Kontrollverlust

Editorial: Router als Ziel

Beim letzten großen DSL-Ausfall der Telekom war das Netz in Ordnung, die Router wurden aber von Hackern lahmgelegt. Drohen künftig noch größere Ausfälle? Und was kann die Gesellschaft dagegen tun?
AAA
Teilen (14)

Editorial: Router als ZielEditorial: Router als Ziel Die große DSL-Störung von letzten Wochenende wurde durch einen Hackerangriff auf ein bestimmtes DSL-Router-Modell der Deutschen Telekom verursacht. Knapp 1 Million Kunden hatten deswegen Beeinträchtigungen beim Internetzugang und beim Telefonanschluss, bis hin zum Totalausfall. Dabei scheinen die Kunden sogar Glück gehabt zu haben, dass die Router nur abstürzten, sich aber nicht mit der von den Hackern verteilten Schadsoftware infizierten! In Brasilien, der Türkei und vermutlich noch in weiteren Ländern war der Angriff hingegen wohl leider erfolgreich.

Der Vorfall wirft ein Licht auf ein Problem, das leider in den kommenden Jahren noch stark wachsen wird. Denn die Zahl der vernetzten Geräte wird weiter rapide steigen. Und damit auch die Gefahr, die von Hackerangriffen auf ebendiese Geräte ausgeht.

Vor zweieinhalb Monaten meldeten wir: 5G ist, wenn die Mülltonne einen Mobilfunk-Chip hat. Was nun, wenn die Mülltonnen-Firmware einen Fehler hat? Dann wird beim Entleeren über eine NFC-Schnittstelle möglicherweise Schadcode vom PC im Müllfahrzeug auf die Mülltonne übertragen, und von dort aus über weitere NFC-Kontakte zunächst auf alle Papierkörbe verteilt. Die Papierkörbe infizieren beim Herumräumen im Zimmer einen Raumthermostat, und von dort aus befüllt der Schadcode dann das eigentliche Ziel, nämlich die Heizungssteuerung. An einem besonders kalten Wochenende schlägt dann die Ransomware zu: "Überweisen Sie den Gegenwert von 200 Euro auf Bitcoin-Konto NNN, oder die Heizung bleibt kalt". Da auf einen Schlag allein in Deutschland 900 000 Öl-, Gas- und Pelletheizungen derart lahmgelegt sind, kann auch der Heizungs-Notdienst nur einem Bruchteil der betroffenen Mieter und Eigentümer helfen. Der Rest kauft Heizlüfter oder zahlt.

Wer solche Infektionsketten für unrealistisch hält, dem sei als Lektüre empfohlen, wie Stuxnet die Urananreicherungsanlage in Natanz (Iran) befiel. Und was Geheimdienste können, um das Nuklearprogramm verfeindeter Nationen zu sabotieren, das können geldgierige Hacker und Cracker leider auch.

Sicherheit tut Not

Nun hat der einzelne Kunde kaum Möglichkeiten, das Sicherheitsniveau der von ihm gekauften Geräte zu beeinflussen. Er kann sich zwar bemühen, alle bekannten Sicherheitsupdates zügig einzuspielen, aber das hilft nicht gegen "zero day exploits". Das sind Sicherheitslücken, die von den "bad guys" entdeckt worden sind, noch bevor die "good guys" einen Patch dagegen bereitgestellt haben. Ebensowenig kann der User solche Lücken patchen, die zwar allgemein bekannt sind, für die die Hersteller aber keine Updates herausgeben. Schon bei Android-Smartphones ist die Update-Politik der Hersteller katastrophal. Bei Android-Smart-TVs ist sie noch schlimmer, und über Android-Waschmaschinen reden wir besser gar nicht erst.

Dabei wird erwartet, dass im Rahmen des "Internet of Things", kurz IoT, in zehn Jahren etwa eine Billion Geräte vernetzt sein werden. Ja, die Zahl ist richtig, eine Billion (deutsch) bzw. eine Trillion (englisch), also tausend Milliarden bzw. eine Million mal eine Million. Die Nutzer werden diesen Zoo jedenfalls nicht mehr regelmäßig von Hand updaten, dazu werden es einfach zu viele Geräte sein.

Was bleibt, ist der fast schon verzweifelte Ruf an die Forschung und an die Politik, doch endlich in Sachen Internet-Sicherheit massiv aufzurüsten. Weg vom täglichen Patchen hin zu sicherem Design. Natürlich brauchen DSL-Router Fernwartungsports, und natürlich braucht die Mülltonne der Zukunft eine Kommunikationsmöglichkeit mit dem Müllwagen. Aber wie kann man diese Schnittstellen sicher gestalten, dass sie nicht auch für Schädlinge Tür und Tor öffnen? Hier muss es doch bessere Ansätze geben, als regelmäßig Patches einzuspielen! Kann die Forschung diese nicht finden? Und kann die Industrie, über geeignete Regulierungen, nicht gezwungen werden, diese auch zu verwenden?

Teilen (14)

Weitere Editorials