Sascha Zinke könnte jetzt ein Windrad stilllegen. Er ruft eine Website auf, gibt den Namen eines deutschen Windturbinenherstellers ein und ist mit zwei Mausklicks in der Log-in-Maske einer Windkraftanlage in Norddeutschland. Dass es ein Windrad ist, ist Zufall, Zinke könnte auch nach Kameras in Einkaufszentren suchen, nach Fernsehern oder Babyphones. Jedes dieser Geräte kann möglicherweise von außen genutzt, gesteuert oder manipuliert werden. Wenn man das Passwort herausbekommt – wenn es überhaupt Schutz durch ein Passwort gibt. „Kraftwerke und Stromnetze sind noch vergleichsweise sicher“, sagt Zinke. „Aber schon Krankenhäuser sind eine Katastrophe.“ Der junge Mann mit dem schwarzen Pullover sitzt in einem engen Raum im sechsten Stock eines Hochhauses im Süden Berlins. Neben ihm hacken andere junge Leute in die Tasten, auf den Tischen sammeln sich leer getrunkene Club-Mate-Flaschen. Zinke könnte jetzt eine Liste von Standardpasswörtern durchprobieren oder sehen, ob sich das Log-in mit ein paar Programmzeilen umgehen lässt. Aber das tut er nicht, weil es verboten ist. Und weil er als einer der Gründer der IT-Sicherheitsfirma Splone sein Geld damit verdient, es Leuten schwerer zu machen, die das mit dem Passwort mal ausprobieren wollen. Doch solche Räume wie hier, mit Computern und Leuten, die sich auskennen, gibt es überall auf der Welt. Nicht alle haben gute Absichten. Das Internet der Dinge ist ein Versprechen. Seit Jahren bringen die Unternehmen immer mehr Geräte auf den Markt, die per WLAN oder Mobilfunk mit dem Netz verbunden sind: Drucker, Toaster, Staubsauger, Kühlschränke, sogar Mülleimer. Im Jahr 2016 kam auf jeden Menschen auf dieser Erde etwa ein Gerät aus diesem „Internet of Things“, dem IoT – ohne Smartphones, Tablets oder Computer. Bis Ende des Jahrzehnts sollen es schon mehr als 20 Milliarden sein. Doch während Nutzer von Bürorechnern mittlerweile meist verstanden haben, dass es sinnvoll ist, sich gegen Angriffe von außen zu schützen, sind viele dieser Alltagsgeräte nur minimal gesichert. „Das Bewusstsein dafür hat nicht Schritt gehalten mit der Entwicklung und Verbreitung der Technik“, sagt Thomas Rosteck, der beim Halbleiterhersteller Infineon den Bereich Hardware-Sicherheitslösungen verantwortet. „Weder bei den Anwendern noch bei den Herstellern.“ Innerhalb kurzer Zeit bekam die Menschheit an zwei sehr drastischen Beispielen vorgeführt, was das bedeuten kann. An einem Freitag im Oktober 2016 waren die Internetseiten großer Anbieter wie Netflix, Amazon, Spotify über Stunden kaum erreichbar. Betroffen war vor allem der Nordosten der USA, aber auch Teile Europas und Asiens. Es ging um Milliardeneinnahmen. Etwa einen Monat später hatten Hunderttausende von Kunden der Deutschen Telekom auf einmal keinen Internetzugang mehr. Deren DSL-Router waren de facto lahmgelegt worden.
