Berlin. Ob Kühlschrank oder Kamera: Alltägliche Dinge mit Netzanschluss werden zur Waffe der Zukunft.

Es begann wie eine harmlose Netzstörung: Am vergangenen Freitag waren für mehrere Stunden Webseiten wie Twitter, Spotify, Ebay oder Reddit für Millionen Nutzer nicht erreichbar. Wenig später stellte sich heraus: Hinter dem Ausfall steckte unter anderem eine Schadsoftware namens Mirai und eine Armee smarter Hausgeräte. Wie diese Angriffsform funktioniert, wer davon betroffen ist und was einzelne Nutzer dagegen tun können – Antworten auf die wichtigsten Fragen.

Was genau ist vorgefallen?

Es gab einen Angriff auf die Server des Unternehmens Dyn. Sie sind ein „DNS-Provider“, ein wichtiger Teil der Internet-Infrastruktur und dafür da, getippte

Webadressen wie „spotify.com“

in eine für Computer verständliche IP-Adresse (hier etwa 194.132.198.228) zu übersetzen. Fallen diese Server aus, sind betroffene Seiten nicht mehr über den normalen Weg erreichbar. Am Freitag erfolgte nun ein sogenannter „DDoS-Angriff“ auf Dyn und legte die Infrastruktur zeitweise lahm. Solch ein Angriff macht nichts anderes, als einen Server mit etlichen Anfragen zu überschwemmen, bis er überlastet zusammenbricht. Das ist in etwa so, als würde man Hunderte Menschen in eine Bankfiliale schicken, um dort nach der Uhrzeit zu fragen: Die Aufgabe ist zwar ganz schnell erledigt – trotzdem ist die Filiale für normale Kunden nicht nutzbar, weil alles verstopft ist. Diese Angreifer waren in der Vergangenheit meist Computer, die mit Schadsoftware infiziert sind und sich – wie Roboter – gemeinsam für Attacken fernsteuern lassen. Man spricht vom „Botnet“.

Solche Angriffe gibt es schon länger – was war diesmal anders?

Eine Besonderheit ist sicher das Ziel: Einzelne Webseiten lassen sich so schon länger lahmlegen – DNS-Infrastruktur ist aber darauf ausgelegt, etliche, gleichzeitige Anfragen zu beantworten. Außerdem treffen solche Unternehmen Schutzmaßnahmen gegen DDoS-Angriffe.

Nach Aussage eines Dyn-Managers waren Zigmillionen IP-Adressen beteiligt, die Angriffe außerdem komplex aufgefächert. Herausforderung bei einem Angriff dieser Größenordnung ist, über ein ausreichend großes Botnet zu verfügen – und hier kommen nun Kameras, Babyfones oder auch Kühlschränke mit Internetanschluss, die sogenannten IoT-Geräte (Internet of Things), ins Spiel. Denn diese sind eigenständig in der Lage, Datenpakete aus dem Internet zu empfangen oder auch dorthin zu senden.

Wie funktioniert so ein Botnet und welche Rolle spielen IoT-Geräte?

Normalerweise werden Computer für Botnetze durch Schadsoftware rekrutiert. Ein Nutzer öffnet etwa einen verseuchten Mailanhang und daraufhin installiert sich heimlich ein kleines Programm, das Kontakt zu einer Kommandozentrale aufbaut. Wenn sie das Signal gibt, schlagen alle angeschlossenen Rechner los und bombardieren einen bestimmten Server mit Anfragen.

Seit Kurzem sind aber zwei Programme bekannt – Mirai und Bashlight – die sich ein neues Ziel gesucht haben: IoT-Geräte. Denn alles im Haushalt, was sich mit dem Internet verbindet, kann theoretisch auch fremde Web-Adressen aufrufen und ist damit ein potenzielles Botnet-Mitglied für DDoS-Angriffe. Sie sind oft schlechter geschützt als PCs und eine Infektion fällt nicht auf. Außerdem wächst ihre Zahl rasant.

Laut dem Analyseunternehmen Gartner, melden sich täglich

5,5 Millionen neuer IoT-Geräte im Netz an, bis Jahresende soll es davon rund 6,4 Milliarden geben, bis 2020 über 20 Milliarden. Selbst wenn nur ein Bruchteil davon verwundbar ist – in den Händen von Cyberkriminellen ist das ein gigantisches Heer, das eine Bedrohung in einer ganz neuen Größenordnung darstellt. Mit genügend Angreifern wird prinzipiell jedes noch so gut geschützte Ziel verwundbar.

Können denn alle smarten Geräte für Angriffe missbraucht werden?

„Grundsätzlich können alle Geräte auf die eine oder andere Art verwundbar sein, aber es gibt Ziele, die es dem Angreifer besonders leicht machen“, sagt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams beim IT-Sicherheitsunternehmen Kaspersky Lab. Das seien vor allem die, bei denen Nutzer das voreingestellte Standard-Passwort nie verändert haben. Außerdem stellen Hersteller für IoT-Geräte selten Sicherheitspatches bereit und selbst wenn sie es tun, spielen Anwender diese meist nicht auf. „IoT-Geräte sind immer noch ein toter Winkel, was Updates angeht“, sagt Funk. „Dass man PCs aktualisieren muss, ist bei den Menschen mittlerweile angekommen – die smarte Kamera oder den smarten Kühlschrank haben die Leute einfach nicht auf dem Radar.“

Stellen diese Angriffe ein Risiko für mich dar?

Die Besitzer der am Angriff beteiligten IoT-Geräte haben sehr wahrscheinlich gar nichts von der Attacke bemerkt, Ziel eines solchen Angriffs werden Privatnutzer zudem in der Regel nicht. Allerdings konzentrierten sich die Angreifer aktuell vor allem auf Geräte, die einfach aus dem Netz

erreichbar sind und die voreingestellte Zugangsdaten verwenden. Bei solchen Geräten ist es auch ein Leichtes, direkt darauf zuzugreifen – im Falle einer Überwachungskamera ist das kein angenehmer Gedanke.

Kann ich mich gegen Angriffe schützen und was können Hersteller tun?

Bei einer ähnlichen Mirai-Attacke auf die Webseite des IT-Sicherheitsforschers Brian Krebs kamen vor allem Sicherheitskameras mit Standardpasswort zum Einsatz. Ob eine Kamera infiziert ist, lässt sich dabei nicht einfach herausfinden.

Da Mirai laut Krebs einfach nur in den flüchtigen Arbeitsspeicher geladen wird, genüge es, einmal den Strom-Stecker zu ziehen, um sie zu löschen. Anschließend sollte man aber schleunigst das Standardpasswort durch ein eigenes ersetzen – andernfalls könnte sie wenige Minuten später bereits erneut infiziert sein.

Grundsätzlich gilt also: Bei IoT-Geräten immer eigene Passwörter verwenden und regelmäßig prüfen, ob es Updates dafür gibt.