Archiv

Außer Rand und Band
Geräte im Internet der Dinge werden zur Gefahr für das Netz

Vergangenen Freitag guckten einige Internetnutzer verdutzt auf ihren Bildschirm: Twitter, Netflix, Amazon und viele andere - nicht erreichbar, nicht nur in den USA, sondern weltweit. Ursache für die Störungen war ein massiver Angriff auf Kernbereiche der Internet-Infrastruktur.

Jan Rähm im Gespräch mit Manfred Kloiber |
    Vernetzte Haushaltsgeräte sollten sicherer gemacht werden, fordert das BSI.
    Ans Internet angeschlossene Haushaltsgeräte können zum Sicherheitsrisiko werden. (picture alliance / dpa / Wolfgang Kumm)
    Manfred Kloiber: Jan Rähm, solche Angriffe gehören mittlerweile zur Realität im Netz - aber der von letzter Woche war doch anders. Was hat ihn so besonders gemacht?
    Jan Rähm: Außergewöhnlich war sowohl die Schwere des Angriffs wie auch die eingesetzten Mittel. Der Angreifer hat mithilfe einer Schadsoftware namens Mirai ein Botnetz aus Unmengen an Geräten des Internets der Dinge genutzt. Das war möglich, weil viele dieser Dinge wie Webcams, Digital-TV, Heizungsthermostate, Drucker, Router und viele mehr nur schlecht geschützt sind und oft viele Sicherheitslücken aufweisen.
    Die zweite Besonderheit: Die missbräuchlichen Anfragen erfolgten nicht wie üblich auf den unteren Schichten des OSI-Protokolls, sondern auf der Anwendungsschicht über http. Das sah also aus wie normaler Web-Traffic, teils sogar SSL-verschlüsselt, weswegen Dyn keine Chance hatte, das abzuwehren. Hinzukommt, dass es nicht nur direkte Angriffe waren, sondern eine Technik namens Deflection hinzukam. Die Angriffe wurden sozusagen über Bande gespielt und immer wieder über andere Server gespiegelt, sodass man nicht einfach IP-Bereiche blocken konnte.
    "Solche massiven Angriffe könnten auch der Infrastruktur an sich schaden"
    Kloiber: War das jetzt ein Einzelfall?
    Rähm: Leider nein - das war der zweite derartige Angriff innerhalb kurzer Zeit. Vor wenigen Wochen war die Website des IT-Journalisten Brian Krebs betroffen. Auch da waren die Angriffe so heftig, dass dessen Dienstleister Akamai die weiße Flagge hisste und das Blog des Spezialisten aus ihrem Schutz entlassen musste. Krebs kam dann bei Google unter, die dann die Angriffe nach und nach abwehren konnten. Zu befürchten steht, dass diese beiden Ereignisse erst der Anfang sind. Wir haben damit den Beweis, dass es erstens möglich und zweitens sehr effektiv ist, die Geräte des Internets der Dinge derart zu missbrauchen. Außerhalb der IT-Fachwelt war das lange bezweifelt worden, weil die Geräte an sich nur sehr leistungsschwach und oft nur schmalbandig angeschlossen sind. Es wird außerdem befürchtet, dass solche massiven Angriffe auch der Infrastruktur an sich schaden könnten, vor allem bei langanhaltenden Attacken.
    Kloiber: Jetzt also stellen sich die Fragen, wie konnte es eigentlich passieren, dass das Internet der Dinge so missbraucht wird und was man tun kann, um solche massiven Angriffe zu verhindern.

