Hackerangriffe laufen in der Regel heimlich ab. Die Angreifer dringen in fremde Systeme ein, kopieren Daten und versuchen, dabei nicht entdeckt zu werden. Gelegentlich hinterlassen sie Nachrichten, sei es als Warnung oder aus Stolz, ein System geknackt zu haben. Seltener sabotieren sie die Systeme so, dass sie anschließend gar nicht mehr funktionieren. Doch genau solche Angriffsversuche hat die IT-Sicherheitsfirma Radware jetzt auf einem Testsystem beobachtet. Die Ziele: schlecht gesicherte Router und andere vernetzte Geräte.

Die Login-Versuche erfolgten mit dem Benutzernamen "root" und dem Passwort "vizxv". Dieses Passwort findet sich in zahlreichen Listen für Standardpasswörter. Es gehört offenbar zu Geräten von Dahua, einem Hersteller von Überwachungskameras. Wie viele andere Hersteller auch nutzt Dahua für unzählige Geräte dasselbe Passwort. Angreifer können sich mittels solcher Standardpasswörter automatisiert in Geräte einloggen, die sie über die IP-Adresse im Internet finden. Allein auf dem Testserver gab es in kurzer Zeit über 1.000 Angriffsversuche. Radware taufte die Angriffe, die in zwei Wellen erfolgten, BrickerBot.1 und BrickerBot.2.

Während nach solch einem Angriff üblicherweise eine Schadsoftware installiert wird, versucht BrickerBot, zahlreiche Konsolen-Befehle auszuführen, um das befallene Gerät unbrauchbar zu machen. Radware hat Screenshots von mehreren Skripten veröffentlicht. Zunächst probiert BrickerBot demnach, Dateisysteme mit Zufallsdaten zu überschreiben. Die erste Variante versucht anschließend noch, ganze Partitionen zu löschen. Anschließend werden verschiedene Befehle ausgeführt, mit denen die Netzwerkverbindung deaktiviert oder unbrauchbar gemacht werden soll.

Ein Signal an die Hersteller

Die Wiederherstellung des Geräts ist äußerst schwierig, gerade für unerfahrene Nutzer. Sollte etwa ein Angriffsversuch auf eine Kamera erfolgreich verlaufen, dann dürfte diese wohl nie wieder Bilder aufnehmen. Zwar könnte man theoretisch das Dateisystem wieder herstellen und eine neue Firmware aufspielen, das ist aber gerade bei günstigen IoT-Geräten oft nur mit größerem Aufwand machbar. Wenn überhaupt. 

Die Zerstörung von Geräten durch defekte Firmware nennt man auch bricken, vom englischen to brick. Daher der Name BrickerBot. Über die Motiviation der Angreifer kann bisher nur spekuliert werden. Sie wollen offensichtlich dafür sorgen, dass die infizierten Geräte dauerhaft nicht mehr funktionieren. So könnten sie verhindern, dass besonders unsichere IoT-Geräte von Botnetzen gekapert werden und noch mehr Schaden anrichten.

Das Mirai-Botnetz etwa hatte im vergangenen Herbst für Ärger gesorgt. Zunächst legte ein permanenter DDoS-Angriff das Blog des Journalisten Brian Krebs lahm. Die Firma Akamai, die bis dahin den Schutz des Blogs übernommen hatte, wollte Krebs daraufhin nicht weiter vor den Massenangriffen schützen. Später wurden auch Twitter, Github, Netflix und zahlreiche andere Dienste Opfer des Mirai-Botnetzes.

Trotz dieser Vorfälle gibt es kaum passable Vorschläge, wie man gegen die Botnetze aus unsicheren IoT-Geräten vorgehen sollte. Sicherheitsexperten wie Bruce Schneier fordern politische Eingriffe, um den Markt zu kontrollieren. Das könnte etwa eine Haftungsregelung sein, bei der die Hersteller für die Sicherheit zur Verantwortung gezogen werden können. Doch auf offene Ohren stößt Schneier damit nicht. Die Hersteller ignorieren das Problem praktisch komplett. Und Deutschlands Justizminister Heiko Maas sagte kürzlich auf einer Veranstaltung, er sehe keinen akuten Handlungsbedarf.

Nicht legal, aber wirksam

Die Ratlosigkeit führt dazu, dass einige Sicherheitsexperten zumindest die Möglichkeit diskutieren, entsprechende Geräte schlicht selber zu hacken und stillzulegen. Nun scheinen einige diese Idee aufgegriffen zu haben. Legal ist das nicht, helfen könnte es trotzdem.

Nutzer können sich vor BrickerBot schützen, indem sie Geräte nicht mit den Standardpasswörtern betreiben. Wenn sich das Passwort ändern lässt, sollten sie das unbedingt tun und ein nicht trivial erratbares Passwort wählen. Allerdings gibt es auch Geräte, bei denen eine Änderung des Passworts nicht vorgesehen ist. Solche Geräte kann man schlicht nicht mehr sicher mit dem Internet verbinden. Wenn sie ohne Netzverbindung nutzlos sind, ist wohl der beste Ratschlag, sie nicht mehr zu benutzen – und beim nächsten Kauf auf die Sicherheit zu achten.