Das Internet der Dinge wird oftmals als „der neue heiße Scheiß“ bezeichnet, und jeder will so einen smarten Kühlschrank haben. Aber ist das so schlau? Denn denken wir uns einfach mal aus, dass so ein Kühlschrank oder dieser ganze Komplex Smart Home oder die intelligente Kleidung oder sonstwas mit dem Internet verbunden sein muss, weil sonst so ein Kühlschrank eben nur ein Kühlschrank ist. Und was kann passieren? Schauen Sie einfach mal, was ich da ausgegraben habe. Bei so etwas will man eigentlich alles namens Internet der Dinge abschaffen.
Fast ein Terabit pro Sekunde: So heißt die Lastspitze, die ein französischer Webhoster verkraften musste. Fast hätten die Systeme von OVH den Geist aufgegeben. Zuvor traf es Akamai, auch ein Hoster. Bei Akamai war die Webseite eines Sicherheitsexperten hinterlegt, welche dann in höchster Not abgeschaltet werden musste. Hintergrund beider Angriffe waren vernetzte Geräte. Damit gemeint sind solche Dinge wie Überwachungskameras, digitale Videorecorder und dergleichen mit Netzwerkanbindung. Insgesamt sollen über 150000 solcher Geräte zeitgleich im Einsatz gewesen sein.
Das Problem ist, dass bei einem solchen gigantischen Angriff auch enorme Auswirkungen auf das Internet an sich zu verspüren sind. Denn die Uhren. Videorecorder, Kühlschränke und so weiter müssen ja erst zu einem Botnetz zusammen geschaltet werden und dann von einem Kommando-Server aus ihre Befehle zum Angriff erhalten. Und dann schießen die alle gleichzeitig über einen „Zeitraum X“ ihre Anforderungen an Server, um sie in die Knie zu zwingen. Es müssen nicht wie bei Akamai politische Hintergründe sein, bei OVH waren es die Minecraft-Server.
Das Internet der Dinge ist eine tolle Sache. Man ruft sich per App den Kühlschrank-Inhalt auf, steuert auf dem Heimweg die Heizung auf die gewünschte Temperatur, schaut mit der Überwachungskamera nach dem rechten. Aber die Geräte sind eben meistens unsicher. Die Industrie hat den Markt mit den Dingern überschwemmt, ohne dass entsprechende Sicherheitsvorkehrungen getroffen wurden. Am Ende müssen wir eben feststellen, dass die Hersteller die Geräte absichern müssen. Ohne Sicherheit sollten diese Gerätschaften nicht verwendet werden.
Es gibt solche Dinge wie „Policy Enforcement Point“, „Policy Decision Point“ oder „Mutual Authentication“ zur Absicherung. Letzterer gewährleistet eine Authentifizierung von Geräten untereinander anhand von Zertifikaten. Die anderen beiden arbeiten anhand von Entscheidungen und sperren gegebenenfalls Benutzer. Sie gehören zum „Trusted Network Connect“. Aber Benutzer müssen sich damit beschäftigen, so lang es die Hersteller nicht vereinfachen. Und hier sehe ich das Problem.
Das Internet der Dinge ist eine schöne, neue Welt. Aber sie ist gefährlich. Und die Spitze der gigantischen Angriffe ist mit hoher Sicherheit noch nicht erreicht. Mich würde es nicht wundern, wenn elementare Versorgungseinrichtungen oder Internet-Knoten getroffen werden. Und dann sagen Sie mir nicht, dass Sie das nichts angeht.
4 Replies to “Internet der Dinge – Angriffe aus dem intelligenten Kühlschrank”