Armee der Kleingeräte
Wer die Schuld an den Ausfällen trägt, ist nicht bekannt. Es gab anonyme Hacker, die sich damit brüsten, aber das muss nicht stimmen. Eines aber ist sicher: Hinter den Angriffen steht ein riesiges Netz aus Kleinstrechnern – also IoT-Geräten –, die mit der Schadsoftware Mirai gekapert worden waren. Einmal gehackt, konnten diese Minicomputer zu gewaltigen Armeen zusammengeschaltet werden, sogenannten Botnetzen. Ende November waren weltweit 3,3 Millionen Geräte mit Mirai infiziert. Ziel der Attacke auf die Telekom war es offenbar sogar, Schadsoftware auf die DSL-Router aufzuspielen, was allem Anschein nach nicht gelungen ist. Wären die Angreifer damit durchgekommen, hätte sich die Armee noch um ein Vielfaches erweitern lassen. Mit solchen Netzen lassen sich innerhalb kurzer Zeit Millionen von Anfragen auf Websites oder Internetdienste abfeuern, bis irgendwann auch leistungsfähige Server in die Knie gehen. Es ist in der Welt der Internetsabotage eher die grobe Art von Angriff. Aber sie kann unerhört effektiv sein. Warum das so einfach ist und warum sich dagegen derzeit so wenig ausrichten lässt, zeigt das Beispiel von Jörg Singermann, Lehrer aus dem Harz – und ein Internetnutzer wie Millionen andere. Singermann hat einen DSL-Zugang mit WLAN-Router, an dem bis vor zwei Jahren ein Computer und ab und zu die Handys der Familie hingen. Seitdem kamen dazu: ein Drucker, ein Fernseher, eine Hifi-Anlage und ein WLAN-fähiges Spielgerät der Kinder mit einer Kamera, von dem Singermann nicht genau weiß, wie es eigentlich heißt. All diese Maschinen sind jetzt mit dem Internet verbunden. Und wenn man Singermann fragt, wie sie vor Hackern geschützt sind, dann sagt er: „Keine Ahnung.“ Man kann das Singermann so wenig vorwerfen wie anderen Internetnutzern. Die Elektronikhersteller werben zwar in leuchtenden Farben für die Vernetzung. Sie preisen Kühlschränke an, die melden, wenn die Milch alle ist, und Kameras, mit denen man auch von den Malediven aus kontrollieren kann, ob daheim die Geranien blühen. Aber sie lassen die Kunden oft ziemlich allein, wenn es um die Frage geht, wie sie andere daran hindern können, sich diese Vernetzung zunutze zu machen. Oft werden Geräte verkauft, die mit Standardpasswörtern verschlüsselt sind, über die sich Experten nur schlapplachen. Für das Mirai-Botnetz gibt es eine Liste von Passwörtern, mit denen die Rechner gekapert wurden, es sind 61 Log-ins – für Hunderttausende von Rechnern. Darunter voreingestellte Kombinationen wie „admin/admin“, „6666“ oder „mother/fucker“. Wenn man Thomas Rosteck von Infineon fragt, ob die Hersteller genug tun, um die Kunden auf mögliche Sicherheitsmängel aufmerksam zu machen, dann ist seine Antwort deutlich: „Es ist für den Benutzer oft schwer zu verstehen, was er überhaupt tun könnte, um sein Gerät abzusichern. Durch die Angriffe vom Oktober und November haben wir gelernt, dass da mehr passieren muss.“
Natürlich hat Infineon, das einen Sicherheitschip für Hersteller von IoT-Geräten anbietet, ein Interesse daran, auf das Problem hinzuweisen. Aber Rostecks Einschätzung deckt sich mit dem, was andere Branchenexperten sagen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) forderte die Industrie nach den Angriffen vom Oktober auf, „bei der Entwicklung neuer Produkte das Augenmerk nicht nur auf funktionale und preisliche Aspekte zu richten, sondern auch notwendige Sicherheitsaspekte einzubeziehen“. Mit anderen Worten: Um den Schutz der Geräte kümmert sich derzeit fast niemand. Die Gefahr wird auch dadurch so groß, dass die Gegenseite, also böswillige Hacker, über ein großes Arsenal von Werkzeugen verfügt. Und an die kommt man ungefähr so leicht heran wie an einen Kaffee vom Bäcker. In seinem Berliner Büro öffnet der IT-Sicherheitsexperte Sascha Zinke eine weitere Website, auf der zu sehen ist, welche Software gerade an welchen Stellen des Codes über Sicherheitslücken verfügt. Schön säuberlich aufgelistet und nach Stichworten durchsuchbar. Darunter folgt eine weitere Liste mit Links: Es sind kleine Programme, mit denen sich diese Sicherheitslücken ausnutzen lassen. Eine Art Werkzeugkasten für Hacker.
