Die Attacken auf bekannte Webdienste wie zum Beispiel Twitter und Spotify häufen sich. Plötzlich führen Kühlschränke, Waschmaschinen und Webcams einen erheblichen Teil der Angriffe aus. Was heisst das für uns, wenn das Internet der Dinge zur neuen Lieblingswaffe von Internetkriminellen wird?

Im Internet herrscht Krieg. Das ist nicht neu: Schon immer trieben Internetkriminelle im World Wide Web ihr Unwesen. Aber seit das Internet und seine Dienste den Status einer Basisinfrastruktur erlangt haben, haben die Attacken zugenommen. Vor allem aber nimmt das Schadenspotenzial zunehmend existenzielle Ausmasse an.

Denn wenn das Internet „ausfällt“, können wir vieles, was zum täglichen (Arbeits-)Leben gehört, nicht mehr tun: Mails schreiben, telefonieren oder Rechnungen bezahlen. Und in den nächsten Jahren werden noch einige weitere Tätigkeiten hinzukommen: Auto fahren, Geschirr spülen, Kleider waschen oder Kaffee brauen, zum Beispiel. Immer mehr Geräte werden Teil des Internets, genauer gesagt Teil des Internets der Dinge. Das ist bequem und praktisch – aber wir bezahlen dafür auch einen hohen Preis.

Um zu verstehen, was auf uns zukommt, lohnt sich ein Blick auf die klandestine Welt der Internetkriminellen. Ihre Machenschaften haben mehr mit unserem Leben zu tun, als uns lieb ist.

Dein Fernseher wird zum gefährlichen Angreifer

Ein typischer Angriff eines Internetkriminellen läuft etwa so ab: Erst droht er in einem anonymen Schreiben einer Firma damit, ihre Webseite für mehrere Stunden oder Tage lahmzulegen – falls nicht 10‘000 Dollar auf ein namenloses Bitcoin-Konto überwiesen werden. Spuren die Opfer nicht, bombardiert er die Webseite mit Abertausenden von Anfragen, bis sie unter der Last zusammenbricht. Normale Besucherinnen und Besucher können die Seite dann nicht mehr erreichen. So geschehen beispielsweise bei Digitec und Co. vor ein paar Monaten.

Diese Attacken, auch Distributed-Denial-of-Service (DDoS)-Attacken genannt, werden normalerweise von verschiedenen Servern rund um den Globus ausgeführt. Vorzugsweise jedoch aus Ländern, die wenig Gesetze und noch weniger Gesetzesvollstreckerinnen und Gesetzesvollstrecker haben. Südostasien und der Balkan sind besonders hoch im Kurs. Das Problem für die Internetkriminellen ist höchstens, dass ihre Server von Sicherheitsfirmen aufgespürt und enttarnt werden können. Sobald das passiert ist, landet die Adresse des Servers auf einer schwarzen Liste und er kann nicht mehr für Angriffe gebraucht werden. Die Kriminellen umgehen dieses Problem, indem sie ein weiteres Verbrechen begehen: Sie dringen in deinen und meinen Haushalt ein.

Seit einigen Jahren kapern findige Internetkriminelle private Computer. Von dort aus führen sie ihre Angriffe durch. Die Computer in Privathaushalten sind zwar nicht so leistungsfähig wie die spezialisierten Angriffsserver, aber es gibt sehr viele davon und solange sie nicht übermässig gebraucht werden, bemerken das weder Opfer noch Sicherheitsfirmen. Aber auch auf dieses Problem haben die Sicherheitsfirmen und Hersteller wie Microsoft und Apple reagiert und die Sicherheit privater Computer erhöht. Deshalb mussten sich die Internetkriminellen ein neues Spielfeld suchen: das Internet der Dinge.

Das Internet der Dinge (Internet of Things oder IoT) ist ein netter Ausdruck für alle Geräte, die keine Computer sind, aber trotzdem mit dem Internet verbunden werden können. Deutsche Mittelklasseautos gehören genauso dazu wie dein Fernseher mit Swisscom TV. Im Vergleich zu den privaten Computern ist ihre Zahl noch viel grösser und die Erfahrung der Hersteller im Umgang mit der neuen Technologie sehr beschränkt – das ideale Einfallstor für Internetkriminelle also.

Mirai klingt niedlich, legt aber die ganz Grossen lahm

Der Schrecken des Internets der Dinge hört auf den unscheinbaren Namen Mirai. Mirai ist eine Schadsoftware, die ein sogenanntes Botnetzwerk aufbauen und damit Angriffe durchführen kann. Was nach Star Wars und Science Fiction klingt, ist nichts anderes als ein virtuelles Netz aus Webcams, digitalen Fernsehrekordern, Waschmaschinen, Kühlschränken und anderen Geräten mit Internetanschluss. Mirai durchsucht das gesamte Internet (also auch das Internet bei dir zuhause) nach Geräten, auf denen du das vorkonfigurierte Passwort nicht geändert hast. Es versucht sich auf dem Gerät mit einer Reihe von Standardpasswörtern anzumelden. Beliebt sind zum Beispiel „password“, „admin“, „root“ oder „1234“. Sobald das geklappt hat, installiert sich Mirai in den Gerätespeicher und meldet sich bei ihrem Hauptquartier. Dann sucht die neue Installation von Mirai wieder nach potenziellen Opfern und wiederholt das Spielchen. So entsteht das Botnet: Alle Geräte innerhalb des Netzes können die Internetkriminellen jetzt zentral steuern.

