Erst war es nur eine Website - für einige Tage im Oktober schlecht erreichbar für den Rest der Online-Welt. Wenige Wochen später dann blickten viele Internetnutzer verdutzt auf ihre Bildschirme: Twitter, Netflix, Amazon und viele andere populäre Dienste waren weltweit nicht erreichbar.
Attacken sind im Internet an der Tagesordnung. Fast zu jeder Zeit knackt irgendwo irgendjemand ein E-Mail-Konto, missbraucht ein Krimineller eine Kreditkarte, versuchen organisierte Gruppen, Firmengeheimnisse zu stehlen.
Der erste Angriff im Herbst 2016 galt der Website des US-amerikanischen IT-Journalisten Brian Krebs. Er beschäftigt sich mit organisierter Kriminalität im Internet und wurde deswegen schon häufiger bedroht.
Diesmal machte jemand ernst, vermutlich eine Gruppe von Onlinekriminellen, über die Krebs regelmäßig berichtet. Sie bombardierten den Server mit Krebs' Website mit massenhaften Anfragen, bis der aufgeben musste. Dafür nutzten sie einen Verbund gehackter IT-Geräte, ein sogenanntes Botnet.
War es Rache? Einschüchterung? Man weiß es nicht. Das Treiben endete jedenfalls erst, als ein spezieller Dienst des Suchmaschinen-Riesen Google übernahm. Der konnte den sogenannten DDOS-Angriff schließlich abwehren.
Dann traf es den Netzwerk-Dienstleister Dyn. Wieder ein DDOS, wieder aus einem Botnet heraus. Massenhaft prasselten winzige Datenpakete auf die Dyn-Server ein - bis zentrale Bestandteile des Netzes unter der Last zusammenbrachen und damit etliche Kunden von Dyn nicht oder nur schlecht erreichbar waren. Andrew Sullivan, Mitglied des Vorstands bei Dyn, auf einer Konferenz:
"Was wirklich ungewöhnlich war: Wir wurden auf einer eher unüblichen Ebene des Netzes angegriffen. Auch die Zahl der Rechner, die uns angriffen, war nicht so immens groß. Aber sie griffen alle die gleiche Komponente an. Da kann man sich leicht vorstellen, wie schnell die Dinge außer Kontrolle gerieten."
Außergewöhnliche Angriffe
Mit beiden Vorfällen beschäftigte sich hierzulande vor allem die Fachpresse. Dabei waren beide außergewöhnlich. Denn die Datenpakete kamen von Geräten des sogenannten "Internets der Dinge". Dieses "Internet der Dinge" bilden Geräte und Gegenstände, die über das Internet miteinander verbunden sind und interagieren. Das können Ampeln, Autos, Heizungen, Haushaltsgeräte oder ganze Fabriken sein. Bei den beschriebenen Angriffen wurden unter anderem Webcams, Internetrouter, digitale Fernsehgeräte und Videorekorder übernommen und missbraucht.
Ende November 2016 erfuhren über 900.000 Kunden der Deutschen Telekom, was es heißt, wenn ein Netzwerk unter einem Angriff zusammenbricht. Sie waren offline, teilweise für Tage. Internet, Telefon, Fernseher – nichts ging mehr.
"15:30 Uhr am Sonntag verzeichnete unser Netzwerk Management Center vermehrt Ausfälle von Routern unserer Kunden."
Berichtet Telekom-Geschäftsführer Tim Höttges drei Tage nach dem Beginn des Vorfalls auf einer IT-Sicherheits-Konferenz. Was er da noch nicht ahnt: Die Telekom und ihre Kunden waren gar nicht das Ziel des Angriffs, sie wurden bloß in Mitleidenschaft gezogen.
"Meine Damen und Herren, die Bilanz der vergangenen Tage lautet zusammengefasst und nach meinem jetzigen Kenntnisstand: Am Sonntagnachmittag gab es einen weltweiten Hackerangriff auf Internetrouter. Stand heute können wir sagen, dass es den Angreifern nicht gelungen ist, Router von Kunden der Deutschen Telekom mit Schadsoftware zu infizieren. Wäre der Angriff geglückt, hätte der Angreifer auf einen Schlag die Kontrolle über mehrere Millionen Router gehabt."
