Kühlschränke, Überwachungskameras oder Digitale Videorekorder: Wir vernetzen zunehmend mehr Alltagsgegenstände. Internet der Dinge heißt das, kurz IoT (für Internet of Things). Die vergangenen Monate haben gezeigt, welche Risiken wir eingehen, wenn wir dabei nicht auf Sicherheit achten. Die DDoS-Angriffe gegen Akamai, Dyn, OVH und andere Infrastrukturbetreiber des Internets waren so erfolgreich, weil sie von mehreren Zig- oder Hunderttausend schlecht entwickelter, unsicher konfigurierter und kaum gewarteter Geräte ausgeführt wurden. Und es werden beständig mehr. Hacker können sich aus einem ständig wachsenden Pool kaum geschützter Geräte bedienen. Gerade hinsichtlich IT-Sicherheit hat der Markt beim Internet der Dinge vollkommen versagt.

Wie konnte es so weit kommen? Es gibt drei Gründe: Erstens haben Unternehmen bisher keinerlei ökonomische Anreize, bei der Herstellung auf Sicherheit zu achten. Konsumenten achten beim Kauf vor allem auf Features und die Leistungsfähigkeit eines Geräts. Beides lässt sich in Testberichten und Benchmarks gut vergleichen und hat damit häufig Einfluss auf die Kaufentscheidung. Welches Smartphone hat die beste Kamera? Welcher Router die höchste WLAN-Reichweite? Zu Sicherheitsfunktionen bekommen Verbraucher jedoch vergleichsweise wenige, oft nur nebulöse Informationen. Zudem ist es wesentlich aufwendiger, die Sicherheitsmechanismen von Routern, Webcams oder anderen IoT-Geräten zu analysieren und zu vergleichen. IT-Sicherheit ist damit kaum ein Kaufkriterium und kann es so auch nicht werden. Ein Teufelskreis.

Der zweite Grund ist die mangelnde Lernbereitschaft "fachfremder" Hersteller. Bei der Entwicklung missachten sie Grundregeln der IT-Sicherheit, die seit Jahren bekannt sind. Das äußert sich dann zum Beispiel in fehlenden Updatemechanismen oder unverschlüsselten Datenübertragungen. Der IoT-Virus Mirai braucht nur eine Liste aus 60 Standard-Login-Daten für verschiedene IoT-Geräte abzuarbeiten, um ein mächtiges Botnetz zu erschaffen. Hersteller begehen diese Fehler, weil sie zuvor keine Erfahrung mit sicherer Softwareentwicklung hatten, nun aber beginnen, internetfähige Smart-TVs, Kühlschränke und Überwachungskameras zu bauen, dabei aber zusätzliche Investitionskosten für die Entwicklung sicherer Software scheuen.

Drittens werden IoT-Geräte immer leistungsfähiger und ihre Internetanbindung immer schneller. Aktuelle Internetrouter, die bei vielen unter dem Sofa stehen, besitzen ähnlich leistungsfähige Hardware wie ein älteres Smartphone. Sie sind ein lukratives Ziel für Hacker, da sie Schadcodes unbemerkt über Monate oder Jahre hinweg ausführen können. Die wenigsten wissen, dass ihre Überwachungskamera oder ihr Router Teil eines Botnetzes sind, das kritische Informationsinfrastrukturen angreifen kann.

Die Frage ist nun, ob die Politik retten kann, was der Markt gerade vergeigt. Dazu gibt es eine Reihe von Ideen und Überlegungen. Eine davon: Die Polizei soll infizierte Systeme im Zweifelsfall hacken, um sie so zu "immunisieren". Im Extremfall könnte sie die Geräte dabei funktionsunfähig machen.

Wettrüsten zwischen Behörden und Angreifern

Das Bundesamt für Sicherheit in der Informationstechnik denkt über eine Art "digitalen Rettungsschuss" nach – zentrale Server eines Botnetzes sollen gezielt ausgeschaltet werden können. Allerdings birgt dies die Gefahr, dass auch alle anderen legitimen Dienste und Websites ausfallen, die auf diesem Server laufen. Letztlich werden beide Ideen zu einem Wettrüsten zwischen Behörden und Angreifern führen. Hacker werden IoT-Viren gegen solche Strategien absichern. Das eigentliche Problem der unsicheren IoT-Geräte wäre damit nicht adressiert.

Die Anstrengungen der Staaten sollten stattdessen beim Markt für IoT-Geräte ansetzen. Ohne ökonomische Anreize werden Hersteller bei der Entwicklung auch weiterhin kaum auf IT-Sicherheit achten. Über die derzeit besprochene allgemeine Softwarehaftung würde so ein Anreiz geschaffen. Der Ansatz ist jedoch rein reaktiv, langsam und ineffizient. 

Regierungen sollten lieber auf positive Anreize setzen: Wenn sich Hersteller über IT-Sicherheit von Wettbewerbern differenzieren, könnte IT-Sicherheit bei IoT-Geräten ein Kaufkriterium werden. In den USA und bei der Europäischen Kommission haben daher Gespräche über IoT-Gütesiegel begonnen, die einen Mindeststandard für IT-Sicherheit bei solchen Geräten festlegen sollen. Hersteller können ihre Produkte überprüfen lassen und erhalten ein Siegel, wenn sie den Standards entsprechen. Über das Siegel können sie dem Kunden zeigen, dass sie tatsächlich halten, was sie versprechen. IT-Sicherheit kann so zu einem Kaufkriterium werden und Einfluss auf den IoT-Markt nehmen.

In der Zwischenzeit nehmen Botnetze ein ganzes Land vom Netz

Die Einführung eines solchen Siegels ist aber mit Hürden verbunden. Erstens bräuchte es schlanke Mindeststandards, die auf wenige Seiten passen, zügig überprüft werden können, transparent und international anschlussfähig sind. Vorbilder gibt es bei bereits existierenden Initiativen. Zweitens muss ein gewissermaßen statisches Siegel an ein sehr dynamisches Umfeld angepasst werden. So könnten die Mindeststandards beispielsweise vorschreiben, dass der Hersteller sich verpflichtet, für den Zeitraum der gesetzlichen Gewährleistung Updates für alle sicherheitskritischen Softwarekomponenten bereit zu stellen.

Bis es soweit ist und staatliche Initiativen auf dem Markt Wirkung zeigen, dürfte es noch lange dauern. Schlimmstenfalls Jahre. In der Zwischenzeit entstehen neue Botnetze, die schon jetzt groß genug sind, um ganze Länder vorübergehend vom Netz zu nehmen.