Update, 9. November 2016: Seitdem das so genannte Mirai-Botnet im Oktober weite Teile des Internets an der amerikanischen Ostküste vorrübergehend zum Absturz gebracht hat, ist auch das unsichere Internet der Dinge wieder in der Diskussion. Mirai infiziert willkürlich vernetzte Geräte von der Kamera bis zum Kühlschrank und schaltet sie zu einem riesigen Netzwerk zusammen – einem Botnet. Eine bisher unbekannte Zahl an Angreifern fernsteuert dieses Netzwerk für so genannte Denial of Service Attacken (DDoS). Dabei überflutet es Server mit einer massiven Anzahl an Zugriffs-Anfragen, Berichte sprechen mittlerweile von bis zu einem Terrabit pro Sekunde. Unter dieser Last brechen sie zusammen. Je mehr vernetzte „Dinge“ zu diesem Netztwerk hinzukommen, desto stärker wird seine Rechenleistung und desto gefährlicher wird es. Dem könnten Unternehmen vor allem entgegen treten, indem sie das Internet of Things sicherer machen. Warum das aber so ein großes Problem ist, zeigt folgender Text:
Es gehörte nicht zu John Matherlys Plan, aber sein Projekt ist berüchtigt geworden. Der Programmierer aus Texas wollte eigentlich nur zeigen, wie Alltagsgeräte mit Internetanschluss genutzt werden. Schnell aber entwickelte sich Matherlys Website shodan.io zur ersten Suchmaschine für das Internet der Dinge (IoT) – beliebt bei Sicherheitsforschern und Hackern, gefürchtet von Datenschützern.
Shodan.io klappert weltweit das Datennetz nach ungeschützten Einfallstoren ab – sogenannten offenen Ports – und führt die Ergebnisse übersichtlich auf. So gewährt die Website bequem Zugriff auf leichte Ziele aller Art: Nutzer können per Webcam heimlich in Schulklassen und Kinderzimmer schauen, aber auch Industrieanlagen und Kraftwerke ausspähen.
Ein Horrorszenario für viele, eine Bestätigung für Daniel Miessler, den Direktor der IoT-Sicherheitsfirma IOActive. „Wir müssen Shodan als Instrument für die Guten begreifen“, argumentiert der Kalifornier. Schon lange könnten Kriminelle im Geheimen solche Löcher im Netz finden; Shodan zerre die Praktik nur ans Tageslicht – und zeige die desolaten Sicherheitslücken einer gerade boomenden Branche.
Matt Jakubowski verwandelte die Augen einer internetfähigen ,Hello Barbie' in eine Überwachungskamera
Vielen IT-Experten graut vor dem Gedanken an Milliarden von Geräten, die in den nächsten Jahren online gehen, ohne ausreichend vor Übergriffen geschützt zu sein. „Mängel in der Sicherheitsarchitektur der Geräte bergen das Risiko der Offenlegung vertraulicher Daten, des Identitätsdiebstahls und der Wirtschaftsspionage“, warnt zum Beispiel das Forum Privatheit.
Betroffen ist theoretisch jedes smarte Device, ob Thermostat, Fernseher oder Fitnessarmband. Autos voller Elektronik, so zeigen Forscher immer wieder, bieten gleich etliche Angriffsflächen. Das reicht vom ferngesteuerten Schiebedach eines Tesla S bis zum erzwungenen Motorstopp bei einem Jeep in voller Fahrt. Selbst Puppen sind anfällig: Der US-Sicherheitsexperte Matt Jakubowski verwandelte die Augen einer internetfähigen Hello Barbie in eine Überwachungskamera.
Dieser Artikel erschien zuerst in der gedruckten Ausgabe des WIRED Magazins im Juni 2016. Wenn ihr die Ersten sein wollt, die einen WIRED-Artikel lesen, bevor er online geht: Hier könnt ihr das WIRED Magazin testen.
„Die Vielzahl an Bedrohungen spiegelt die Zahl der Geräte“, schreibt Symantec in seinem Internet Security Threat Report 2015. Marktforscher Gartner erwartet, dass bis 2020 ein Viertel aller digitalen Angriffe das IoT zum Ziel hat. Weil sich der Markt für das Internet der Dinge so schnell entwickelt, wimmele es von Billig-Hardware und schlecht programmierten Betriebssystemen.
Selbst Unternehmen seien sich oft nicht der Gefahr bewusst, sagt Nikolay Kolev, IoT-Experte bei Deloitte: „Die Durchlässigkeit von zum Teil auch alten Systemen ist noch enorm.“ Viele grobe Schnitzer allerdings fielen in die Kategorie Kinderkrankheiten. „Die banalen Fälle, das Versagen bei der grundlegenden Sicherheit, werden wir schon bald nicht mehr sehen“, glaubt Kolev.
Am Grundproblem ändert das allerdings wenig: Mit der Zahl der vernetzten Geräte steigt unweigerlich die Zahl der Angriffspunkte – zumal die Hersteller immer mehrere Elemente zugleich im Blick behalten müssen: Hardware, Software, Netzwerke und Cloud Security. „Schon für Internetunternehmen ist es schwierig, für Sicherheit zu sorgen“, sagt Miessler. „Und sie sind Experten auf ihrem Gebiet.“ Anders als viele IoT-Anbieter, die jetzt frisch in den Markt drängen.
Ein Risiko entsteht erst durch finanzielle Anreize
So löchrig das alles erscheinen mag: Offline bleiben sehen selbst kritische Beobachter wie Miessler nicht als Ausweg. Schließlich hat die Vernetzung längst begonnen und verspricht viele Vorteile: „Das Angebot ist trotz aller Bedenken zu mächtig, um es abzulehnen“, sagt Miessler. Vielmehr müsse es darum gehen, Schwächen zu erkennen und schnell zu beseitigen, ähnlich wie beim anfangs ebenfalls unsicheren Cloud-Computing.
Vor Panik warnt auch der Berliner Sicherheitsforscher Karsten Nohl. Ihm fehlt in der Debatte der Blick auf die Motive von Datendieben: „Ein Risiko entsteht erst durch finanzielle Anreize“, argumentiert Nohl. Wie solle ein Hacker etwa vom Angriff auf das Smart Meter eines Privathaushalts profitieren? „Gegenüber dem möglichen Verdienst durch das Versenden von Phishing-Mails ist das nichts“, sagt Nohl.
Am Ende dürfte sich das Duell der Angreifer und Verteidiger, das die IT-Welt seit Jahrzehnten vom PC kennt, schlicht auf den vernetzten Alltag verlagern: „Auf beiden Seiten gibt es sehr schlaue Leute“, sagt Deloitte-Berater Kolev. „Es ist ein ewiges Katz-und-Maus-Spiel.“
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