Angriff über eine lang bekannte Sicherheitslücke
Eigentlich wollten die noch unbekannten Angreifer ein paar Millionen Internetrouter kapern und anschließend in ein Botnet einspeisen. Dazu bedienten sie sich einer lang bekannten Sicherheitslücke. Zum Glück waren die Telekom-Router gegen die Lücke an sich immun. Doch weil das Netz den Ansturm von Datenpaketen zuließ, gingen die Telekom-Router der Kunden in die Knie.
Drei heftige Ereignisse in weniger als drei Monaten. Angriff eins war lästig, Angriff zwei schon dramatischer. Und der dritte Vorfall hat fast einer Million Nutzern vor Augen geführt, was es heißt, länger offline zu sein. Die deutsche Regierung hatte damit nicht gerechnet.
"Die Größenordnung hat uns überrascht, was nicht bedeutet, dass das technisch nicht möglich ist, aber dass das in dieser Größenordnung hier bei uns passiert, hat uns schon ein bisschen überrascht."
Klaus Vitt, Staatssekretär im Bundesinnenministerium und Beauftragter der Bundesregierung für Informationstechnik.
"Was uns auch etwas überrascht hat, dass man so eine Art von Endgeräten in der Größe oder Menge missbraucht, die sind ja missbraucht worden, da hat man erkannt, wie groß das Potenzial ist für die Angreifer, eine Menge Endgeräte zu missbrauchen, um daraus einen entsprechenden Angriff zu starten."
Nur sehr eingeschränkte Sicherheitsgarantien
Doch was dagegen tun? Das Internet der Dinge steht noch am Anfang. Seine Verbreitung wird sich jedoch nicht aufhalten lassen. Damit vervielfacht sich die Angriffsfläche für diejenigen, die Schaden stiften wollen. Denn aktuell ist es um die Sicherheit im Internet eher schlecht bestellt, erklärt Linus Neumann. Der Hacker analysiert im Auftrag von Firmen deren IT-Systeme und ist ein Sachverständiger des Bundestags für IT-Sicherheit. Außerdem ist Linus Neumann einer der Sprecher des Chaos Computer Clubs CCC.
"Die gesamte erste Idee der IT-Sicherheit, in vernünftiger Qualität Sachen zu liefern und zweitens die Qualität regelmäßig anzupassen und nachzubessern - beides funktioniert bei diesen Internet-Of-Things-Geräten nur sehr eingeschränkt. Und das ist der Grund, warum die uns gerade die ganze Zeit um die Ohren fliegen."
Doch gerade weil die Entwicklung noch in einem vergleichsweise frühen Stadium ist, lässt sie sich in Teilen noch steuern. Arne Schönbohm, Präsident des deutschen Bundesamts für die Sicherheit in der Informationstechnik, BSI:
"Ich glaube, jetzt haben wir hier die großartige Chance, dass andere, ich sag mal, darauf vielleicht auch sensibler reagieren und das Thema der Informationssicherheit noch ernster nehmen."
Dafür sei es höchste Zeit, sagt Telekom-Chef Höttges.
"Bislang haben Cyberangriffe in erster Linie finanzielle Schäden verursacht. Sie haben aber das Potenzial, auch immensen physischen Schaden anzurichten, wenn sie sich zum Beispiel gegen kritische Infrastrukturen wie Energie oder Wasserversorgung oder Verkehrsleitsysteme richten. Sie können wie jede andere Terrorattacke auch Katastrophen verursachen und haben sogar das Potenzial, Staaten oder Gesellschaften zu destabilisieren.
Gleichzeitig können wir es uns nicht leisten, dass die Digitalisierung aufgrund von befürchteten und tatsächlichen Sicherheitsrisiken zum Stillstand käme."
Hard- und Softwarehersteller sind gefordert
Im Normalfall ist IT-Sicherheit für Unternehmen teuer und für Anwender lästig. Nun sind die Dinge im Netz außer Kontrolle geraten. Linus Neumann erklärt, dafür seien auch die Software- und Hardware-Hersteller verantwortlich.
"Die Geräte werden auf den Markt geworfen, ohne sich prinzipiell darüber Gedanken zu machen, wie sie abzusichern sind. Und vor allem sehen wir bei den großen Botnetzen heute, dass die Geräte nicht nur nicht gesichert sind, sondern eben auch, dass sie auch tausendfach auf die gleiche Weise nicht gesichert sind. Das macht Angreifern natürlich die ganze Arbeit sehr, sehr einfach, sich sehr schnell sehr vieler Geräte zu bemächtigen."
