ganzen Welt. Da Angriffe von jedem Ort der Erde gegen Ziele auf der ganzen Erde ausgeführt werden, helfen nationale Lösungen nicht. Behörden denken darüber nach, selbst zurückzuhacken. Sie könnten etwa infizierte Geräte lahmlegen oder die Kontroll-Server übernehmen, über die Angreifer die Bots kontrollieren. Das würde aber wiederum neue rechtliche Probleme mit sich bringen.

Nachdem die DDoS-Fälle immer dramatischer werden, wird nun also in den USA, der EU und Deutschland an Regeln gearbeitet. Doch Politik und Verbraucherschützer müssen sich gegen ein starkes Argument durchsetzen: Dass gerade die IT-Branche besonders innovativ sei und Regulierung die Innovation bremse. Kleinhans hat dennoch Hoffnung: "Das ist wie bei der Umweltbewegung und der Chemiebranche: Am Anfang hieß es: 'Ihr seid verrückt, nicht regulieren, ihr hemmt Innovation!' Dabei hat es funktioniert, und der Chemiebranche hat es sogar das Image gerettet." Heute wollten junge Leute wieder für sie arbeiten.

Das Versprechen der smarten Industrie von der totalen Vernetzung hat sich mit den Mirai-Attacken in den Augen vieler endgültig in eine Dystopie verwandelt. Das Internet of Things hat längst seinen Spitznamen weg: "Internet of Shit".

Shodan flexibles Teasermodul

Die SZ hat über mehrere Monate in der Suchmaschine Shodan recherchiert, die das Internet der Dinge durchsuchbar macht - und dabei viele Belege dafür gefunden, wie grundlegend unsicher die Architektur der totalen digitalen Vernetzung ist. Was Sie wissen müssen und wie Sie sich schützen können:

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB