Das Internet wurde einst als Schutzmaßnahme gegen einen nuklearen Angriff geschaffen. Das glauben heute noch viele Menschen - insbesondere in den USA. Diese Aussage ist spätestens seit "A Brief History of the Internet" der Internet Society und dort in der Fußnote 5 widerlegt. Danach kam das falsche Gerücht auf, weil eine Studie des Research-Instituts Rand Corp. sich mit sicheren Kommunikations- und Telefonverbindungen während eines Atomkriegs beschäftigte. Mit dem Arpanet hatte die RAND-Studie nichts zu tun.
Prinzipiell richtig ist allerdings, dass sich die Väter des weltweiten Netzes wohl nicht gedacht hätten, von Babyphones, schlauen Toastern und Smart TVs könnte einmal eine größere Gefahr ausgehen, als vom nukleargeschwängerten Säbelgerassel auf der großen Politbühne. Die Absicherung gegen Hacker-Attacken via IoT-Devices - wie sie Ende Oktober 2016 stattfand und das World Wide Web an den Rande des Zusammenbruchs brachte - sollte oberste Priorität haben. Um das zu gewährleisten, wäre ein staatlicher Eingriff sicher nicht die schlechteste Alternative.
Nach dem Kalten Krieg kommt das Internet of Things
Zunächst jedoch ein Ausflug in die Geschichte des Internets: Auf dem Höhepunkt des Kalten Krieges - Anfang der 1960er Jahre - entwarf Paul Baran von der RAND Corporation ein militärisches Netzwerk. Barans Ziel: Die Endpunkte sollten auch im Fall von katastrophalen Schäden dazu in der Lage sein, miteinander zu kommunizieren. Die Idee dahinter: Ein verteiltes Paketvermittlungsnetzwerk, das die Kommunikation rund um zerstörte Hardware aufrechterhalten kann.
Andere hatten ähnliche Ideen und diese wurden mit jeder Menge Idealismus vorangetrieben. J.C.R. Licklider etwa verfasste eine ganze Serie von Memos, die seine Idee eines weltumspannenden Netzwerks - des "Intergalactic Computer Network" - propagierten. "Das Netzwerk", heißt es darin, "sollte ein elektronischer Gemeinschaftsraum sein, der offen für alle ist und das wesentliche, essentielle Medium für die informationelle Interaktion zwischen Regierungen, Institutionen, Unternehmen und Einzelpersonen darstellt."
Zumindest die Idee eines weltweiten Netzwerks wurde dann von der zum US-Verteidigungsministerium gehörenden Behörde ARPA (Advanced Research Projects Agency) umgesetzt: Das Internet war geboren.
Der IoT-Botnet-Trend und die Mirai-Malware
Heute ist das Internet zunehmend großen Gefahren ausgesetzt. Die Kernideen, nämlich Offenheit, Transparenz, Anonymität und Freiheit (bezüglich staatlicher Regulierung), die das weltweite Netz zu dem gemacht haben, was es heute ist, geraten durch die neuesten Entwicklungen im Bereich Internet of Things in Gefahr: Zahllose IoT-Devices können relativ simpel zu Cyberwaffen umfunktioniert werden - und lassen uns langsam aber sicher die Schattenseite der digitalen Freiheit spüren. Der Idealismus, aus dem das Internet entstanden ist, gefährdet somit die Existenz des Netzes und macht es empfänglich für verheerende Hacker-Attacken.
Das wurde zum Beispiel durch den massiven DDoS-Angriff auf den DNS-Provider Dyn deutlich, in dessen Zuge weite Teile des Internets tot und zahllose Webseiten nicht mehr erreichbar waren - darunter Web-Schwergewichte wie Twitter, Netflix, Spotify, Airbnb, Reddit und die New York Times. Eine Schlüsselrolle spielte bei diesem Angriff ein aus IoT-Gerätschaften bestehendes Botnetz, das mit der Mirai-Malware infiziert war. Geschätzte 500.000 Devices sind derzeit mit dieser Malware infiziert - darunter Security-Kameras und DVRs. Wie Dyn in einer Stellungnahme bekanntgab, sei ein "beträchtlicher Anteil" des bei dem DDoS-Angriff verursachten Traffics auf die Mirai-Botnetze zurückzuführen.