Innen-Staatssekretär Vitt wagt eine düstere Prognose.
"Ich gehe davon aus, dass das zunehmen wird, weil das jetzt einmal funktioniert hat."
Nach den Vorfällen in den USA und bei der Telekom wurden vermehrt Rufe nach der Politik laut. Doch Vitt deutet an, staatlich seien IT-Sicherheitsvorfälle nicht zu verhindern. Der Staat sei bloß für Rahmenbedingungen zuständig.
"Das IT-Sicherheitsgesetz ist beispielsweise so eine Rahmenbedingung, wo für Betreiber kritischer Infrastrukturen Mindeststandards definiert werden für IT-Sicherheit und eine Meldepflicht eingeführt wurde für gravierende Cybersicherheitsvorfälle."
Kritische Infrastrukturen sind Einrichtungen, deren Ausfall die öffentliche Sicherheit empfindlich stören würden, zum Beispiel Energie- und Wasserversorger oder Telekommunikationsanbieter. Bis zum Inkrafttreten des IT-Sicherheitsgesetzes im Mai 2016 hätten solche Unternehmen noch nicht einmal Bescheid geben müssen, wenn sie gehackt wurden.
Auch der Nutzer ist gefordert
Doch wer trägt die Verantwortung, wenn die Software nicht auf dem aktuellen Stand ist? Wenn Geräte gekapert werden können? Welche Schuld trifft den Anwender? Welche den Hersteller? Und wie viel Verantwortung hat derjenige Anbieter, der seinen Kunden Endgeräte wie Router vermietet?
Bundesinnenminister Thomas de Maizière sieht durchaus eine Verantwortung beim Nutzer selbst. Auch BSI-Präsident Arne Schönbohm erinnert den Anwender an seine Verantwortung.
"Im Netz verhalten sich teilweise Nutzer nach dem Motto: Egal, was ich für einen Quatsch mache, und wenn der Prinz aus Zamunda mir 30 Millionen Dollar verspricht, dann klicke ich da mal drauf oder gebe meine Kontaktdaten ein. Ich glaube, da hat man schon eine bestimmte Verantwortung, auch wachsam, aufmerksam durch das Netz zu gehen und sich auch dementsprechend zu verhalten. Vielleicht auch mal die Passwörter zu verändern, wenn man sich eine neue Videoüberwachungsanlage über IP einrichtet. Oder die Einstellungen an dem Fernseher, an dem Smart-TV."
Linus Neumann vom CCC dagegen nimmt den Anwender eher in Schutz. Klar müsse man Passwörter gut wählen und regelmäßig erneuern. Aber:
"Hunderttausend Kunden, die eine IP-Kamera gekauft haben, sind jetzt auf einmal schuld. Nein, schuld ist der Hersteller, der diesen Schrott den Kunden verkauft hat."
Etliche Geräte bekommen in ihrem gesamten Produktleben ein, manchmal zwei, oft genug aber auch gar keine Updates; hierfür sei nicht der Nutzer verantwortlich, so Linus Neumann.
"Das ist in der Verantwortung der Unternehmen, die Millionen und Milliarden damit verdienen, uns diesen Scheiß zu verkaufen. Und da kann ich als Anwender durchaus den Anspruch haben, dass diese Geräte einer Nachsorge unterliegen und dass diese Geräte in einer halbwegs vernünftigen Qualität geliefert werden. Es kann in meiner Verantwortung nur liegen, die Updates einzuspielen, die der Anbieter mir dafür zur Verfügung stellt."
Mehr Sicherheit durch verantwortungsvolle Aufdeckung
Sicherheitslücken in der Software sind Einfallstore für Angriffe. Darum die Updates, um sie zu schließen. Doch manchen Herstellern sind Updates zu aufwendig, zu teuer. Eine Möglichkeit, sie zum Handeln zu zwingen, wäre die Veröffentlichung der Sicherheitslücken.
