Und dann war das Internet plötzlich ein bisschen kleiner. Am Freitagvormittag mussten vor allem die Menschen an der US-Ostküste rund zwei Stunden ohne Musik von Spotify und Soundcloud, ohne Twitter, ohne Netflix und ohne ein Dutzend anderer beliebter Onlinedienste auskommen. Sie waren gar nicht oder nur langsam zu erreichen, weil das US-Unternehmen Dyn Opfer eines breiten Angriffs auf seine Infrastruktur wurde.

Dyn ist vereinfacht gesagt eine Vermittlung im Netz. Als DNS-Provider (Domain Name System) übersetzt das Unternehmen Domainnamen in IP-Adressen. Wer also eine Website wie twitter.com im Browser aufruft, wird über den DNS-Eintrag von Dyn zum entsprechenden Server vermittelt. Es ist ein praktisches und zuverlässiges System. Aber auch eines, dass sich gezielt angreifen und lahmlegen lässt, wie der aktuelle Fall zeigt.

Inzwischen ist klarer, was genau passiert ist. Wie Dyn bestätigte, gab es am Freitag drei Angriffswellen auf die eigenen Server. Es handelte sich um sogenannte Distributed-Denial-of-Service-Angriffe (DDoS). Dabei werden so viele gleichzeitige Anfragen von vielen verschiedenen Geräten auf einen oder mehrere Server geschickt, bis diese schlicht überlastet sind. Solche Attacken sind nicht selten; Serverprovider und spezialisierte Unternehmen können einen Teil von ihnen abfangen. Doch je stärker und länger die Angriffe dauern, desto schwieriger wird es. Dyn spricht von einer "ausgeklügelten und hoch verteilten Attacke mit zig Millionen involvierten IP-Adressen".

Das Internet der Dinge als Waffe

Interessant – und ebenso bedenklich – ist, woher diese IP-Adressen kommen. Die Anfragen kamen nämlich teilweise von vernetzten Haushaltsgeräten, also aus dem sogenannten Internet of Things (IoT): Sicherheitskameras, Kühlschränke, Thermostate, digitale Videorekorder – all jene Geräte, die unschuldig und unbeachtet in Haushalten rund um die Welt stehen, könnten dazu geführt haben, dass Nutzer in den USA plötzlich nicht mehr ohne Weiteres Netflix und Spotify erreichen konnten.

Wie kann das sein? Die Antwort liegt irgendwo zwischen krimineller Energie, Ignoranz und Unkenntnis.

Zunächst zur kriminellen Energie. Wie Dyn in seinem Blogbeitrag schreibt, sei der Angriff teilweise auf ein Botnet zurückzuführen, das mit der Schadsoftware Mirai infiziert ist. Ein Botnet ist eine Sammlung von Hunderttausenden Geräten, die ohne Wissen ihres Besitzers von Dritten kontrolliert werden können. Wer die Kontrolle über das Botnet hat, kann den Geräten etwa sagen, eine bestimmte Adresse mit Anfragen zu überhäufen. Addiert man sämtliche Anfragen zusammen, kommt es zu einer DDoS-Attacke.

Bislang bestanden diese Botnetze vor allem aus PCs, die mit Schadsoftware infiziert waren. Doch seit einiger Zeit gibt es auch welche aus dem Internet der Dinge. Vor rund vier Wochen wurde das Blog des Sicherheitsforschers Brian Krebs von genau solch einem Netzwerk lahmgelegt. Wenig später veröffentlichte ein anonymer Hacker in einem Szeneforum den Quellcode für die Schadsoftware Mirai, die angeblich bereits rund 300.000 infizierte Geräte unter ihrer Kontrolle habe. Experten wie Dale Drew vom US-Provider Level 3 Communications warnten daraufhin vor weiteren Angriffswellen. Da der Quellcode frei verfügbar sei, könnten Angreifer das Mirai-Botnet ausbauen und weitere Ziele angreifen. Zum gleichen Fazit kam Brian Krebs.

DDoS-Angriffe für 7.500 US-Dollar

Die Prognosen haben sich schneller bestätigt als gedacht. Wie das IT-Sicherheitsunternehmen Flashpoint schreibt, habe es gemeinsam mit Dyn herausgefunden, dass ein Teil der Angriffe aus dem Mirai-Botnet stammt. Gleichzeitig tauchten auf einem Marktplatz im Darknet DDoS-Attacken zum Verkauf auf: 7.500 US-Dollar soll demnach ein Angriff mit hunderttausend infizierten Rechnern kosten. Ob das Angebot echt ist, ist nicht bestätigt. Allerdings gab es schon in der Vergangenheit die Möglichkeit, zumindest kleinere DDoS-Angriffe, etwa auf private Blogs, einzukaufen.

Im aktuellen Bericht der Cloud-Computing-Firma Akamai heißt es, man habe in diesem Jahr "mehr Web- und DDoS-Angriffe als jemals zuvor" registriert. Vernetzte Haushaltstechnik könne damit zu tun haben. "Durch alle Geräte, die schutzlos und mit Schwachstellen ans Internet angeschlossen sind – wie beispielsweise IP-Kameras –, vergrößert sich natürlich die Basis für solche Angriffe", sagt Daniel Melzer, technischer Leiter am Frankfurter Internetknoten De-Cix im Gespräch mit ZEIT ONLINE.