Die Schuld liegt aber nicht alleine bei den Hackern. Dass vernetzte Haushaltsgeräte diesen Trend verstärken, liegt an einer gewissen Ignoranz der Hersteller. Die Marktforscher von Gartner prognostizieren bis Ende des Jahres bis zu 6,4 Milliarden IoT-Geräte. Es ist ein riesiger Wachstumsmarkt – und einer, in dem IT-Sicherheit bislang nur eine untergeordnete Rolle spielt.

Damit die Schadsoftware Mirai oder das artverwandte (und rivalisierende) Bashlight überhaupt ein Botnet aufbauen können, benötigen sie nämlich ungesicherte und angreifbare Geräte. Und die gibt es massenhaft: Hartcodierte Logins und Passwörter, also etwa eine vom Hersteller vorgespeicherte Kombination wie der Benutzername admin und das Passwort 123456, sind ein einfacher Weg, sich Zugang zu verschaffen. Die Schadsoftware scannt das Internet nach vernetzten Geräten auf genau solche Standardlogins. Anschließend schreibt sie sich in den Arbeitsspeicher der Geräte, indem sie eine bekannte Sicherheitslücke in der Software ausnutzt.

Zum Beispiel in die Sicherheitskameras des chinesischen Herstellers Xiongmai. Der verkündete am Montag, einige in den USA verkaufte Webcams zurückzurufen. Sie waren zumindest anteilig an den Angriffen auf Dyn beteiligt. "Mirai ist ein Desaster für das Internet of Things. Wir müssen zugeben, dass unsere Produkte ebenfalls von Einbrüchen durch Hacker und von illegaler Nutzung betroffen waren", heißt es in einer Pressemitteilung des Unternehmens.

Xiongmai und andere Hersteller sind an dem Problem nicht ganz unbeteiligt. So gibt es im gesamten Internet der Dinge kaum Sicherheitsstandards, an die sie sich halten. Verschlüsselung, Datenschutz, regelmäßige Updates: All das ordnen viele Unternehmen möglichst einfacher Bedienung unter. "Die Geräte sind meist schon so billig, dass Hersteller kein Geld in die Hand nehmen, um Schwachstellen alter Geräte zu schließen", sagt Mathias Fuchs vom Sicherheitsspezialisten FireEye. Problematisch sei zudem, dass viele Geräte auch dann noch funktionieren, wenn es ihre Hersteller gar nicht mehr gibt.

Der Sicherheitsforscher Bruce Schneier forderte nach den Angriffen auf seinen Kollegen Brian Krebs deshalb die US-Regierung auf, verpflichtende Standards und Regularien einzuführen. Nur wenn ein Gerät diesen entspricht, dürfte es demnach in den USA verkauft werden.

"Die Kunden sind Teil des Problems"

Die Hersteller wiederum geben den schwarzen Peter gerne an die Kunden weiter. So sagt auch Xiongmai, viele Nutzer hätten den Standardlogin einfach nicht verändert, wodurch es der Malware leicht gemacht wurde. Andere sagen, die Kunden wollen einfach nicht wöchentlich ihren Kühlschrank mit neuer Firmware versehen, weshalb sie kritische Sicherheitsupdates ignorieren. "Die reine Nutzung dieser Geräte steht beim Kunden im Vordergrund, über Updates und Passwörter machen sie sich selten Gedanken", weiß auch Melzer.

"Die Kunden sind Teil des Problems", schreibt das Nachrichtenmagazin Fortune. Das stimmt einerseits. Wann haben Sie beispielsweise das letzte Mal die Firmware ihres Routers aktualisiert? Oder ihren Smart-TV? Oder ihre Spielkonsole? Updates sind immer lästig, und je mehr vernetzte Geräte sich im Haushalt befinden, desto mühsamer ist es, alle aktuell zu halten.

Andererseits besteht bei vielen Kunden schlicht eine Unkenntnis. Nur die wenigstens wissen, dass eine ungesicherte Webcam über eine simple Suchmaschine im Internet gefunden werden kann und Dritte somit Einblick in fremde Wohnzimmer erhalten. Und dass der Kühlschrank vielleicht unter der Kontrolle von Angreifern ist. "IoT Kunden sollten immer das Standardpasswort ändern und Updates installieren, wenn sie angeboten werden", sagt Fuchs. Allerdings sei der Nutzer nicht derjenige, der Angriffe beeinflussen kann. Es liege vielmehr in der Verantwortung der Hersteller, die Kunden vor diesen Problemen zu warnen. Notfalls müssten Unternehmen ihre Kunden per Software dazu zwingen, den Login bei der Installation zu ändern. Xiongmai hat nun versprochen, das zu tun.