Security Wenn Opfer zu Tätern werden

Joachim Kroll - Stv. Chefredakteur, Elektronik
Joachim Kroll - Stv. Chefredakteur, Elektronik

»Das IoT wird nur erfolgreich sein, wenn die Geräte auch abgesichert sind«, rufen die Mahner. Stimmt das eigentlich?

Millionen von Geräten sind bereits mit dem Internet verbunden, die meisten davon sind völlig ungesichert und trotzdem ist weder das Internet zusammengebrochen noch haben Kriminalität und Gesetzlosigkeit den virtuellen Raum übernommen. Damit kein Missverständnis aufkommt: Kritische Infrastruktur muss selbstverständlich ordentlich gegen Angriffe abgesichert sein. Aber es gibt viel mehr unkritische als kritische Geräte. Was macht es schon, wenn jemand Zugriff z.B. auf ein Heizungsventil hat? Dann wird eben mal ein bißchen zu viel geheizt – davon geht die Welt nicht unter.

Ein Aspekt, der oft vergessen wird, ist aber, dass IoT-Geräte nicht nur Opfer, sondern auch Täter sein können. So gab es im Oktober 2016 einen DDoS-Angriff (Distributed Denial of Service) auf den DNS-Dienstleister Dyn, der URLs in numerische IP-Adressen übersetzt. Das Ergebnis: Dienste von Amazon, Paypal, Twitter, Netflix u.a. waren über Stunden nicht erreichbar. Ausgegangen war der Angriff von Millionen von Videorecordern, IP-Kameras und anderem vernetztem Equipment, das so viele unerwünschte Anfragen an Dyn sendete, dass die erwünschten Anfragen von Nutzern kaum noch beantwortet wurden.

Hinter der Fernsteuerung der IoT-Geräte steckte das Botnet »Mirai«. Der Entwickler von Mirai hatte den Quellcode einen Monat zuvor auf Github hochgeladen, sodass sich jeder sein eigenes Botnet bauen konnte. Im Quellcode von Mirai sind 66 Kombinationen von Benutzernamen und Passwörtern hinterlegt, die Hersteller als Vorgabewerte in ihren Geräten hinterlegt haben. Natürlich kann man jetzt die Anwender dafür verantwortlich machen, dass sie diese Zugangsdaten nicht geändert haben. Der heikle Punkt ist aber: Es gibt viele IoT-Geräte, bei denen das überhaupt nicht möglich ist, jedenfalls nicht über die Webschnittstelle des Gerätes. Stattdessen müssten die Anwender über Telnet oder SSH auf Befehlszeilen­ebene auf das Gerät zugreifen. Das kann man niemandem zumuten.

Wenn Hersteller schon massenweise möglichst billige und völlig ungesicherte Geräte auf den Markt werfen, um sich Marktanteile zu erobern, dann sollten sie auch für die Schäden verantwortlich gemacht werden können, die ihre Geräte verursachen. Aber bis hier eine gesetzliche Regelung greift, hat sich die Technik wahrscheinlich schon wieder so weiterentwickelt, dass die Regelung zum Zeitpunkt des Inkrafttretens schon wieder veraltet ist.

Inzwischen gibt es eine neue Malware namens Brickerbot. Brickerbot greift Linux-Geräte über Telnet an, probiert ebenso bestimmte Username/Password-Kombinationen durch und setzt bei Erfolg Befehle ab, die das Speichermedium löschen. Das Gerät wird unbrauchbar. Vielleicht ist das die einzige Möglichkeit, die Hersteller zur Vernunft zu bringen und sie zur Implementierung vernünftiger Sicherheitsstandards auch scheinbar unkritischer Geräte zu bewegen.