Am 21. Oktober hat eine Cyberattacke weite Teile des Internets an der US-Ostküste für Stunden lahmgelegt. Die Angreifer hatten einen DNS-Dienst mit massiven Anfragen überflutet und in die Knie gezwungen. Das DNS-System ist eine Art Telefonbuch des Internets. Wenn ein Nutzer etwa "Deutschlandfunk.de" in seinen Browser eingibt, sucht das DNS die passende IP-Adresse dazu raus. Nur so kann eine Verbindung entstehen. Das Besondere an dem Angriff auf den DNS-Dienst war, dass dafür keine Computer genutzt wurden, sondern Geräte aus dem Internet der Dinge: Router, Überwachungskameras, TV-Receiver, die an das Netz angeschlossen sind. Die Angreifer hatten Zigtausende dieser Geräte gekapert und zu einer Angriffswaffe orchestriert.
Es war nicht der erste Angriff dieser Art, aber der heftigste. VDE-Vorstandsvorsitzender Ansgar Hinz dazu: "Es ist ein singuläres Ereignis, aber keines, dass das Schlüsselereignis wäre. Das ist wie bei katastrophalen Unfällen: Man regt sich kurzfristig über ein Unglück auf, zieht entsprechende Konsequenzen und nach einer gewissen Zeit ebbt das wieder ab."
Wenn man sich auf dem Internet-der-Dinge-Kongress des Verbands der Elektrotechnik umhört, bekommt man solche Antworten oft zu hören. Der Angriff wird als ein Ereignis von vielen angesehen, man befasst sich lieber ganz allgemein mit dem Thema Sicherheit im Internet der Dinge.
Bei Cyber-Security gibt es keine internationalen Standards
"Auch wenn es erstaunen mag, im Bereich Cyber-Security gibt es vergleichbar zu anderen Themen wie elektrischer Sicherheit keine internationalen Standards."
Einen solchen Standard will der VDE voranbringen. Konkretes, wie er aussehen könnte, gibt es kaum zu erfahren. Ein Teil des Standards könnten zum Beispiel eindeutig identifizierbare Chips mit einer Art Fingerabdruck sein. Doch das Auffälligste am Angriff vom 21. Oktober war nicht sein Ausmaß, sondern die Tatsache, wie einfach er gestrickt war. Um die Geräte aus dem Internet der Dinge zu kapern, haben die Angreifer keine Verschlüsselungen oder Firewalls knacken müssen. Sie haben schlicht nach Geräten gesucht, deren Nutzer die Passwörter nie geändert haben. Die Router, Kameras und TV-Receiver waren von den Herstellern mit voreingestellten, einfachen Passwörtern auf den Markt geworfen worden und die Nutzer hatten sich nicht die Mühe gemacht, das zu ändern.
"Die Herausforderung ist der Mensch selber. Er muss irgendwo doch Hand anlegen, zumindest heute noch, damit er sich schützt vor derartigen Angriffen. Das kann man in Zukunft deutlich professioneller machen, indem man es zentral regelt. Das ist ein Thema, dass der Router im Haus Teil des Netzes werden sollte oder werden muss. Weil dann ist man in der Lage, bis ins Haus zu sorgen, dass das Netz sicher ist."
"Da reden Dinge mit anderen Dingen"
Sagt VDE-Präsident und Telekom Technik-Geschäftsführer Bruno Jacobfeuerborn. Bei diesem Vorschlag würden die Internetprovider stärker auf den Router zugreifen, also auf den Teil, der viele Geräte in einem Haushalt erst mit dem Internet verbindet. Sie könnten dem Nutzer dann Arbeit bei der Absicherung des Netzwerks und der Geräte abnehmen. Dafür würden sie aber auch viel weiter in den Haushalt eindringen. Der Nutzer müsste ihnen vertrauen. Die Sicherheit beim Internet der Dinge ist generell komplizierter als bei normalen PCs. Das steckt in der Natur der Sache, sagt Christoph Kutter, Leiter der Fraunhofer-Einrichtung für Mikrosysteme und Festkörper-Technologien und wissenschaftlicher Tagungsleiter beim Kongress.
"Wenn sie einen PC haben und der gehackt wird, werden sie es irgendwann mitbekommen, weil der PC dann auf einmal nicht mehr das macht, was sie wollen oder sie bekommen einen Bluescreen oder der PC wird langsamer, er stürzt ab, etwas passiert. Im Internet der Dinge hat das ganze eine andere Dimension, weil sie es eventuell nie mitbekommen. Weil nicht die Dinge mit ihnen reden, sondern diese Dinge mit anderen Dingen reden."
Dinge, die miteinander reden, könnten in Zukunft auch vernetzte medizinische Geräte sein oder Sensoren in Industrieanlagen. Hier wären Angriffe noch gefährlicher als bei den Heimgeräten. Sie müssen geschützt werden, durch Sicherheitsstandards. Genau so muss sich bei Herstellern und bei Nutzern ein Bewusstsein dafür entwickeln, dass auch Haushaltsgeräte ein Sicherheitsrisiko sind, wenn sie massenweise ans Internet angeschlossen werden. Bis dahin können die Internetgeräte im Haushalt ein Doppelleben führen und das Netz bedrohen.