Anzeige

Regeln nach dem Telekom-Hack

Der Preis der Sicherheit

Von Constanze Kurz und Frank Rieger
 - 12:12
Was, wenn miteinander vernetzte Kleincomputer fremdgesteuert gemeinsam operieren? Bild: Reporters/face to face, F.A.S.

Montag Morgen kurz vor neun in Deutschland: Eine ungewohnte Stille liegt über den Büros. Kein Telefon klingelt, keine Beeps verkünden den Eingang von E-Mails, in den Postfächern ungewohnte Ebbe. Nur in den Büros der System-Administratoren herrscht verschwitzte Hektik. Websites sind unerreichbar, Telefone verlieren die Netzverbindung.

Anzeige

Die kleinen Kisten, die sonst die Verbindung zum Internet herstellen, sind tot. Millionenfach verweigern sie den Dienst, die Hotlines der Anbieter sind unerreichbar. Im Radio versuchen Behördenvertreter und die Pressesprecher der Netzanbieter die leichte Panik in der Stimme zu unterdrücken, während sie unverständliche Verlautbarungen zu „großflächigen Störungen“ von sich geben. Man möge sich gedulden, man arbeite an einer Lösung, die Lage sei noch etwas unübersichtlich. Aber die Spezialexperten in Konzernen und Regierung würden an der Behebung arbeiten, bald sei alles wieder normal.

Doch auch nach Tagen kehrt keine Normalität ein. Die Kisten lassen sich nicht wieder zum Leben erwecken oder nur mit umständlichen Prozeduren, die nur eingefleischte Techniker verstehen. Neue Internet-Router sind längst ausverkauft. Und selbst wenn man noch eine der heißbegehrten Kisten ergattern konnte: Nach nur wenigen Minuten am Kabel sind auch sie wieder tot. Lahmgelegt von einer sich selbst verbreitenden Schadsoftware, die Schwachstellen in der Software der unscheinbaren Kisten ausnutzt.

Wer nun denkt, das sei schon schlimm, der hat nicht bedacht, dass über den bloßen Ausfall der Geräte hinaus auch von den übernommenen vernetzten Kleincomputern Angriffe ausgehen könnten, dass sie sich unter fremder Kontrolle zusammentun könnten, um andere Systeme zu sabotieren, zu infizieren oder einfach das Licht auszumachen.

Anzeige

Diese Woche ist Deutschland knapp an einer digitalen Katastrophe von apokalyptischen Dimensionen vorbeigeschrammt. Wenn nur vier Prozent der Telekom-Kunden betroffen waren, kostet das zwar reichlich Zeit, Geld und Nerven. Der Schreck ist aber bald ausgestanden, zumal die Telekom die Neuinfektion eindämmen konnte.

Doch andere Geräte stehen weiterhin als Zeitbomben in unseren Wohnungen und Büros herum, der Großteil hat vergleichbare Interfaces, mit denen sie über die Netze angegriffen werden könnten. Sie können umfunktioniert werden in eine willige digitale Truppe, die fremden Befehlen folgen. Und an Landesgrenzen werden sich Angreifer nicht orientieren.

Eins steht nach der turbulenten Woche mit Hunderttausenden Betroffenen fest: Niemand will daran schuld gewesen sein. Nicht die netzlosen Kunden, deren Geräte verrückt spielten; nicht der Router-Hersteller; nicht die Telekom; niemand aus der Politik. Die Russen wurden überraschenderweise diesmal auch nicht beschuldigt. Als wäre es ein Naturgesetz, als kämen die Angriffe aus dem Nichts.

Was haben die Besitzer überhaupt gemerkt?

Die Situation war weder unvorhersehbar noch unvermeidbar. Es gab auch Warnungen. Die ausgenutzten Schwächen waren lange bekannt, auch prophylaktische Gegenmaßnahmen. Vergleichbare Angriffe gegen „Internet of Things“-Geräte gab es in den letzten Monaten immer weitgreifender – nur dass nicht Router, sondern massenweise Überwachungskameras oder Festplatten-Videorekorder mit Internetverbindung automatisch übernommen wurden. Ob die Besitzer das überhaupt mitbekommen haben oder die Geräte noch schlummernd auf ihren Einsatz warten, steht auf einem anderen Blatt.

Es lief noch mal glimpflich ab, doch wir können der Diskussion nicht ausweichen, wem welche Versäumnisse anzulasten und welche Schlüsse zu ziehen sind. Dass niemand Verantwortung für die Misere übernehmen muss, darf nicht zum Dauerzustand werden.

Denn die kleinen Router sind nur eine Kategorie internetangebundener Geräte, von denen unser vernetztes Leben abhängt. Hergestellt werden sie von einer Handvoll kleiner Firmen, meist in China oder Taiwan. Auch wenn auf dem Gehäuse das Logo von Vodafone oder Telekom prangt, die Netzkonzerne kaufen alle bei den gleichen Herstellern. Sie spezifizieren die Funktionen der Software und passen vielleicht das Nutzerinterface ihren Vorstellungen an. Aber nur in den seltensten Fällen haben sie tatsächliche Kontrolle über den Quelltext der Software, die darauf läuft.

