Internet der Dinge Ist der Ruf erst ruiniert, vernetzt es sich ganz ungeniert

Das Geschäft mit smarten Geräten boomt, dabei haben viele von ihnen massive Sicherheitslücken. Es ist aber noch nicht zu spät: Hersteller, Nutzer und die Politik könnten das Internet der Dinge retten.
Foto: DER SPIEGEL/ Michael Walter

Bevor Billy Rios das Internet der Dinge wieder attackieren ließ, musste er ein neues Opfer besorgen. Rios plante einen spektakulären Hack , bei dem eine übers Netz gesteuerte Autowaschanlage ihre Kunden angreifen sollte.

Geübt hatte der angesehene US-Sicherheitsexperte mit dem Truck eines Freundes. Doch der wollte sein Auto nach ersten Tests lieber nicht mehr den wild gewordenen Maschinenarmen der Waschanlage überlassen. Ein Mietwagen musste her, erzählt Rios.

"Meines Wissens nach war das der weltweit erste Hack, bei dem ein vernetztes Gerät seine Umgebung tatsächlich attackiert hat", sagt Rios. Angriffe wie diese bestätigen die alte Vermutung, dass Geräte mit Internetzugang auf für ihre Besitzer gefährliche Abwege geraten können.

Spektakuläres Wachstum, spektakuläre Sicherheitslücken

Längst haben Sicherheitsforscher etwa nachgewiesen, dass vernetzte Autos auf Befehl von Hackern ein Eigenleben entwickeln können. Große Attacken der jüngeren Vergangenheit, etwa der Telekom-Hack, sind erst durch ein mächtiges sogenanntes Botnetz möglich geworden, das seine weltweite Armee von gekaperten Geräten hauptsächlich aus dem sogenannten Internet der Dinge (IOT) rekrutiert. Auch der Angriff, der Twitter, Netflix, Paypal, Spotify und Amazon im Herbst 2016 stundenlang lahmgelegt hatte, lief über dieses IOT-Botnetz.

In einem Forschungsbericht für den "Business Insider"  von 2017 schätzen Experten gleichzeitig, dass die Zahl der vernetzten Geräte bis 2021 auf 22,5 Milliarden steigen wird - von 6,6 Milliarden im Jahr 2016. In diesem Zeitraum sollen 4,8 Billionen US-Dollar an Investitionen in die Branche fließen. Welche teils absurden smarten Gegenstände es bereits gibt, zeigt diese Fotostrecke:

Fotostrecke

WLAN: Vernetzte Hundehütte, smarte Zahnbürste

Foto: Withings/ Loreal

Das Internet der Dinge ist also da und wächst. Dabei ahnt mittlerweile jeder, dass es auch zum Problem werden könnte. In seinem diesjährigen Jahresbericht  urteilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) trocken, viele smarte Geräte seien "nicht oder nur unzureichend vor Cyber-Angriffen geschützt." Das sei für den Besitzer gefährlich, eine Armee an unsicheren IOT-Geräten könne zudem "enormen Schaden bei Dritten anrichten".

Doch selbst Hacker Rios, Gründer der IT-Sicherheitsfirma Whitescope, kommt nicht ohne internetfähige Haushaltsgeräte aus - mit einer Ausnahme: "Ich habe kein einziges Gerät aus dem Internet der Dinge, das sich bewegen kann. Die sind besonders gefährlich für den Menschen." Ein Beispiel wäre die Waschanlage, deren bewegliche Teile Rios fremdsteuern konnte. Ob er seine selbst auferlegte Regel auch künftig durchhalten kann, bezweifelt er allerdings. Bald werde es oft keine nicht internetfähige Kaufoption mehr geben, prophezeit Rios.

Sind wir also dazu verdammt, in Zukunft von ab Werk unsicheren Geräten umgeben zu sein? Nicht unbedingt. Das Internet der Dinge kann gerettet werden.

