Mehr und mehr Alltagsmaschinen gehen online. Experten aus Österreich fanden heraus, dass die Hersteller massiv bei der Produktion schlampen: ein Paradies für Hacker und Geheimdienste.
Wien. Dass von Hackern gekaperte Webcams und Videorekorder einmal Internetriesen wie Amazon, Netflix oder Twitter stundenlang lahmlegen, darauf wären zumindest Laien vor dem 21. Oktober 2016 nicht gekommen. Tatsächlich ist es aber passiert.
Seither wird auch außerhalb von Expertenkreisen über die Schattenseiten jener wirtschaftlichen Chancen und Annehmlichkeiten debattiert, die die fortschreitende Vernetzung unseres Alltags mit sich bringt. Ein beunruhigender Beitrag dazu kommt aus einer Studie österreichischer Sicherheitsexperten: Ein großer Teil jener Satellitenempfänger, DVD-Player, Waschmaschinen, Kühlschränke und Systeme zur Hausautomatisierung ist von Grund auf unsicher und angreifbar. Das sogenannte Internet der Dinge, das immer tiefer in unser Leben dringt, wird damit – offenbar – zur Gefahr für sich selbst.
1) Wie schafften es Webcams und Videorekorder, Netzriesen wie Amazon lahmzulegen?
Das Prinzip ist so einfach wie alt. Mit Schadsoftware (Viren) infizierte Computer werden von Hackern ferngesteuert und bombardieren auf Kommando die Zielserver – zum Beispiel Websites – mit sinnlosen Anfragen. Je nach Zahl der Anfragen können dabei auch Infrastrukturen mit großen Kapazitäten unter der Last zusammenbrechen. Die österreichische A1-Telekom war Anfang des Jahres Opfer einer solchen Attacke inklusive Erpressungsversuch der Angreifer.
Am 21. Oktober griffen Unbekannte mit Dyn-DNS einen zentralen Internetdienstleister an, der für Amazon und andere Unternehmen tätig ist. Bemerkenswert dabei war, dass das digitale Bombardement – die Rede ist von bis zu 20 Millionen gekaperten Geräten – nicht ausschließlich von PCs, sondern zu einem nennenswerten Anteil von anderen vernetzten Gegenständen ausging. Darunter befanden sich u. a. digitale Videorekorder und Webcams des chinesischen Großproduzenten Hangzhou Xiongmai Technology.
2) Warum werden neuerdings Alltagsgeräte für Hackerangriffe missbraucht?
Weil sie immer mehr werden, und viele von ihrem Grunddesign her unsicher sind. So lautet das verkürzte Fazit einer Untersuchung von SEC Consult. Das aus Österreich stammende Unternehmen berät Kunden in Nordamerika, Europa und Asien im Bereich IT-Sicherheit. Im Rahmen einer Studie über die Risken des Internets der Dinge (engl.: Internet of Things, kurz IoT) analysierte das Team von Firmenchef Markus Robin die fest in Chips verdrahtete Software von 4000 Geräten, die keine Computer im Sinn von PCs oder Smartphones sind. Bei fast einem Viertel dieser Geräte (etwa 900) lagen Experten vertrauliche Verschlüsselungsdaten so vor, dass sie kaum Schutz vor Angreifern boten und gleichzeitig andere Geräte desselben Typs gefährdeten. Eine nicht näher genannte, aber laut Robin „große Zahl“ vernetzbarer Alltagsgeräte sei zudem nur durch Standard-Log-in-Daten in Kombinationen wie „Admin“ und „Password“ geschützt. Mithilfe des Massachusetts Institute of Technology (MIT) fand SEC Consult heraus, dass von den 900 als potenziell unsicher identifizierten Gerätetypen aktuell 4,5 Mio. Stück online sind und nur darauf warten, gekapert zu werden.
3) Welche Bedeutung hat das Internet der Dinge für unseren Alltag?
Konsumenten denken dabei vor allem an Unterhaltungselektronik und Hausautomatisierung. Unternehmen verbinden zusehends auch Arbeitsprozesse und Maschinen mit dem Internet. Es gibt Schätzungen, dass sich die Zahl der weltweit vernetzten Endgeräte von aktuell acht Milliarden bis 2020 auf 100 Milliarden und mehr vervielfachen wird.
4) Wie lassen sich Alltagsgeräte vor illegalem Zugriff von außen schützen?
„Die Konsumenten selbst können wenig tun“, glaubt Markus Robin. Er sieht vor allem die Hersteller in der Pflicht, sich um sichere Geräte und automatische Software-Updates zu kümmern. In der SEC-Consult-Studie wurden insgesamt 90 Produzenten untersucht. 50 von ihnen verkauften unsichere Geräte. Ohne verbindliche Mindeststandards, glaubt Robin, werde es nicht gehen.
Die US-Bundeshandelskommission stellte heuer den Hardware-Hersteller Asus für 20 Jahre unter Beobachtung, weil dieser Internet-Router mit gravierenden Sicherheitsmängeln verkaufte. Auch in europäischen Institutionen spricht man inzwischen über das Thema. In Brüssel steht man zwar erst am Anfang, derzeit deutet jedoch einiges darauf hin, dass die Sicherheit von vernetzten Geräten in Zukunft für den Verbraucher ähnlich verständlich ausgewiesen werden könnte, wie es schon länger beim Energieverbrauch von Haushaltsgeräten der Fall ist.
("Die Presse", Print-Ausgabe, 02.11.2016)