Entsprechend dauert die Fehlerdiagnose und die Fehlerbehebung lange, die Updates sind selten. Dabei spielt auch eine Rolle, dass jedes Mal, wenn ein Software-Update millionenfach ausgerollt wird, ein bis zwei Prozent der Geräte danach funktionsunfähig sind: Der Preisdruck zwingt die Hersteller zur Verwendung der billigsten Speicher-Komponenten.

Die für Einkauf und Management der Beziehungen zu den Router-Herstellern zuständigen Mitarbeiter der Netzanbieter haben zwei Prioritäten, an denen sie festhalten: niedriger Preis und möglichst großer Funktionsumfang. Bessere Sicherheit hingegen führt nicht zum höheren Jahresendbonus – mehr Umsatz und höhere Gewinnmargen aber schon.

Hier liegt auch der Schlüssel zur Lösung: Man muss dringend eine geschlossene Kette für Haftung und Verantwortlichkeit durchsetzen. Der aktuelle Stand der Technik, die tatsächliche Umsetzung der derzeit verfügbaren Sicherheitsmaßnahmen muss verpflichtend werden. Die einzigen, die dazu technisch in der Lage wären, sind die Hersteller und die Netzbetreiber, die die Geräte vermarkten.

Im ersten Schritte wäre daher eine verpflichtende Angabe nötig, in welchem Zeitraum und mit welcher Aktualität Sicherheitsupdates garantiert zur Verfügung gestellt und ausgespielt werden – für alle Klassen von vernetzten Geräten. Was der gerade aktuelle Stand der Technik ist, müssen Wissenschaft, Sicherheitsforscher, Industrie und Staat kollaborativ und dynamisch untereinander definieren. Die zuständigen Behörden können dabei nur die Rolle des Moderators übernehmen. Derzeit sind wieder Ideen von zertifizierten Geräten im Umlauf, das geht aber an der Dynamik der Technikentwicklung vorbei: Die Branchenbesten liefern Sicherheitsupdates alle zwei Wochen, keine Zertifizierungsbehörde könnte dabei mithalten.

Strenge Strafen für Schlamperei

Im zweiten Schritt wären Haftungsregeln zu etablieren, die für starke ökonomische Anreize sorgen, keine Geräte mehr auszuliefern, die nicht auf dem aktuellen Stand der IT-Sicherheit sind. Solange niemand um seinen Bonus fürchten muss, solange kein Konzern strenge Strafen für Schlamperei riskiert, solange über die globalen Warenströme jede Woche Hunderttausende Internetgadgets ohne belastbare Sicherheitsverantwortungskette in die Netze gelangen, wird sich an der Situation nichts ändern.

Im dritten Schritt sollte man nach Sicherheitskriterien entwickelte, geprüfte und gepflegte Open-Source-Software konsequent und auch finanziell fördern. Durch frei verfügbare offene Software-Komponenten, die fortlaufend Sicherheitsupdates erhalten und auf Schwachstellen geprüft werden, werden auch kleine Hersteller weiter in der Lage sein, sicher am Markt teilzunehmen.

Praktisch heißt das, die Politik muss auch gegen kurzfristige Wünsche aus der Wirtschaft arbeiten, um gezielte Anreize zu setzen. Damit tut sich die Politik erwiesenermaßen schwer. Die IT-Sicherheit zu erhöhen, ist jedoch ein so bedeutsames Ziel – auch Unternehmen dürfen sich dem nicht entziehen, selbst wenn es zunächst Zeit und Geld kostet. Langfristig ist dieses Geld ohne Zweifel gut angelegt.

Schlechte Software ist volkswirtschaftlich nicht tolerierbar

Wenn die Geräte dann wegen sauber kalkulierter Sicherheitsupdates im garantierten Zeitraum teuer würden, dann moderat, aber sicher spürbar. Man kann diese Kosten aber nicht weiter auf die Allgemeinheit umlegen. Der volkswirtschaftliche Schaden durch schlechte Software und fehlende Updates ist nicht mehr tolerierbar, wenn es Botnets gibt, die innerhalb von Stunden Millionen Geräte automatisiert übernehmen.

Man stelle sich kurz vor, es wären nicht Router betroffen, sondern vernetzte Autos. Bei fahrenden Computern könnte man die Schuldfrage dann nämlich nicht einfach schulterzuckend abtun: Sicherheit wird im Straßenverkehr wie selbstverständlich erwartet. Bei allen anderen Computern ist das bei weitem nicht so.

Und das liegt an der Gefahr, die von dysfunktionalen Autos ausgeht. Auch wenn es nicht eben billig ist, haben wir uns entschieden, hier ökonomische Anreize gezielt so zu setzen, dass Gefahren möglichst präventiv verbannt werden. Aber die Gefahr durch unsichere Software auf Millionen von Geräten ist immens. Das müssen wir erkennen. Wir brauchen keine „Cyber-Nato“. Wir brauchen sondern ökonomische Anreize und rechtliche Regeln, die Sicherheit für alle über Profite stellen.

Quelle: F.A.S.
  Zur Startseite
Ähnliche ThemenDeutschlandDeutsche Telekom

Anzeige