Wie die Wirtschaft das Internet der Dinge retten kann

In den letzten Jahren kam eine Schwemme an billigen Geräten auf den Markt, beschreibt Peter Bihr, Gründer der ThingsCon-Konferenz. Dort sucht die Branche nach Lösungen für Probleme, die sie selbst mitgeschaffen hat. Bei einem Besuch in China wollte Bihr die IOT-Produktion kennenlernen - und entdeckte zum Beispiel vernetzte Sicherheitskameras zu acht Dollar das Stück. "Bei diesen Preisen weiß man, dass keine Ressourcen in die Sicherheit der Geräte geflossen sein können."

Auch wenn es durchaus hochwertige, sichere - und damit meist teure - IOT-Geräte gibt: Viele plagen schon Sicherheitslücken, sobald Käufer sie daheim auspacken. IOT-Hersteller müssen nun unter anderem eine Update-Kultur etablieren, wie sie zum Beispiel bei Software-Herstellern von Betriebssystemen für PC oder Smartphones längst selbstverständlich ist. Mehr Sicherheit könnte auch quelloffene Open-Source-Software bringen.

Derzeit entsteht bereits ein Zweit-Markt rund um die Sicherheitsproblematik: Zusätzliche Hardware soll das Smart Home sicherer machen. Andere Firmen arbeiten an softwarebasierten Lösungen. Hersteller Avira etwa hat mit "SafeThings" eine Router-App entwickelt, die internetfähige Geräte in einem Haushalt überwachen und auffälligen Datenverkehr unterbinden soll. Setzen sich solche Ideen durch, wäre nicht mehr nur das Internet der Dinge ein Geschäftsfeld. Auch seine Unsicherheit würde den Unternehmen helfen, Geld zu verdienen.

Wie die Politik das Internet der Dinge retten kann

Wenn die Hersteller zu kurzfristig denken, könnte auch der Staat sie zwingen, sich mehr Gedanken um die Sicherheit zu machen - indem er Firmen für grobe Fahrlässigkeit und Fehler haften lässt.

So warb etwa die Privatrechtlerin Christiane Wendehorst  - wie auch andere Experten - im Sommer auf einer Digitalkonferenz des Justizministeriums in Berlin für eine "gewährleistungsähnliche Herstellerhaftung nach ausländischem Vorbild". Die SPD-Bundestagsfraktion drängte bereits 2016  auf eine "eindeutige Haftungskette", ähnliches hatte auch  Innenminister Thomas de Maizière (CDU) schon gefordert.

Wie der Nutzer das Internet der Dinge retten kann

Die Wachstumsprognosen zeigen nach oben. Aber noch können Nutzer schlechte Sicherheit abstrafen und lieber analoge Haushaltsgeräte kaufen - oder die Hersteller belohnen, die zum Beispiel monatliche Update-Zusagen machen.

Wer nicht mit dem Kauf warten will, sollte sich die Mühe machen, den Überblick zu behalten: Wie viele smarte Geräte habe ich in meinem Zuhause und welche sind miteinander vernetzt? Kann ich unnötige Zugriffsrechte einschränken?

Der digitale Kontrollverlust
Foto: Michael Walter / DER SPIEGEL

Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite. 

Wer sich ein smartes Zuhause aufbauen will, sollte zudem ein zweites WLAN-Netzwerk einrichten: Intelligente Haushaltsgeräte müssen nicht übers Heimnetzwerk online gehen, sondern können das auch über einen Gast-Zugang mit begrenzten Rechten tun - sie werden sozusagen in Quarantäne verschoben.

Wer zum Beispiel eine internetfähige Überwachungskamera auf der Terrasse haben will, muss außerdem das tun, was er bei seinem Smartphone oder Computer längst tut: ein Passwort für das Gerät festlegen. Viele Angriffe auf smarte Geräte sind nur möglich, weil Besitzer das voreingestellte Standard-Passwort nie geändert haben. Attacken im großen Stil funktionieren vermutlich derzeit auch so gut, weil Kriminelle es erstaunlich oft mit "1234" zum Ziel schaffen.