Blick nach Hause
Nicht jeder kann mit dem, was er dort findet, sofort etwas anfangen. Aber man muss auch kein Nobelpreisträger sein, um mit diesen frei zugänglichen Werkzeugen herumzuspielen. „Der Aufwand für Angreifer ist einfach extrem klein geworden“, sagt Zinke. Auch Mirai, jene Schadsoftware, mit der sich fremde Rechner in Massen kapern lassen, ist mittlerweile weitgehend frei zugänglich. Die ursprünglichen Autoren haben die Daten ins Netz gestellt, um ihre Spuren zu verwischen. Nun kann jeder, der sich auskennt, das Programm nutzen, es anpassen und weitere Computer damit infizieren. Es mag vielen Kunden gar nicht auffallen, wenn ihr Computer ohne ihr Wissen zum Angriff auf irgendein Netzwerk in Nordamerika genutzt wird. Wirklich unangenehm aber wird es für den Einzelnen, wenn seine Geräte ein Mittel werden, um ihn auszuspionieren. Die Überwachungskamera aus dem Elektroladen ist das beste Beispiel. Es mag ein schönes Gefühl sein, aus dem Urlaub einen Blick auf das eigene Zuhause werfen zu können. Weniger schön ist es allerdings, wenn andere dies auch tun. „Es ist natürlich ein Problem, wenn Anbieter von Sicherheitssystemen selbst ein Sicherheitsrisiko mitliefern“, sagt Zinke. „Wenn ein Kamerahersteller für 29,95 Euro eine Kamera verkauft, dann ist völlig klar, dass er nicht in Sicherheit investiert hat.“ Gezielt eine einzelne Person oder Firma anzugreifen ist vergleichsweise aufwendig. Es muss dann in der Regel ein persönlicher Kontakt aufgebaut werden, über eine verseuchte E-Mail oder einen USB-Stick mit Spähsoftware. Für den Durchschnittshacker ist es hingegen viel einfacher, das Internet auf ungeschützte Geräte hin zu scannen und dann zu schauen, wo sie stehen. Die Mirai-Schadsoftware bietet in einigen Varianten eine solche Funktion an, doch es gibt auch andere Programme, die das möglich machen. Für einen technisch versierten Einbrecher ist dies theoretisch ein perfektes Werkzeug: Ohne seinen Computer zu verlassen, könnte er ungeschützte Überwachungskameras ausfindig machen, lohnende Ziele ausspionieren und dann nachsehen, wo er am besten hinkommt. Kameras bringen zudem noch ein weiteres Risiko mit sich: „Eine Kamera kann ein Einfallstor sein, um in ein ganzes Netzwerk reinzukommen“, sagt Zinke. „Zum Beispiel, wenn der Pförtner das Kamerabild vor sich hat und gleichzeitig mit dem Firmennetzwerk verbunden ist.“
Wer haftet?
Doch auch wenn ein Kleinstrechner „nur“ zum Teil eines weltweiten Botnetzes umfunktioniert wird, kann das für den Nutzer unangenehm werden. Weitgehend ungeklärt ist beispielsweise die rechtliche Frage. Angriffe wie der auf die US-Dienste oder die Deutsche Telekom führen zu Milliardenschäden, für die am Ende irgendjemand geradestehen muss. Aber wer wird haftbar gemacht, wenn ein Botnetz mit Rechnern in Asien, Europa und Australien einen Server in Boston lahmlegt? Die Urheber sind fast nie ausfindig zu machen. Gerätehersteller und Kunden hingegen schon. Zinke lehnt sich in seinem Bürostuhl zurück. Er schaut auf den Rechner, ein schwarzer Bildschirm, auf dem weiße Code-Kolonnen hintereinander abrollen. Für den Laien unverständliche Daten. Für den Experten der Zugang in das Internet der Dinge. Für Zinke und seine Kollegen von Splone ist immer wieder erstaunlich, wie leicht es die Menschen möglichen Angreifern machen, ihre Geräte zu kapern. Aber es ist auch der Grund, warum es viel Arbeit für Firmen wie die ihre gibt. Und wohl auch noch lange geben wird. Denn rund um die Welt finden sich viele weitere solcher Räume mit Computern. Und in vielen von ihnen sitzen Leute, die sehr genau wissen, was sie tun.
Der Beitrag ist zuerst in Capital 1/2017 erschienen.