Wettbewerbsvorteil durch IoT-Security-Ignoranz?
Dabei ist der Angriff auf Dyn nur der aktuellste einer ganzen Serie von IoT-Botnetz-Attacken: Ende September 2016 wurde der französische Hoster OVH ebenfalls über ein Botnetz attackiert. Das bestand aus 145.607 gehackten Digital- und Überwachungskameras. Ebenfalls im September wurde die bekannte IT-Security-Website Krebs on Security mit Hilfe eines Mirai-Botnetzes lahmgelegt.
Der Quellcode der Mirai-Malware wurde online veröffentlicht - inklusive einer Schritt-für-Schritt-Anleitung, wie man den Schadcode benutzt. Inzwischen wird auch immer häufiger davon berichtet, dass Internet-of-Things-Botnetze über dunkle Kanäle auch mietbar sind - was die "Zugangsschranken" für eine solche Attacke noch einmal erheblich absenkt. Dale Drew, seines Zeichens CSO beim Security-Anbieter Level 3 Communication, geht davon aus, dass bei der Attacke auf Dyn nicht nur ein Botnetz am Werk war: "Wir glauben, dass ein oder mehrere, weitere Botnets an diesem Angriff beteiligt waren. Das könnte bedeuten, dass die Angreifer etliche verschiedene Botnetze gemietet haben."
Foto: Kokliang - shutterstock.com
Internet-of-Things-Devices sind besonders anfällig für Malware wie Mirai. Die Nutzer hingegen bemerken oft nicht einmal, dass ihre IoT-Devices über einen Passwortschutz verfügen und ändern das standardmäßig vergebene dann eben auch nicht. Auch die regelmäßige Versorgung mit Sicherheits-Updates spielt für Ottonormal-User keine große Rolle.
Idealerweise hätten die Hersteller der Internet-of-Things-Gerätschaften die potenzielle Gefahr vorhersehen, Eigenitiative ergreifen und das Thema IT-Security im Internet of Things massiv vorantreiben müssen. Der Zug dürfte allerdings inzwischen abgefahren sein. Denn die IoT-Geräte sind vor allem eines: preiswert. Die Hersteller werden also den Teufel tun und in IT-Sicherheit investieren, wenn die Unternehmen, die das nicht tun, durch ihre Ignoranz einen Wettbewerbsvorteil erlangen. Ein weiterer Punkt: Die Hersteller von Consumer-Devices haben in der Regel gar nicht genügend Expertise in Sachen IT-Security.
Der Telekom-Hack: Mirai 2.0?
Bei der Deutschen Telekom ist diese Expertise ohne Zweifel vorhanden. Nichtsdestotrotz wurde auch der deutsche Provider Ende November 2016 von einer neuen Form der Mirai-Malware erschüttert: Rund 900.000 Telekom-Kunden hatten mit massiven Verbindungsproblemen und -ausfällen zu kämpfen. Nachdem die Telekom zunächst einen Hackerangriff nicht ausgeschlossen hatte, scheint nun festzustehen, dass es sich um einen erneuten Angriff mit der "IoT-Malware" handelt. Laut Johannes Ullrich, Sicherheitsforscher am SANS-Institut, wurde die neue Version der Malware spezifisch darauf ausgerichtet, eine Schwachstelle im SOAP-Service von Zyxel-Produkten ins Visier zu nehmen. Ursprünglich, so Ullrich, sei Mirai dazu entworfen worden, standardmäßig unzureichend geschützte Devices zu befallen und deren Passwörter mit Brute-Force-Attacken zu knacken.
