Neu an diesem Angriff war nicht nur seine Heftigkeit, sondern auch die Art, wie er durchgeführt wurde. Millionen internetfähiger Geräte legten durch das Senden von massenhaften Anfragen die Dienstleistungen von Dyn lahm. Die Verantwortung übernahmeine Hackergruppe, die schon mehrmals in Erscheinung getreten ist.
Ein Angriff wie dieser kann sich jederzeit wiederholen
Ein Angriff wie der vom 21. Oktober kann sich jederzeit wiederholen. Dabei geht es nicht um ein paar Videos, die ein Nutzer momentan nicht downloaden oder ein soziales Netzwerk, auf das ein paar Stunden nicht zugegriffen werden kann.Durch die zunehmende Verbreitung von internetfähigen Geräten, könnte es demnächst das erste Mal passieren, dass eine Menge Gebrauchsgegenstände einen ordentlichen Teil der menschlichen Kommunikation lahmlegt.
Die Anzahl der Kühlschränke, Beleuchtungsanlagen, Kameras, die vom Internet aus zugänglich und nur mit einem Standardpasswort geschützt sind, nimmt ständig zu. Dieses «Internet of Things» (IoT) kann das Netz erheblich stören, wenn es in die falschen Hände gerät. Mehrere Medien vermuteten sogar, der Angriff sei nur der Testlauf für die Sabotage der US-Wahlen gewesen.
Was genau ist passiert? DDoS (Distributed Denial of Service), wie der verwendete Angriffstyp heisst, ist häufig. DDoS-Attacken sind Alltag für IT-Sicherheitspersonal. Gesteuert werden sie durch ein Botnet – eine Schadsoftware, die viele einzelne Teilnehmer zusammenspannt und zu einer koordinierten Aktion bringt. Der Drucker, die Webcam, das Babyphon können so in tausendfacher Kombination grossen Schaden verursachen. Die Benutzer der gekaperten Geräte bemerken davon meist nichts.
DDos-Attacken sind Alltag
Das Unternehmen Dyn stellt ein Produkt zur Verfügung, das ähnlich funktioniert wie ein Telefonbuch. Durch DNS (Domain Name Service) ist einer Web-Adresse wie «www.infosperber.ch» einer IP-Adresse zugeordnet. Wird der Service angefragt, schaut er die Web-Adresse nach und gibt die zugeordnete IP-Adresse aus. Diese wird von der gesamten Netzwerkinfrasturkur verstanden. Bekommt der Anbieter zu viele Anfragen, bricht er zusammen, kann nicht mehr übersetzen und die gesuchte Seite ist nicht erreichbar. Das ist vergangene Woche passiert.Die Software, mit der die Hacker gearbeitet haben, das «Mirai»-Botnet, ist bekannt und nach Ansicht von Experten eher simpel gestrickt. «Mirai» sucht nach öffentlich erreichbaren Netzwerkgeräten und probiert ein paar Dutzend Kombinationen aus Nutzernamen und Passwort, um ein Gerät zu infizieren.
Auch das ist nichts Aussergewöhnliches. Die Künsterin Addie Wagenknecht, die derzeit im Basler «Haus der elektronischen Künste» ausstellt, machte sogar ein Kunstwerk daraus: sie sammelte Adressen verschiedener öffentlicher und privater Webcams und stellt den Stream als Kunstwerk dar. Eine vergleichsweise einfache Sache, weil die Kameras oft wenig gesichert waren oder der Stream öffentlich verfügbar ist.
Warum Ihr Drucker nicht nur Ihr Drucker ist
Schuld daran tragen natürlich die Hersteller von Kameras, Druckern und Co., die sich vor allem bei günstigen Geräten nur wenig Gedanken um die Internetsicherheit machen. Bekannte Sicherheitslücken werden nicht geschlossen, das Standard-Passwort des Geräts lässt sich nicht ändern oder die Nutzerdokumentation dazu ist mangelhaft. Aber nicht nur.Geschlafen hat auch die Politik. Wer sich in den Strassenverkehr begibt, ist verpflichtet, sich so zu verhalten, dass er sich und anderen keinen Schaden zufügt. Auf dem «Global Information Highway», wie das Internet in den ersten Jahren hiess, gilt diese Regel nicht. Der fehlende «Internet-Airbag» betrifft vor allem den Durchschnittsnutzer.
Wie ein Fahrzeug, das sich nicht abschliessen lässt
Stellen Sie sich vor, sie kaufen ein Auto, das sich nicht abschliessen lässt. Oder eines, dessen Universal-Schlüssel öffentlich ausliegt. Sie könnten ihren Schlüssel personalisieren, sind aber zu bequem dazu. Ob das Licht funktioniert, ist auch egal. Wenn jemand ihr Auto nimmt und damit einen Unfall verursacht, ist das eben Pech.Genau so sieht die Software vieler Webcams aus. Hersteller werden nicht gezwungen, sie sicher zu gestalten. Endanwender sind zu bequem, zu wenig informiert oder überfordert damit, das Standardpasswort zu ändern. Dazu gezwungen werden sie bei der Inbetriebnahme meist auch nicht, vorgeschrieben ist es noch weniger.
Das «Internet of Things» könnte einen guten Teil der menschlichen Kommunikation lahmlegen
Professionelle Anbieter betreiben ihre Kameras und Drucker in eigenen Netzen. Das macht die Geräte nicht unangreifbar, aber sicherer. Dafür gibt es andere Angriffspunkte, beispielsweise Wartungszugänge, die vom Servicepersonal nicht ausreichend gesichert werden, lückenhafte Firmware, die nicht ausgetauscht wird, und andere.Denn natürlich ist das Web-Passwort nicht die einzige Sicherheitslücke, durch die sich Hacker Zutritt verschaffen können. Aber sie ist geradezu idiotisch einfach auszunutzen.
Wie schnell das geht, hat das Magazin «The Atlantic» nachgewiesen. Auf einen falschen webfähigen Toaster, den das Magazin ins Netz stellte, gab es innerhalb von 11 Stunden mehrere hundert Angriffe.