Dieser Artikel erschien zuerst in der gedruckten Ausgabe des WIRED Magazins im September 2017. Wenn ihr die Ersten sein wollt, die einen WIRED-Artikel lesen, bevor er online geht: Hier könnt ihr das WIRED Magazin testen.
Ein Fernsehabend wie kein zweiter: Plötzlich springt das Programm um, und der Bildschirm zeigt in einer Endlosschleife immer wieder das Gleiche – ein Video mit der Aufforderung, 1000 Euro in Bitcoin zu zahlen, damit das Gerät sich wieder normal verhält
Das bisher hypothetische Schauspiel wartet wohl nur auf den Tag seiner Uraufführung: „Fernseher mit Internetanschluss lassen sich leicht missbrauchen“, erklärt Vince Steckler, Vorstandschef des Security-Dienstleisters Avast. Das haben Sicherheitsforscher mehrfach vorgeführt. Deshalb hält Steckler einen „Angriff auf Tausende, vielleicht sogar Millionen Geräte, die von Ransomware als Geiseln genommen werden“, für gut denkbar.
Das Problem liegt im System. In aller Eile stürzen sich Hersteller darauf, neue Verbindungen im Alltag zu schaffen: 2021 sollen gut 27 Milliarden Geräte online sein, schätzt Cisco – zehn Milliarden mehr als 2016. Doch Schutz vor Angreifern kommt beim Run auf das Internet der Dinge (IoT) meist zu kurz, besonders im Kampf um Privatkunden. „Es liegt nicht unbedingt im Interesse der Hersteller, auf mehr Sicherheit zu achten“, erklärt Steckler, „weil vieles sehr billig verkauft wird. Niemand will auch nur ein paar Cent extra ausgeben.“
Ohnehin drohen die bisherigen Verteidigungsstrategien zu versagen, wenn aus einer überschaubaren Zahl von PCs und Smartphones ein Vielfaches an Sensoren, Steuerungssystemen und Haushaltsgeräten wird, die einander Daten zufunken. „Das Internet, wie wir es heute kennen, verlangt viel Handarbeit“, erklärt Rowan Trollope, Ciscos Vizepräsident für IoT-Anwendungen. Einstellungen wählen, Passwörter festlegen, Software aktualisieren – all das sei nicht länger praktikabel: „Wir dürfen die Verantwortung nicht den Nutzern zuschieben, sondern müssen Sicherheit direkt in das Netzwerk einbauen.“
Wenn eine LED-Leuchte versucht, ein Buch bei Amazon zu kaufen, dann können wir das von vornherein unterbinden
Cisco will dazu mehr Intelligenz in Router und andere Verteilstationen einbauen, die Daten bisher meist nur durch-reichen, aber nicht prüfen, ob die angeschlossenen Geräte sich auch verhalten, wie sie sollten. „Wenn eine LED-Leuchte versucht, ein Buch bei Amazon zu kaufen, dann können wir das von vornherein unterbinden“, sagt Trollope. Der Router müsste nur wissen, welche Dienste für jedes Gerät freigegeben sind, um zum Verkehrspolizisten zu werden.
Verwandte Konzepte verfolgen auch andere Hersteller. F-Secure Sense und Norton Core versprechen mehr Schutz fürs Smart Home, indem sie das Konzept einer Firewall auf alle angeschlossenen Geräte übertragen. Kaspersky Lab versucht es gleich mit einem eigenen Betriebssystem, das nur für das IoT gedacht ist. Durch die Grundeinstellung, Verbindungen grundsätzlich zu verweigern, bis geklärt ist, dass die Geräte einander vertrauen können, soll das Kaspersky OS sicher genug auch für Industrieanwendungen werden.
Nach einem ähnlichen Prinzip will Cisco alle Geräte, die frisch ins Netz gehen, zunächst in einem Quarantäne-Modus isolieren. Erst nach der Prüfung von Zertifikaten darf der Kühlschrank sich dann mit dem Internet verbinden. „Wir haben die goldene Gelegenheit, das Sicherheitsmodell im Internet noch einmal grundlegend neu zu gestalten“, sagt Trollope.
Auch Startups wollen sich diese Chance nicht entgehen lassen. In Berlin etwa kann man Tim Panton dabei beobachten, wie er an einem Raspberry-Pi-Computer herumschraubt, um den Prototypen seines neuen Pipe-Systems zu optimieren. Der Brite arbeitet mit seinem Partner Simon Hossell daran, IoT-Geräte direkt miteinander zu verbinden – verschlüsselt und ohne Abhängigkeit von Cloud-Diensten oder Drittanbietern. „Wir wollen den Menschen das Gefühl zurückgeben, dass sie ihr Gerät wirklich besitzen“, sagt Panton. Dezentral soll ihr Pipe-Netzwerk arbeiten und dadurch weniger verletzlich sein als Systeme, die sich auf zentrale Knotenpunkte verlassen.
Die vielleicht größte Herausforderung aber hat bisher niemand gemeistert: über sich hinauszuwachsen und mehr als eine Insellösung zu schaffen. „Da draußen herrscht ein völliges Durcheinander an Angeboten“, kritisiert Gregg Smith, CEO von Silent Circle. „Der Markt ist unübersichtlich und völlig überfrachtet.“ Darunter leidet auch sein eigenes Unternehmen. Mit dem Blackphone versucht Silent Circle, sich vom allgemeinen Durcheinander abzuheben. Das neuartige Handy verspricht konsequente Verschlüsselung für alle Funktionen und soll auch helfen, IoT-Geräte zu schützen.
Kein schlechter Gedanke. Nur: Um das Internet wirklich sicherer zu machen, müsste es dem Blackphone gelingen, einen Standard für die gesamte Smartphone-Welt zu setzen. Und um Angreifern tatsächlich das Leben zu erschweren, müsste „Safety first“ weltweit zur Priorität für alle Beteiligten werden – über sämtliche Anwendungsgebiete hinweg. Wie realistisch ist das, wenn es auch noch eine neue Infrastruktur verlangt?
„Wir werden sicher nicht alles wegwerfen und von vorn anfangen“, sagt Avast-Chef Vince Steckler. „Also müssen wir mit dem arbeiten, was wir haben.“ Die Lösung sieht nicht nur seine Firma darin, Datenströme besser zu überwachen: Mitlernende Systeme (gern mit dem Modewort „Künstliche Intelligenz“ beworben) analysieren fortwährend das Verhalten aller Geräte im Internet – welche Informationen sie aussenden oder empfangen, wie hoch das Datenaufkommen ist, woher Anfragen eintreffen und wohin Informationen fließen.
Alles Ungewöhnliche fällt dabei auf, und Geräte, die für Botnet-Attacken missbraucht werden, könnten schnell isoliert werden. Der Preis für das Mehr an Sicherheit wäre allerdings die Bereitschaft, digitalen Wachdiensten noch mehr Einblicke in das Surfverhalten von Menschen und Maschinen zu gewähren als bisher – und darauf zu vertrauen, dass sie selbst nichts Böses im Schilde führen.
