Zum Hauptinhalt springen

IT-Sicherheit:Das Internet der Dinge ist eine Waffe

Virtuelle Interaktionen; Webcam

Webcams lassen sich nicht nur zum Ausspionieren hacken, sondern auch um ihre Rechenleistung für größere Angriffe zu nutzen.

(Foto: picture alliance / dpa)

Der jüngste Angriff, der Amazon und Paypal traf, zeigt: Hacker können mithilfe internetfähiger Alltagsgeräte jederzeit Teile des Netzes lahmlegen. Im Kampf gegen solche Großangriffe drängt die Zeit.

Kommentar von Jannis Brühl

Der Schutz privater Daten galt lange als größtes Problem des viel beworbenen "Internet der Dinge". Durch eine Katastrophe am Freitag wird nun offensichtlich: Es gibt noch ein viel größeres Problem mit der Welt der vernetzten Geräte, die jedes Jahr um Milliarden Maschinen wächst.

Webcams, Babyfone, theoretisch auch vernetzte Kühlschränke - diese Alltagsgeräte können von böswilligen Programmierern zu Waffen gemacht werden, wenn sie mit dem Netz verbunden sind. Und das ist mindestens so gravierend wie die Frage, welche Daten zum Beispiel ein "smartes" Thermostat an Google schickt.

DDos-Attacke in den USA

Die Grafik zeigt, wo die Internetnutzung noch am Samstagmorgen betroffen war.

(Foto: Level 3)

Am Freitag haben Unbekannte die Infrastruktur des Internets in beispiellosem Ausmaß angegriffen. Die DDoS-Attacke (Distributed Denial of Service) auf den Webdienstleister Dyn legte Paypal, Spotify, Amazon, Twitter und andere Seiten teilweise lahm, vor allem in den Vereinigten Staaten. Auf der Karte, die Ausfälle in der Infrastruktur des großen Betreibers Level 3 darstellt, sah es aus, als würde die USA von gigantischen Stürmen heimgesucht. Für den Angriff nutzten die Unbekannten ersten Analysen zufolge insbesondere Kameras und digitale Videorecorder.

Der Vorfall ist die zweite gigantische DDoS-Attacke binnen weniger Wochen. Die Fälle haben einige IT-Fachleute zu der Überzeugung gebracht, dass das "Internet der Dinge" das gesamte Netz in eine veritable Krise gestürzt hat.

So laufen die DDoS-Angriffe

Mit einem Botnet, einem Verbund aus Programmen, übernehmen die Angreifer Hunderttausende Kameras und Rekorder, die sich mit ihrem Ziel verbinden. Das Botnet durchsucht das Internet nach Geräten, deren Besitzer das voreingestellte Passwort nicht geändert haben. Diese Default-Passwörter kennt das Programm und "versklavt" die Geräte, so der Fachausdruck. In einer automatisierten, koordinierten Attacke schickten die Geräte so viele Anfragen, dass sie das Ziel überfordern und die Server, und damit die Webseiten, kurzzeitig zum Kollabieren bringen. Das war im aktuellen Fall zu viel für das von Dyn betriebene Domain-Name-System (DNS), von dem Webadressen wie paypal.com, die Nutzer in die Internet-Browser eintippen, in die eigentlichen, aus Ziffern bestehenden IP-Adressen von Webseiten umgesetzt werden.

Indem das Botnet eine so große Zahl von Geräten nutzt, verschafft es dem Angreifer einen Hebel, um die Sicherheitsmaßnahmen seines Ziels zu überwältigen. Ähnlich wie ein Kredithebel bei Finanzprodukten, nur dass sich die Geräte kein Geld, sondern Bandbreite leihen. Fremde Gigabits statt Fremdkapital.

Es geht um mehr als auf unterbrochenen Zugriff auf Spotify

Es geht um mehr als nur darum, dass Menschen auf Spotify keine Lieder von Kendrick Lamar mehr hören können: Die andere große DDoS-Attacke der letzten Wochen traf den Journalisten Brian Krebs, Koryphäe beim Thema IT-Sicherheit. Er spricht von einer neuen Form der Zensur: Botnets könnten Webseiten kritischer Stimmen lahmlegen und ihren Schutz so teuer machen, dass Journalisten sich den Betrieb nicht mehr leisten können.

Krebs wechselte unter den Schutzschirm von Google, das ein entsprechendes Programm umsonst anbietet. Abgesehen vom journalistischen Interessenskonflikt, der sich in diesem Fall ergibt: Dass ein Autor nur noch veröffentlichen kann, wenn ihn der mächtigste Tech-Konzern der Erde beschützt, gibt zu denken. Sicherheitsexperten rufen nun: "Schützt das Internet vor dem Internet der Dinge!" Aber wie?

