In der IT-Steinzeit, in der wir leben, zählen wir noch, wie viele Geräte wir nutzen. Eines der deutlichsten Anzeichen der anbrechenden IT-Neuzeit ist die schiere Masse an vernetzten IT-Devices, die Großteils unsichtbar sind und zunehmend unseren Alltag und unser Wirtschaftsleben steuern. Der grundlegende Unterschied zwischen dem neuzeitlichen Internet of Things (IoT) und der Machine-to-Machine-Communication (M2M) in der Frühsteinzeit: M2M-Netzwerke waren separat - sie hatten keine Anbindung an das öffentliche Internet. Mit Geldautomaten und Überwachungskameras begann es dann - das Internet der Menschen und das Internet der Dinge verschmolzen miteinander. Jetzt müssen wir dafür sorgen, dass uns diese Dinge keine Probleme bereiten.

Services statt Maschinen verkaufen

In Unternehmen hat die IT bis dato vor allem für schnellere Abläufe und höhere Effizienz gesorgt. Im Zuge der Digitalen Transformation werden die Abläufe dagegen grundlegend verändert mit dem Ziel einer neuen Effektivität. Das Internet of Things ist ein Resultat dessen, wie viele Beispiele zeigen. Vernetzte Dinge ermöglichen es Unternehmen, ganze Wertschöpfungsketten zu verändern. Zum Beispiel, weil Unternehmen anderen Unternehmen nicht mehr Klimasysteme, Fahrzeuge und Bohrmaschinen verkaufen, sondern Luft, Kilometer und Löcher.

Sicherheitsbedenken sind angesichts dieser Entwicklung durchaus angebracht, aber fundamentaler Widerstand gegen die Richtung der Evolution ist zwecklos. Im Rahmen der Digitalisierung nimmt der effektivitätsgetriebene CEO dem effizienzgetriebenen CFO die IT-Verantwortung ab. Er sorgt dafür, dass sein Unternehmen die Chancen und Erlösmodelle des Internet of Things nutzt. Es bleibt die Aufgabe, mittels Security of Things die digitale Transformation zu sichern.

Diese Aufgabe ist undankbar. Denn was heute an Dingen im Internet hängt, ist leicht zu finden und zu knacken. Ein Test des Sicherheitsforschers Robert Graham zeigte kürzlich, dass eine haushaltsübliche Überwachungskamera ohne zusätzliche Schutzmaßnahmen innerhalb von 98 Sekunden nach Verbindung mit dem Internet infiziert war. Die Attacken sind deshalb so leicht, weil jedes Gerät über einen Webserver verfügt und von überall her darauf zugegriffen werden kann. Auch die meisten Kombinationen von Betriebssystemen und Schnittstellen von Industrie-Controllern stammen aus einem vergangenen Zeitalter. Man kann sie gar nicht patchen oder härten, selbst wenn man wollte. Hat sich eine kriminelle Organisation Zugang zu einem dieser Geräte verschafft, zum Beispiel, weil sie das Standard-Kennwort oder eine Sicherheitslücke kennt, kann sie den Angriff automatisieren, weltweit ausführen und die Geräte dauerhaft unter Kontrolle halten.

Die Ziele der Kriminellen

Dabei gibt es drei Szenarien, um das Gerät zu missbrauchen und Nutzen daraus zu ziehen. Entweder die Cyberkriminellen nehmen es als Einfallstor in das Netzwerk, in dem sich das gehackte Ding befindet - unter anderem für Datendiebstahl und Spionage - oder sie nutzen es als Waffe nach außen, als Bot (Web Robot) für Distributed Denial of Service (DDoS) Angriffe. Mit denen können sie Webseiten ausschalten, Rechenzentren zum Absturz bringen oder ganze industrielle Infrastrukturen außer Gefecht setzen. Und zu schlechter Letzt können Kriminelle direkt das Verhalten der Geräte ändern und - denken wir nur an vernetzte Fahrzeuge - erheblichen Schaden anrichten.

Hacker können über das Einfallstor der vernetzten Dinge die bekannten Schadprogramme einschleusen. Bisher mussten sie es schaffen, dass ein User einen infizierten Mail-Anhang öffnet. Dieser lästige Zwischenschritt im Hack fällt nun weg: Eine infizierte Überwachungskamera ist genauso geeignet, sich Zugang zu allen anderen Netzwerkressourcen zu verschaffen wie ein infizierter PC. Dadurch, dass in der Regel niemand die Kamera managt oder überwacht, ist sie sogar noch besser geeignet. Ist das Gerät Teil einer sicherheitsrelevanten Infrastruktur, etwa von Energieversorgern, stehen alle Türen offen, um einen immensen wirtschaftlichen Schaden anzurichten oder sogar Menschenleben zu gefährden.

Viel Aufmerksamkeit erhielt die in ihrer Wucht früher kaum vorstellbare DDoS-Attacke auf den Internetdienstleisters DynDNS, der unter anderem Twitter, Amazon, Netflix und Spotify k.o. geschlagen hat. Früher galten solche Dienste als praktisch unverwundbar durch DDoS, weil der Aufwand, ein Botnet mit hunderten von Millionen von Geräten zu erstellen, als zu groß galt.