Der Schutz privater Daten galt lange als größtes Problem des viel beworbenen "Internet der Dinge". Durch eine Katastrophe am Freitag wird nun offensichtlich: Es gibt noch ein viel größeres Problem mit der Welt der vernetzten Geräte, die jedes Jahr um Milliarden Maschinen wächst.
Webcams, Babyfone, theoretisch auch vernetzte Kühlschränke - diese Alltagsgeräte können von böswilligen Programmierern zu Waffen gemacht werden, wenn sie mit dem Netz verbunden sind. Und das ist mindestens so gravierend wie die Frage, welche Daten zum Beispiel ein "smartes" Thermostat an Google schickt.
Am Freitag haben Unbekannte die Infrastruktur des Internets in beispiellosem Ausmaß angegriffen. Die DDoS-Attacke (Distributed Denial of Service) auf den Webdienstleister Dyn legte Paypal, Spotify, Amazon, Twitter und andere Seiten teilweise lahm, vor allem in den Vereinigten Staaten. Auf der Karte, die Ausfälle in der Infrastruktur des großen Betreibers Level 3 darstellt, sah es aus, als würde die USA von gigantischen Stürmen heimgesucht. Für den Angriff nutzten die Unbekannten ersten Analysen zufolge insbesondere Kameras und digitale Videorecorder.
Der Vorfall ist die zweite gigantische DDoS-Attacke binnen weniger Wochen. Die Fälle haben einige IT-Fachleute zu der Überzeugung gebracht, dass das "Internet der Dinge" das gesamte Netz in eine veritable Krise gestürzt hat.
Es geht um mehr als auf unterbrochenen Zugriff auf Spotify
Es geht um mehr als nur darum, dass Menschen auf Spotify keine Lieder von Kendrick Lamar mehr hören können: Die andere große DDoS-Attacke der letzten Wochen traf den Journalisten Brian Krebs, Koryphäe beim Thema IT-Sicherheit. Er spricht von einer neuen Form der Zensur: Botnets könnten Webseiten kritischer Stimmen lahmlegen und ihren Schutz so teuer machen, dass Journalisten sich den Betrieb nicht mehr leisten können.
Krebs wechselte unter den Schutzschirm von Google, das ein entsprechendes Programm umsonst anbietet. Abgesehen vom journalistischen Interessenskonflikt, der sich in diesem Fall ergibt: Dass ein Autor nur noch veröffentlichen kann, wenn ihn der mächtigste Tech-Konzern der Erde beschützt, gibt zu denken. Sicherheitsexperten rufen nun: "Schützt das Internet vor dem Internet der Dinge!" Aber wie?
Besonders sind die Hersteller in der Pflicht. Auf dem Markt der internetfähigen Geräte tobt ein Unterbietungswettbewerb. Die Preisschlacht, die bei Verbraucherelektronik für die Massen schon immer tobt, wird durch den Hype um die Geräte befeuert. Die Hersteller denken die Sicherheit nicht mit, manche (Firmware-)Passwörter auf den Geräten lassen sich von Laien offenbar überhaupt nicht ändern.
Viele Bürger befassen sich nicht mit dem Thema Sicherheit: Für wenige Euro gibt es Kameras, um die Eingangstüre oder die schlafenden Kinder zu überwachen. Aber jede von ihnen ist eben auch eine potentielle Waffe mehr für die Botnetze. Die Analysen der großen DDoS-Angriffe zeigen, dass insbesondere chinesische Hersteller betroffen sind. Globale Standards und eine unabhängige Prüfstelle müssen her, schließlich betreffen weitreichende Ausfälle des Netzes die ganze Welt - und damit am Ende auch die Hersteller selbst.
Da sich die Hersteller von selbst wohl kaum bewegen werden, ist die Politik gefordert. Sie sollte die Konzerne verpflichten. Überlegungen der EU-Kommission, ein Label-System ähnlich dem zum Energieverbrauch von Geräten einzuführen, sind ein erster Schritt.
Zudem könnten sie auf Internetanbieter einwirken, zumindest ganz große Attacken unmöglich zu machen ( mehr dazu beim Bundesamt für Sicherheit in der Informationstechnik). Weil die Anbieter eine Torwächter-Stellung innehaben, müssten so weniger Unternehmen zu Sicherheitsmaßnahmen verpflichtet werden.
Politiker können zeigen, dass sie die Digitalisierung verstanden haben
Politiker sind auch deshalb in der Pflicht, weil viele von ihnen die neue Technik hochjubeln (und was bietet sich zum Phrasendreschen besser an als Formeln wie "Internet der Dinge" und "Smart Home"?). Über Datenschutz und IT-Sicherheit reden sie dagegen ungern. Nun können sie zeigen, dass sie die Digitalisierung, mit der sie sich so gerne schmücken, wirklich verstanden haben. Das wäre selbstverständlich kein Freibrief für die Hersteller, weiterzumachen wie bisher, viele ihrer Geräte blieben gefährlich - etwa jene mit tief verstecken Firmware-Passwärtern, die Laien nicht ändern können.
Solange Hersteller und Politiker das Thema vor sich herschieben, sind vorrangig die Nutzer gefragt. Egal, welches Gerät sie kaufen: Mit einer einfachen Sicherheitsmaßnahme (einem intelligent gewählten Passwort) sollte jeder ein wenig dazu beitragen, dass das Internet nicht beim nächsten Großangriff zusammenbricht. Das gilt allerdings nicht für jene tief in Geräten versteckten Firmware-Passwörter, die Laien gar nicht ändern können. Um die können sich nur die Hersteller kümmern.
Die Zeit, neue Großangriffe von Geräteschwärmen zu verhindern, drängt. Man stelle sich nur eine Attacke wie am Freitag während der US-Präsidentschaftswahl in zwei Wochen vor.