Die Hersteller sind in der Pflicht - aber auch die Politik

Besonders sind die Hersteller in der Pflicht. Auf dem Markt der internetfähigen Geräte tobt ein Unterbietungswettbewerb. Die Preisschlacht, die bei Verbraucherelektronik für die Massen schon immer tobt, wird durch den Hype um die Geräte befeuert. Die Hersteller denken die Sicherheit nicht mit, manche (Firmware-)Passwörter auf den Geräten lassen sich von Laien offenbar überhaupt nicht ändern.

Viele Bürger befassen sich nicht mit dem Thema Sicherheit: Für wenige Euro gibt es Kameras, um die Eingangstüre oder die schlafenden Kinder zu überwachen. Aber jede von ihnen ist eben auch eine potentielle Waffe mehr für die Botnetze. Die Analysen der großen DDoS-Angriffe zeigen, dass insbesondere chinesische Hersteller betroffen sind. Globale Standards und eine unabhängige Prüfstelle müssen her, schließlich betreffen weitreichende Ausfälle des Netzes die ganze Welt - und damit am Ende auch die Hersteller selbst.

Überwachung Warum überkleben so viele Menschen ihre Webcam? Video
IT-Sicherheit

Warum überkleben so viele Menschen ihre Webcam?

Der Chef des FBI tut es, Mark Zuckerberg auch. Sind die paranoid? Nein, die Bedrohung ist real.   Von Hakan Tanriverdi

Da sich die Hersteller von selbst wohl kaum bewegen werden, ist die Politik gefordert. Sie sollte die Konzerne verpflichten. Überlegungen der EU-Kommission, ein Label-System ähnlich dem zum Energieverbrauch von Geräten einzuführen, sind ein erster Schritt.

Zudem könnten sie auf Internetanbieter einwirken, zumindest ganz große Attacken unmöglich zu machen (mehr dazu beim Bundesamt für Sicherheit in der Informationstechnik). Weil die Anbieter eine Torwächter-Stellung innehaben, müssten so weniger Unternehmen zu Sicherheitsmaßnahmen verpflichtet werden.

Politiker können zeigen, dass sie die Digitalisierung verstanden haben

Politiker sind auch deshalb in der Pflicht, weil viele von ihnen die neue Technik hochjubeln (und was bietet sich zum Phrasendreschen besser an als Formeln wie "Internet der Dinge" und "Smart Home"?). Über Datenschutz und IT-Sicherheit reden sie dagegen ungern. Nun können sie zeigen, dass sie die Digitalisierung, mit der sie sich so gerne schmücken, wirklich verstanden haben. Das wäre selbstverständlich kein Freibrief für die Hersteller, weiterzumachen wie bisher, viele ihrer Geräte blieben gefährlich - etwa jene mit tief verstecken Firmware-Passwärtern, die Laien nicht ändern können.

Solange Hersteller und Politiker das Thema vor sich herschieben, sind vorrangig die Nutzer gefragt. Egal, welches Gerät sie kaufen: Mit einer einfachen Sicherheitsmaßnahme (einem intelligent gewählten Passwort) sollte jeder ein wenig dazu beitragen, dass das Internet nicht beim nächsten Großangriff zusammenbricht. Das gilt allerdings nicht für jene tief in Geräten versteckten Firmware-Passwörter, die Laien gar nicht ändern können. Um die können sich nur die Hersteller kümmern.

Die Zeit, neue Großangriffe von Geräteschwärmen zu verhindern, drängt. Man stelle sich nur eine Attacke wie am Freitag während der US-Präsidentschaftswahl in zwei Wochen vor.

US-Wahl Technisch wäre es möglich, die US-Wahl zu hacken

Wahlmaschinen

Technisch wäre es möglich, die US-Wahl zu hacken

Schließlich können Hacker auch "Pacman" auf Wahlmaschinen installieren. Eine Manipulation in die Tat umzusetzen, ist allerdings deutlich aufwendiger.   Analyse von Hakan Tanriverdi

© SZ.de/ees/mkoh - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Lesen Sie mehr zum Thema

SZ Stellenmarkt
:Entdecken Sie attraktive Jobs

In anspruchsvollen Berufsfeldern im Stellenmarkt der SZ.

Jetzt entdecken

Gutscheine:

Zur SZ-Startseite
Süddeutsche Zeitung
  • Plattform X-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
SZ Plus-Abonnement:
Vertrag mit Werbung: