Stefan Römermann: Und plötzlich ging nichts mehr. Netflix, Amazon und Twitter, gleich eine ganze Reihe großer Internetseiten waren in den USA am Wochenende zum Teil über mehrere Stunden gestört. Grund war eine groß angelegte Hacker-Attacke bei einem zentralen Internetdienst. Der wurde in dieser Zeit so sehr mit Anfragen überhäuft, dass normale Kunden schlicht nicht mehr durchkamen.
Das Erstaunliche dabei: Diese Anfragen, die kamen zum großen Teil von Haushaltsgeräten und Elektrogeräten, die von Hackern ferngesteuert wurden. Darüber spreche ich jetzt mit Arne Schönbohm, er ist Präsident vom Bundesamt für Sicherheit in der Informationstechnik. Hallo, Herr Schönbohm.
Arne Schönbohm: Ich grüße Sie.
Römermann: Vielleicht zuerst die Frage: Wie kann es denn eigentlich sein, dass Hacker meine Geräte fernsteuern können? Sollten die nicht eigentlich sicher sein?
Schönbohm: Na ja, sie sollten schon sicher sein. Aber jetzt ist es so, dass natürlich ein Babyphone man sich vielleicht in der Vergangenheit nicht hat vorstellen können, dass es unmittelbar mit dem Internet verbunden ist. Heutzutage ist es mit dem Internet verbunden, weil man darüber dann auch eine Kamera vielleicht hat. Wenn man unterwegs ist, möchte man gerne auf dem Smartphone dieses sich dann auch näher anschauen, wie es dem Kind gerade geht. Darüber ist auch eine Verbindung möglich mit dem Internet und wenn das Passwort nicht dementsprechend geändert wird, wenn das nicht besonders geschützt ist, dann ist eine einfache Fremdsteuerung möglich, und das ist hier anscheinend geschehen.
Römermann: Vielleicht gehen wir da noch mal zwei Schritte zurück. In diesen Geräten sind inzwischen eigentlich überwiegend richtige kleine Computer. Das sind eigentlich Computer, oder?
Schönbohm: Sie haben vollkommen Recht. Das sind kleine Computer und das Telefon ist ja auch kein Telefon mehr, sondern praktisch ein normales Notebook, ein normaler PC letzten Endes. Das erleben wir auch bei den Kameras, das erleben wir auch bei allen anderen Systemen, die man unter dem sogenannten "Internet of Things", der Vernetzung der verschiedensten Teilsysteme dementsprechend versteht.
Römermann: Wie muss ich mir das vorstellen? An welcher Stelle liegt denn da die größte Schwachstelle in diesem System?
Schönbohm: Oft ist es so, dass die Systeme einheitlich konfiguriert sind, und in der Vergangenheit war es so, dass das Thema der Informationssicherheit nicht das gewesen ist, womit man sich prioritär beschäftigt hat, sondern es ging eher darum, ein Produkt zu machen, was möglichst effektiv ist, möglichst effizient ist, möglichst viele Teilbereiche mit abdecken kann, möglichst kundenfreundlich letzten Endes ist, und die Informationssicherheit ist teilweise hinten runtergefallen. Das erleben wir jetzt hier wie bei dem letzten Angriff, wo die Systeme nicht ausreichend geschützt worden sind.
Römermann: Diese Geräte wurden dann Teil von einem großen Botnetz. Vielleicht können Sie in kurzen Worten noch mal erklären, was das eigentlich ist, so ein Botnetz, und warum das so gefährlich ist.
Schönbohm: Ein Botnetz ist nichts anderes wie ein Netzwerk von verschiedenen Computern, die von einer anderen Person fremdgesteuert werden. Stellen Sie sich das so vor: Sie haben ja einen PC und durch die Fremdsteuerung haben Sie auf einmal 100 oder 1000 oder Millionen PCs. In Deutschland rechnen wir damit, dass rund eine Million PCs zurzeit fremdgesteuert werden, und durch diese Fremdsteuerung können Sie natürlich bestimmte Anfragen starten. Das ist dann das Gefährliche, das sind sogenannte DDoS-Angriffe, dass Sie die Webseiten und andere Themen, Dienstleister im Bereich der Internetwirtschaft praktisch damit lahmlegen. Das ist eine der zentralen Herausforderungen, die wir haben. Das ist ein Botnetz und damit kann man richtig viel Geld verdienen.
Römermann: Eine Million Rechner in Deutschland, das klingt nach einer unglaublichen Menge an Rechnern. Was wird denn dagegen getan? Das kann doch nicht sein, dass hier so viele, ich sage mal, Zombie-Rechner durch die Gegend surfen?
Schönbohm: Zum einen, wenn Sie sich vorstellen, das sind ja nicht immer Rechner, sondern das sind auch normale teilweise Gebrauchsgegenstände. Denken Sie an Videokameras mit IP-Adressen, denken Sie an Kühlschränke, die mit dem Internet vernetzt sind, aber denken Sie auch an die ganzen SmartTVs, die wir mittlerweile haben. Auch das gehört letzten Endes mit zu diesem Bestandteil.
Passwörter individualisieren
Ungarische Schwachstellenforscher haben beispielsweise festgestellt, dass alleine 130.000 verwundbare Videosysteme nur von einem Hersteller auf dem Markt frei verfügbar sind, die sehr stark verletzlich sind. Das sind genau die Themen, was kann man dagegen tun? Wir alleine warnen jeden Tag 15.000 IP-Adressen darüber, dass hier eine Fremdsteuerung vorliegt, alleine 15.000 jeden Tag automatisiert über die Telekommunikationsprovider. Und wir sind mit der Wirtschaft, mit der Industrie jetzt natürlich auch noch mal verstärkt in der Diskussion. Wir haben eine Allianz für Cyber-Sicherheit zum Beispiel, wo über 2000 Unternehmen dran beteiligt sind, wo wir uns gerade austauschen, was sind die richtigen Sicherheitsarchitekturen, was ist notwendig, beispielsweise dass die Passwörter von vornherein geändert werden können, dass die individualisiert werden.
Römermann: Bräuchten wir da von den Herstellern für ein paar Jahre auch eine Pflicht, Sicherheitsupdates ständig zu machen?
Schönbohm: Das mit Sicherheit auch. Auch, dass diese Geräte, wenn Schwachstellen identifiziert werden, schnell geschlossen werden, diese Schwachstellen. Und das sind Themen, wo wir natürlich auch sehr stark in der Diskussion sind. Jetzt ist es so: Bei einem Smartphone zum Beispiel nutzen Sie das zwei Jahre und danach werfen Sie es weg. Bei Kameras ist das deutlich länger der Fall. Das sind Themen, die sich gerade einspielen. Aber darum ist es notwendig, die Wirtschaft frühzeitig darauf hinzuweisen, in einer Diskussion fordern und fördern.
Im Bereich der kritischen Infrastrukturen vielleicht noch gerade. Da ist es ja so, dass wir ein Gesetz haben, wo das ja sehr klar festgelegt worden ist, auch was die Mindeststandards sind.
Römermann: Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik. Vielen Dank für das Gespräch.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.