Das „Internet der Dinge“ – Wenn Ihr ferngesteuerter Zombie-Kühlschrank das Internet lahmlegt

Das „Internet der Dinge“ – Wenn Ihr ferngesteuerter Zombie-Kühlschrank das Internet lahmlegt
© faithie – Fotolia.com

Das Bier ist alle. Also bestellt Ihr intelligenter Kühlschrank neues nach. Die Marmelade neigt sich dem Ende entgegen? Kein Problem, sie wird direkt mitbestellt. So könnte bald die Zukunft aussehen, wenn das „Internet der Dinge“ in den Alltag Einzug erhält – für diejenigen, die es so möchten. Doch müssen alle dafür bezahlen, wie die jüngst durchgeführte DDoS-Attacke zeigt. Sie wurde über solche Geräte durchgeführt.

Ende Oktober fand eine groß angelegte DDoS-Attacke statt (DDoS steht für „Distributed Denial of Service“, hier finden Sie unser Video zu diesem Thema), bei der bekannte Dienste wie Twitter oder die Entwicklerplattform GitHub lahmgelegt wurden. Bei Attacken dieser Art werden in der Regel mit Schadprogrammen verseuchte PCs von ahnungslosen Nutzern dafür verwendet, die „Zielseiten“ permanent und ohne Ablass mit Anfragen zu beschäftigen. Selbst die stärksten Server gehen irgendwann in die Knie, wenn nur genügend sogenannter „Zombie-PCs“ beteiligt sind.

Neu an der jüngsten Attacke war, dass sie nicht von verseuchten PCs ausging, sondern von sogenannten „Smart Devices“, also „gewöhnlichen“ Geräten, die jedoch mit dem Internet verbunden sind. Das kann von Haushaltsgeräten, wie intelligenten Kühlschränken oder Mikrowellen, bis hin zu vernetzten Fahrzeugen reichen. Jetzt wird vermutet, dass die massive Attacke von lediglich 50.000 Geräten ausging. Wenn das zutrifft, könnten zukünftig noch viel größere Angriffe bevorstehen.

Ein infizierter PC lässt sich mit relativ geringem Aufwand säubern. Bei „Smart Devices“ ist das hingegen oft gar nicht möglich und viele Hersteller sehen die Möglichkeit eines Softwareupdates gar nicht vor.

Welche weiteren Szenarien wären möglich?

Falls unbefugte Dritte ein intelligentes Gerät kapern, könnten Sie es – sofern die Software es zulässt –  auch für andere Zwecke nutzen, beispielsweise zum Spamversand oder für betrügerische Aktivitäten. Wenn dann plötzlich die Polizei vor der Haustür des arglosen Besitzers steht, wird er große Augen machen. Ob jemals jemand darauf kommen wird, dass es sein Toaster war? 

Möchten unbefugte Dritte den Nutzern gezielt Schaden zufügen, könnten Sie das Gerät theoretisch manipulieren. Ein Herd, dessen Internetanbindung lediglich dazu dient, dem Nutzer Kochrezepte anzuzeigen, ist hier eher unkritisch. Wenn der Nutzer den Herd jedoch aus der Ferne steuern kann, um sein warmes Essen vorzufinden, wenn er nachhause kommt, könnten Unbefugte ihn durch mögliche Sicherheitslücken aktivieren und ihn beispielsweise 8 Stunden laufen lassen – mit allen nur denkbaren Folgen.

Ebenfalls schlimm: vernetzte Autos (Stichwort: „connected Car“) wurden von Hackern bereits zu Demonstrationszwecken gehackt und ferngesteuert. Dies mögen Einzelfälle sein, und die Autosteuerung muss konstruktionsbedingt von außen zugänglich sein, aber es ist ein weiteres Beispiel für ein potentielles Szenario.

Wären kostenfreie Updates eine Lösung?

Für die ersten Jahre definitiv ja. Aber wird ein Hersteller für zehn oder zwanzig Jahre Aktualisierungen anbieten? In sicherheitskritischen Bereichen, wie dem besagten Herd oder der Kraftfahrt, werden die Hersteller nicht drumherum kommen – manchmal wird das Problem aber erst bemerkt, wenn es zu negativen Vorfällen gekommen ist.

Doch wie verhält es sich bei anderen Gerätegattungen? Ein normaler Mensch wird seinen Kühlschrank, seinen Toaster oder seine Mikrowelle nicht nach drei Jahren entsorgen. Sobald der Hersteller keine Updates mehr anbietet und Sicherheitslücken in diesen Geräten entdeckt werden, werden Hacker sie eines Tages nutzen. Dann kann Ihr intelligenter Kühlschrank noch so viele Getränke nachbestellen – wenn Ihr Online-Streaminganbieter gerade von einer DDoS-Attacke heimgesucht wird und das Fernsehbild schwarz ist, so wie neulich bei Netflix, können diese gleich im Kühlschrank bleiben.

Fazit

Es ist anzunehmen, dass die Sicherheit bei „Smart Devices“ in einigen Jahren ausgereifter sein wird. Die jüngsten DDoS-Attacken dürften für viele Hersteller ein Weckruf gewesen sein. Wer zurückdenkt, wird sich an die Welle an Werbebotschaften erinnern, die im Jahr 2002 weltweit über den eigentlich sehr praktischen Windows-Nachrichtendienst versendet wurde. Betroffen waren damals Nutzer von Windows 2000 und XP. Während der eigene PC lief und mit dem Internet verbunden war, erschienen plötzlich Fenster mit ungewollten Werbebotschaften, die von Dritten an die eigene IP-Adresse gesendet wurden. Damals brachte Microsoft in kurzer Zeit ein Update heraus, welches die Welle abebben ließ.

Ähnlich könnte es auch beim „Internet der Dinge“ laufen. Allerdings muss man an dieser Stelle unterscheiden: bei DDoS-Attacken sollen die Besitzer der genutzten Geräte möglichst nichts davon mitbekommen, dass sie gerade anderweitig genutzt werden. Möglicherweise bekommen die Hersteller ebenfalls nichts davon mit. Und wie soll man das Ganze dann unterbinden? Wer den Kauf eines intelligenten Geräts plant, sollte sich ausführlich über dessen technische Plattform informieren und im Zweifel überlegen, ob der Kauf nicht noch warten kann, bis dem Sicherheitsaspekt eine größere Beachtung geschenkt wird. Wer nicht warten möchte, hat die Möglichkeit, den Stecker zu ziehen, wenn das Gerät nicht benutzt wird.

Schauen Sie auch unser neues Video zum Thema „Internet of Things“ an:



Jochen Moschko

 

 
Jochen Moschko
SEO-Manager Exklusiv
Jochen Moschko arbeitet als SEO-Manager in der Exklusiv-Abteilung bei der FAIRRANK GmbH.