    Ein Mensch vor einem Laptop, an dessen Monitor der Schriftzug "Passwort akzeptiert" zu lesen ist.
    Als Passwort "password": Voreingestellte Zugangsdaten stellen für Hacker häufig keine Hürde dar (picture alliance / dpa / Tobias Hase)
    "Das ist natürlich überhaupt nicht überraschend"
    Es war unter anderem die älteste aller Sicherheitslücken, die die massiven Angriffe möglich machte: Schlechte Zugangsdaten beziehungsweise voreingestellte Standard-Zugangsdaten. Geräte mit der Kombi "root" - "root" oder dem Passwort "password" sollten eigentlich längst der Vergangenheit angehören. Doch sie sind immer noch sehr präsent. So sehr sogar, dass es dem Angreifer gelang, Datenraten im Terabit-Bereich statt der bisher gesehenen Gigabit pro Sekunde zu erzeugen. Es war eine exorbitante Datenlast, die da den Netzwerk-Dienstleister Dyn unter Druck setzte. Linus Neumann, Sprecher des Chaos Computer Clubs:
    "Das Ausmaß ist natürlich schon mal beeindruckend, was da erreicht wurde. Dass so etwas passieren würde, also dass diese Things of Internet gehackt werden würden, ist natürlich überhaupt nicht überraschend."
    Daran sind aber nicht nur niedrige Zugangshürden schuld. Die Komplexität elektronischer Geräte im eigenen Haushalt überfordert den Durchschnitts-User manchmal.
    Sicherheitsrisiko: Universal-Plug-and-Play-Technik
    Die Universal-Plug-and-Play-Technik, kurz UPnP, ist dafür ein Beispiel. Eigentlich soll sie dem unbedarften Nutzer helfen, neue Geräte automatisch ins Netzwerk einzufügen und alle notwendigen Änderungen im Netz automatisch zu veranlassen. Ein praktischer Ansatz, würde UPnP nicht auch das Tor vom Internet ins geschützte Heimnetz sperrangelweit öffnen. Die Verbindung von außen ist beispielsweise dann nötig, wenn ein User mit seiner Webcam auch von unterwegs in seine Wohnung schauen möchte. IT-Sicherheitsberater Christoph Fischer von BFK edv-consulting:
    "Dieses Problem wird sich ausweiten. Der User ist völlig überfordert damit. Wenn sie bei einem Anbieter so eine Kamera kaufen, bei sich ins Netz stecken, dürften 90 Prozent der User überhaupt nicht wissen, was da im Moment abläuft und wie man das verhindern kann."
    In Deutschland sind die negativen Auswirkungen von UPnP geringer. Router von Markenherstellern werden hierzulande meist mit deaktivierter, externer UPnP-Funktion ausgeliefert. In anderen Branchen dagegen sieht es nicht so gut aus. Denn auch IT-fernere Hersteller wie die von Autos, Heizungsanlagen, Kühlschränken, Herden oder Lampen bringen nun ihre Produkte ins Netz. Linus Neumann:
    "Den meisten fehlt einfach das Wissen von 20 Jahren IT-Security-Evolution. Derartiges Wissen wird bei IoT-Geräten vernachlässigt. Wahrscheinlich, weil es auch einfach nicht die Kompetenz unter den Herstellern gibt und vielleicht auch nicht den Willen, bei den Preisen, die ja heute schon sehr gering bei diesen Geräten sind."
    "Es gibt zwei Arten von Produkten, die sie ohne jegliche Haftung verkaufen können: Drogen und Software"
    Teure Sicherheit nachträglich in ein Billiggerät einbauen? Da wollen die Hersteller lieber neue Geräte verkaufen. So bleiben die alten oft ungesichert und voll mit Sicherheitslücken im Netz, bis sich jemand dieser ungeschützten und offen stehenden Dinge bedient - wie das jetzt passiert. Nur wer haftet für die Schäden? Die Hersteller der betroffenen Geräte? Linus Neumann:
    "Ein bekannter Hacker sagt immer, es gibt zwei Arten von Produkten, die sie verkaufen können, ohne jegliche Haftung. Das sind einmal Drogen und das andere ist Software. Bei allem anderen, wenn sie da Mist verkaufen, kriegen sie Ärger. Und dieser Zustand ist natürlich nicht haltbar und ist natürlich auch dafür verantwortlich, dass wir nach 20, 30 Jahren IT immer noch derartige Phänomene überhaupt in dieser Welt sehen."
    Produkthaftung auch für Software wäre also eine Lösung. Doch die ist gleich in mehrerer Hinsicht problematisch. So ist beispielsweise klar, dass es niemals völlig fehlerfreie Software geben wird, einfach weil Software heute so komplex ist. Und dass ein deutscher Haftungs-Vorstoß wirksam wäre, glaubt Christoph Fischer auch nicht:
    "Da ist das Problem, dass das halt eine globale Geschichte ist und sich dieses Recht eben nur landesweit durchsetzen lässt und nicht auf weltweiter Basis."
    Die Alternative: Die Möglichkeit einer Sammelklage wie in den USA, wo sich Einzelkläger zu einer schlagkräftigen Gruppe zusammenschließen können und dann gemeinsam klagen. Nur so käme der einzelne Anwender auf Augenhöhe mit den Herstellern.

    Bundesinnenminister Thomas de Maiziere (CDU) spricht am 19.08.2016 in Berlin nach der Innenministerkonferenz von CDU/CSU auf einer Pressekonferenz zu den Medienvertretern.
    Bundesinnenminister Thomas de Maiziere (CDU) spricht von einem Schadenersatzanspruch bei Sicherheitsvorfällen - wodurch die Beweispflicht auf den Geschädigten verlagert würde (picture alliance / dpa / Kay Nietfeld)
    "Wir sprechen hier von einer wirklich großen Lobby"
    Manfred Kloiber: Jan Rähm, welche Aussicht auf Erfolg haben die beiden Forderungen?
    Jan Rähm: Ich fürchte, dass beide keine allzu großen Auswirkungen haben werden. Gegen die Produkthaftung werden sich Software-Hersteller und weitere Industriezweige mit Händen und Füssen wehren. Und wir sprechen hier von einer wirklich großen Lobby mit mehr als ausreichenden Mitteln. Auch bei der Sammelklage bin ich eher skeptisch. Solche Forderungen gibt es schon länger, aber das wäre etwas völlig neues im deutschen Rechtssystem. Andererseits: Seit dem VW-Skandal habe ich das Gefühl, dass eine solche Klageart auch hierzulande langsam realistischer wird.
    Kloiber: In dieser Woche sprach der Innenminister davon, es müsse eine "faire Verantwortungsverteilung" zwischen Usern wie Herstellern geben. Er sprach außerdem von einem Schadenersatzanspruch bei Sicherheitsvorfällen. Ein erster Schritt Richtung Produkthaftung?
    Rähm: Ich denke nicht. De Maizière sprach von einem Mythos vom "armen Nutzer", der in Wirklichkeit seine Geräte perfekt bedienen könne. Wir haben es eben gehört, die Experten sehen das etwas anders. Aber klar: die Nutzer müssen sich viel mehr mit ihrer Technik und den Gefahren auseinandersetzen, nur gehört das bereits zur digitalen Grundausbildung. Der Schadenersatzanspruch ist kritisch, weil er die Beweispflicht auf den Geschädigten verlagert, der seinen Schaden nachweisen muss.
    Kloiber: Jan Rähm über die jüngsten Angriffe auf IT-Infrastruktur und was nun zu tun ist. Dankeschön.