Viele IT-Unternehmen ermuntern Sicherheitsforscher aktiv, in ihren Produkten nach Lücken zu suchen. Wird einer fündig, zahlt das Unternehmen eine Prämie. Dafür schweigt der Finder, bis die Sicherheitslücke geschlossen ist. Meist machen beide – Unternehmen und Forscher – den Fall im Anschluss publik. Das Vorgehen nennt sich in Fachkreisen: Responsible Disclosure, verantwortungsvolle Aufdeckung. Auch der CCC geht so vor.
"Gängige Praxis ist, man informiert den Hersteller und sagt, ich gebe dir jetzt sechs Monate Zeit, und wenn du es gefixt hast oder nicht, nach sechs Monaten mache ich es bekannt. Dann hast du entweder die schlechte Presse und die Probleme - oder du kannst sagen, wunderbar, wir nutzen diesen Rückenwind, um das Update zu pushen, um möglichst unsere Kunden auch aus dem Risiko herauszunehmen, dem wir sie ausgesetzt haben. Und da kann man als Softwarehersteller mitspielen - oder eben nicht."
Dieses Vorgehen gesetzlich vorzuschreiben, wird in IT-Kreisen schon seit Langem gefordert. Bislang erfolglos.
Im Fall der Telekom wusste man schon seit mehr als zwei Jahren um die Sicherheitslücken. Und der Konzern wusste auch um die Gefahr für sein Netz. Doch erst als das und die Router großräumig zusammenbrachen, handelte das Unternehmen.
"Manchmal ist es halt so, dass bestimmte Lücken auch geschlossen werden, wenn ein bestimmter Druck auch erst tatsächlich da ist."
Meint BSI-Präsident Arne Schönbohm. Eine staatliche Regelung könnte für mehr Druck sorgen. Aber das können sich weder das Bundesamt noch das Innenministerium vorstellen.
"Weil bei der Veröffentlichung von Sicherheitslücken, auch wenn man eine Lösung hätte, ist ja die Frage, wenn es einen Endverbraucher trifft oder ein Unternehmen, wie schnell schließt dieses Unternehmen oder der Bürger diese Lücke, und solange er die Lösung nicht implementiert hat, besteht eine erhöhte Gefahr. Also von daher, Abwägung von Chancen und Risiken, kann ich mir das nicht vorstellen, dass wir das veröffentlichen."
Sagt Staatssekretär Klaus Vitt. Doch hinter der Zurückhaltung vermutet Linus Neumann vom Chaos Computer Club auch eigene Interessen des Staates. Schließlich müsse auch die Strafverfolgung Wege finden, um Spionage-Software wie den Bundestrojaner auf dem Rechner eines Verdächtigen zu platzieren.
"Der Staat hat einen inhärenten Anreiz, hochkritische Sicherheitslücken vielleicht doch nicht zu fixen, weil man könnte sie ja auch noch irgendwie selber gebrauchen und nutzen, aber ignoriert natürlich an dieser Stelle das Risiko, dass andere diese Sicherheitslücken genauso nutzen können."
Das Innenministerium weist das klar zurück. Man habe kein Interesse daran, Sicherheitslücken zu verheimlichen, sagt Innen-Staatsekretär Vitt:
"Als Erstes ist unser Interesse, Bürger und Unternehmen zu schützen, das bedeutet, dass die Sicherheitslücken so schnell wie möglich geschlossen werden. Und dass wir unter bestimmten Auflagen entsprechende Vorkehrungen treffen wollen, um zum Beispiel Kommunikationsverhalten von Organisationen, wo eine Grundlage da ist, dass man die überwacht. Dafür werden wir keine Backdoors einbauen.
Wenn es dann Sicherheitslücken gibt, die bekannt sind, dann kann es sein, dass man sie nutzt, aber das ist nicht im Vordergrund, sondern im Vordergrund steht bei uns, dass wir die Lücken schließen."
Auch die EU-Kommission grübelt derzeit über Sicherheitslücken nach. Eine Richtlinie zu "Digitalen Inhalten" sei in Arbeit, erklärt das Bundesjustizministerium: Im Gespräch sei etwa, ob und wie lange Kunden einen Anspruch auf Sicherheits-Updates hätten.
Außerdem würde diskutiert, ...
"...ob es sachgerecht ist, diese Beweislastumkehr für den Verkauf digitaler Inhalte zu verlängern."
