Kommentar: Das Internet (der Dinge) darf kein rechtsfreier Raum bleiben

Das Internet der Dinge wird immer mehr zum Risiko. Ob Riesenbotnetze oder lahmgelegte Router – der Markt versagt in Sachen Sicherheit. Der Staat muss jetzt klare Regeln schaffen, findet Jürgen Schmidt.

In Pocket speichern vorlesen Druckansicht 468 Kommentare lesen
Internet der Dinge

Smarte Waschmaschine mit DDoS-Schleuder?

(Bild: dpa, Britta Pedersen/dpa)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Wenn ich ein Gerät ans Stromnetz anschließe, muss das ein CE-Zeichen tragen. Das stellt sicher, dass es nicht nachts plötzlich Feuer fängt und das ganze Haus niederbrennt. Ans Internet hingegen darf man alles anschließen, was irgendwie IP spricht. Wenn es dann nebenbei andere Systeme abschießt oder die Internet-Infrastruktur ganzer Länder lahmlegt, ist das deren Problem. Das darf nicht so bleiben.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist leitender Redakteur von heise Security und Senior Fellow Security bei heise. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Das Mirai-Botnetz hat über eine Million Zombies unter seiner Kontrolle, darunter Kameras, Videorecorder und Drucker. Die haben bereits einen renommierten Blogger aus dem Netz geschossen und wichtige Internet-Dienste lahmgelegt. Der TR-069-Wurm hat fast eine Million Telekom-Router lahmgelegt. Und das ist erst der Anfang.

Der Grund: Der Markt für das Internet der Dinge – kurz IoT – funktioniert nicht. Jedenfalls nicht, wenn es um Sicherheit geht. Die wird von allen Beteiligten nur als störend empfunden. Die Hersteller interessieren sich nicht für Sicherheit; wichtig ist ihnen nur, möglichst schnell ein funktionsfähiges und billiges Produkt auf den sich gerade entwickelnden Markt zu bringen. Wer da zu spät dran oder gar zu teuer ist, den bestraft der Markt. Also kaufen sie irgendwelche Billigkomponenten in Fernost ein, deren Technik sie oft im Detail selber nicht verstehen und bauen ein schickes Gehäuse drumherum. Security? Wen interessiert's?

Die Anwender wollen vor allem Dinge, die funktionieren. Die Glühbirne muss leuchten und der Videorekorder aufzeichnen. Was interessiert es mich, wenn mein digitaler Videorekorder nebenher noch Paypal lahmlegt oder einen missliebigen Blogger aus dem Netz schießt? Hauptsache, der nimmt das Champions-League-Spiel heute abend auf.

Anders als bei Computern, Smartphones und Tablets gibt es im IoT-Markt keine einzige Kraft, die für sicherere Geräte sorgen würde. Und wenn der Markt nicht funktioniert, muss der Staat eingreifen und reglementieren. Das tat er bereits beim Straßenverkehr und beim Stromnetz.

Die Reglementierung des Internet wird zwangsläufig kommen. Denn wir können die Schäden, die durch Amok-laufende IoT-Geräte auf uns zukommen, derzeit noch gar nicht richtig ermessen. Sicher ist: Wir reden da von mehrstelligen Millionenbeträgen und früher oder später auch von Menschenleben, die ein IoT-GAU kosten wird. Wenn wir warten, bis der eintritt, werden Politiker Handlungsfähigkeit beweisen müssen. Aber was dabei rauskommt, wollen wir alle nicht. Deshalb müssen wir jetzt aktiv werden.

Das kann ganz einfach sein: Wenn ein Gerät in Deutschland beziehungsweise Europa verkauft werden soll, das ans Internet angeschlossen werden kann, muss es wenigstens drei einfache Sicherheitsregeln einhalten:

  1. Alle externen Zugänge zum Gerät müssen dokumentiert sein.
  2. Diese Zugänge müssen spätestens im Rahmen der Installation und Inbetriebnahme gegen Unberechtigte gesichert werden; dabei dürfen keine Default-Passwörter zum Einsatz kommen.
  3. Es muss eine dokumentierte Update-Möglichkeit geben, die insbesondere Zuständigkeiten klar dokumentiert.

Mit einem solchen IoT-Security-Siegel wären wir einen ganz großen Schritt weiter. Denn wenn wir das haben, reden wir über Haftung.

Update 5.12.2016: Hersteller bringen das CE-Zeichen in Eigenregie an; eine Prüfung durch Dritte ist dazu nicht erforderlich. Deshalb wurde im Text der Begriff "Prüfzeichen" durch das korrekte (CE-)Zeichen ersetzt. An der Stichhaltigkeit der Argumentation ändert das nichts. (axk)