Die Deutsche Telekom bezeichnet den Malware-Angriff auf die Router der Kunden offiziell als "nicht erfolgreich", durch die Attacke seien lediglich Abstürze und Ausfälle bei vier bis fünf Prozent der Geräte aufgetreten. Allerdings legen die Untersuchungen von Ullrich nahe, dass die Hacker zumindest einige Geräte kapern konnten: Um die Verbreitung der neuen Malware-Version einschätzen zu können, setzte der Sicherheitsexperte einen Honeypot-Server auf - schließlich sucht Mirai nach einer erfolgreichen Infektion sofort nach neuen "Opfern". Ein paar Stunden später hatten rund 100.000 IP-Adressen versucht, den Honeypot zu infizieren.
Das Ziel von Mirai war bisher allerdings nicht die bloße Infektion von Devices, sondern die Durchführung massiver DDoS-Attacken über Botnetze. Eine neue DDoS-Welle wie im Fall von Dyn oder OVH konnte Ullrich bislang allerdings nicht feststellen. Die Telekom empfiehlt allen betroffenen Kunden ein Software-Update ihrer Router. Ullrich hingegen warnt davor, die Geschehnisse vorschnell abzuhaken: "Die neue Version von Mirai könnte Router anderer Hersteller oder Service Provider bereits infiziert haben, ohne dass die Unternehmen das mitbekommen haben. Ein bis zwei Millionen Router könnten betroffen sein."
Router-Hersteller Zyxel war für eine Stellungnahme bislang nicht zu erreichen.
Staatlicher Eingriff für mehr Sicherheit im Internet of Things?
Und dann gibt es da ja auch noch die Internet-of-Things-Geräte, die im Healthcare-Bereich zum Einsatz kommen. Auch sie könnten angegriffen und gehackt werden - mit katastrophalen Konsequenzen. Der ehemalige US-Vizepräsident Dick Cheney etwa sagte kürzlich im Interview mit "60 Minutes", seine Ärzte hätten die kabellosen Steuerungsmöglichkeiten seines Herzimplantats kurzerhand abgeschaltet - aus Angst vor einem Angriff auf sein Leben.
All diese Entwicklungen lassen einen staatlichen Eingriff sinnvoll erscheinen. Denn der könnte dafür sorgen, dass hinsichtlich der IT-Sicherheit von IoT-Devices gesetzliche Regularien festgelegt werden. Mikko Hypponen, Chef-Researcher bei F-Secure sieht ein solches Szenario positiv: "Wir regulieren viele dieser Geräte bereits jetzt. Sie sollten Dir weder einen Elektroschock verpassen, noch in Flammen aufgehen oder Dein Wifi-Passwort ausspähen." Grundlegende Regularien könnten etwa sein, dass Konsumenten dazu "gezwungen" werden, das standardmäßig eingestellte Passwort zu ändern oder Hersteller, die unsichere Geräte verkaufen, mit zivil- und strafrechtlichen Konsequenzen zu rechnen haben. Die Geräte im Internet of Things sollten jedenfalls künftig mit einem ausreichenden Basis-Schutz ausgeliefert werden.
Ein staatlicher Eingriff sollte das letzte Mittel der Wahl sein, doch im Fall des Internet of Things wäre er angebracht. Schließlich zeigen die Hacker-Angriffe über IoT-Botnetze, wohin die Reise der kriminellen Cyberunholde geht. Und damit nicht genug: Auf der Hackerkonferenz Black Hat Europe zeigten Sicherheitsforscher von Invincea Labs Anfang November anhand zahlreicher, mit Schwachstellen behafteter IoT-Geräte aus der Belkin WeMo-Familie, wie sich diese nicht nur ganz einfach hacken lassen, sondern wie man die gehackten Internet-of-Things-Devices anschließend dazu nutzen kann, einen Angriff auf das Smartphone zu starten, das die Devices per App steuert.
"Zum ersten Mal überhaupt ist es gelungen, über das Internet of Things etwas anderes zu hacken", so Security-Experte Scott Tenaglia. Belkin hat die Schwachstellen nach eigenen Angaben bereits beseitigt.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation computerworld.com. Mit Material von IDG News Service.