Dann müsste der Hersteller im Schadensfall dem Anwender auch nach sechs Monaten noch nachweisen, dass dieser seine Sicherheits-Pflichten vernachlässigt habe. Bisher muss der Kunde beweisen, dass ein technischer Mangel von Anfang an bestanden hat – für Verbraucher nahezu unmöglich.
Streit um Haftungspflicht für Hard- und Software
Eine weitere Stellschraube für mehr IT-Sicherheit wäre eine Haftungspflicht für die Hersteller von Hard- und Software. Linus Neumann vom CCC meint, im Moment müssten die Hersteller nicht viel befürchten.
"Es gibt eine Weisheit, die besagt, dass es eigentlich nur zwei Produkte gibt, die man ohne Haftung verkaufen kann - und das sind einerseits Drogen und andererseits Software."
Ganz so sei das nicht, meint das Bundesjustizministerium.
"Das deutsche Zivilrecht sieht bereits heute eine Haftung für Schäden vor, die aufgrund von mangel- bzw. fehlerhafter Soft- und Hardware entstanden sind."
So haftet ein Hersteller, wenn durch einen Fehler in Hard- oder Software Schäden an Leib und Leben verursacht werden. Bei der Produkthaftung aber ist die Frage, wer die Misere zu verantworten hat. Und hier wird es kniffelig. Staatssekretär Vitt.
"Wer übernimmt die Produkthaftung, ist es der eigentliche Produkthersteller, ist das die Firma, das Unternehmen, was dem Endkunden das Produkt verkauft - mit einem Versprechen vielleicht? Ist eine Software da drauf, die regelmäßig auf den aktuellen Stand gebracht werden muss? Das sind alles Fragestellungen, die wird man nicht so schnell und einfach beantworten können."
Vitt räumt aber ein, bei aller Kompliziertheit sei Produkthaftung eine Möglichkeit, um die Sicherheit von IT-Produkten zu erhöhen.
Das Bundesamt für die Sicherheit in der Informationstechnik, Vitts Ministerium unterstellt, kann dem Gedanken an mehr Haftung für Produzenten durchaus etwas abgewinnen. BSI-Präsident Schönbohm:
"Je abhängiger wir werden von dem Thema der IT, je mehr Infrastrukturen darüber laufen - automatisiertes Fahren -, umso wichtiger ist es natürlich auch, dass ich Konsequenzen für mein Tun oder Nichthandeln übernehme. Haftung ist immer eines der Themen, die kosten Geld, und von daher versucht man die Haftung, weil das Geld kostet, auch möglichst gering zu halten - und erhöht dann vielleicht dafür die Sicherheit."
Mit dem Gütesiegel zu mehr Sicherheit
Eine Idee vertreten sowohl das Innenministerium wie auch sein Bundesamt: eine Kennzeichnung für den Sicherheitsstandard von Software und Hardware. Klaus Vitt erklärt:
"Wir denken darüber nach, vielleicht ein Gütesiegel einzuführen für IT-Produkte, gerade für den Privatkundenbereich. Gütesiegel würde bedeuten, dass dieses Produkt nach gewissen Kriterien einen gewissen Standard an IT-Sicherheit hat."
Ein solches Siegel wäre nicht verpflichtend. Erst wenn sich genug Hersteller entschließen, sich begutachten zu lassen, würde Druck aufgebaut, dass auch die anderen nachziehen. Man hofft, ein solches Gütesiegel würde zum Marketing-Instrument.
Gütesiegel und Produkthaftung sind Vorboten künftiger staatlicher Regulierung: Die IT-Branche fürchtet noch tiefere Eingriffe, sollten Vorfälle wie in den USA und in Deutschland zunehmen: Etwa staatlich angeordnete, umfangreiche Sicherheitsüberprüfungen. Darum warnte Dyn-Vorstandsmitglied Sullivan jüngst auf einer Konferenz von Internet-Ingenieuren:
"Die Angriffe gingen gegen empfindliche Kernbestandteile des Internets. Ich denke, das könnte zu einer ganzen Reihe von Regulierungen ermutigen. Bevor es dazu kommt, sollten wir selbst etwas unternehmen. Und zwar deshalb, weil wir die Technologie verstehen und auch, was die Probleme sind. Wir sollten nicht warten, bis jemand kommt und das für uns erledigt."