Der Computer im Zentrum des Netzwerks, auch Command&Control-Server genannt, ist die Kommandozentrale. Dort wird nicht nur über die gekaperten Geräte Buch geführt, von dort aus werden auch Attacken gestartet. Mit einigen Tastaturbefehlen bläst der Internetkriminelle zum Angriff. Ein Heer von Gerätschaften beginnt daraufhin, eine Webseite oder einen Anbieter zu belagern. Damit das Opfer merkt, dass es sich um einen Angriff und nicht um ein Stromausfall handelt, wird noch ein Bekennerschreiben mitgeschickt mit der höflichen Aufforderung, einen kleinen Betrag auf ein Konto zu überweisen.

Je nach Zahlungsbereitschaft des Opfers dauern diese Attacken kürzer oder länger. Meist solange, bis das Geld auf dem Konto des Erpressers angekommen ist. Blöd nur, dass man sich damit in den meisten Ländern strafbar macht. Haftstrafen von bis zu 20 Jahren sind in den USA dafür schon ausgesprochen worden und auch in Westeuropa werden die Gesetze verschärft. Aber auch in diesem Bereich suchen die Internetkriminellen nach Schlupflöchern.

Um das Risiko zu minimieren, greifen sie nicht mehr selber an, sondern vermieten das Botnetzwerk an Privatpersonen, Unternehmen und sogar staatliche Institutionen. Bezahlen kann man mit Bitcoins, manchmal sogar mit Kreditkarte. Gemäss den Geschäftsbedingungen darf das Botnetzwerk nur zu legalen Zwecken benutzt werden, beispielsweise um die eigene Webseite auf ihre Stabilität hin zu testen (Stresstest). Was jedoch wirklich mit dem Botnetzwerk angestellt wird, überprüft der Internetkriminelle natürlich nicht.

Die Angriffe, die von Mirai ausgehen, sind enorm und stellen alles in den Schatten, was bisher an DDoS-Attacken möglich war. Zwischen 500’000 und 900’000 Geräte sind schätzungsweise infiziert. Freigesetzt wurde dieses Potenzial erst, als ein findiger Hacker im September den Quellcode von Mirai offengelegt hat. Seither entwickeln unzählige Hacker und Internetkriminelle (siehe Box unten) Mirai weiter. Im Oktober traf es Dyn, einen der grössten Infrastrukturanbieter der USA, am 16. November einen Anbieter aus Liberia und vor einigen Tagen war die Deutsche Telekom an der Reihe.

Diese grossen Attacken dauern jeweils nur einige Stunden, der Schaden, den sie anrichten, geht aber in die Millionen. Denn wenn ein Infrastrukturanbieter wie Dyn ausfällt, fallen wichtige Seiten wie Twitter, Reddit, GitHub, Amazon, Netflix oder Spotify auch aus. Man braucht nicht viel Fantasie, um sich die enorme Macht ausmalen zu können, die den Internetkriminellen damit in die Hände fällt. Wie viel ist ein Tag Amazon wert? Wie lange kommen wir ohne Aktien aus? Wie viel ist ein Tag von CNN oder der New York Times wert während der Schlussphase des Abstimmungskampfes?

Mit sicheren Passwörtern und Updates gegen den Feind

Wie können wir uns gegen diese enorme Bedrohung schützen? Die kurze Antwort darauf fällt ernüchternd aus: Solange Hunderttausende von Geräten ohne sichere Passwörter ans Internet angeschlossen sind, können wir uns nicht schützen. Und das selbst dann nicht, wenn wir uns alle an der Nase nähmen und die Passwörter änderten. Denn es sind immer noch Abertausende von Geräten im Umlauf, denen der Hersteller einen sogenannten Servicezugang spendiert hat. Einen Zugang also, der für die Fernwartung durch den Hersteller gedacht ist und sich nicht schützen lässt. Aber genau diese gut gemeinten Servicezugänge sind jetzt zu den Einfallstoren einer neuen Art von globaler Kriminalität geworden und bedrohen nicht nur einzelne Unternehmen, sondern das menschliche Zusammenleben.

Die lange Antwort auf die kurze Frage „Was tun?“ ist etwas komplizierter: Das Internet der Dinge ist momentan der wilde Westen der Technologiebranche und muss dringend stärker reguliert werden. Das heisst, dass man sich auf internationale und transparente Standards einigt und diese auch einhält. Zudem müssen auch wir als Benutzerinnen und Benutzer stärker in die Pflicht genommen werden. Das schlaue Zuhause erfordert auch smarte Benutzer, die diese Geräte bedienen und warten. Regelmässige seiner Gerätschaften mit Updates zu versorgen wird in Zukunft genauso an der Tagesordnung sein wie das Staubsaugen der Wohnung.

Hackerin oder Internetkrimineller? Im Volksmund wird nicht zwischen Hackern und Internetkriminellen unterschieden. Das ist nicht nur inhaltlich falsch, sondern auch schlecht für die politische Öffentlichkeit. Denn auf dem Internet kann man sich nicht nur neue Schuhe kaufen, man kann sich auch über gesellschaftliche Probleme austauschen und damit den politischen Kampf organisieren. Politischer Ungehorsam ist ein wichtiges Mittel in diesem politischen Kampf, welches von Hackern gerne benutzt wird. Paypal verweigert Wikileaks die Benutzung ihrer Dienste, Anonymous greift Paypal an. Die Paypal-Seite ist für eine Stunde offline. Paypal zahlt die Zeche (ca. 5,5 Millionen USD) und rudert schliesslich zurück. Dieser politische Kampf, auch Hacktivism genannt, steht den Handlungen der Internetkriminellen diametral gegenüber. Allein das schnelle Geld entscheidet dort, die Mittel werden nach pragmatischen Gesichtspunkten ausgewählt. Wer mehr über Hacktivism erfahren will, dem empfehle ich diese Doku über Aaron Swartz: