Es war gerade sieben Uhr morgens an der US-Ostküste, als losbricht, was Kyle York, Chefstratege des US-Internetdienstleisters Dyn, später als „einen in seiner Art historischen Angriff“ bezeichnet. Binnen Minuten steigt die Last auf den Servern des amerikanischen Onlineunternehmens dramatisch an – bis die Computer von Dyn schließlich unter dem millionenfachen Bombardement fast zeitgleich eintreffender Aufrufe aus dem Netz den Dienst quittieren. Dyn wird Opfer eines gezielten Hackerangriffs, einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS).
Die Folgen bekommen am Freitag vergangener Woche Millionen von US-Bürgern und die Webmaster prominenter Onlinekonzerne zu spüren. Über Stunden sind die Webangebote von Amazon, Spotify, Twitter oder Netflix und vieler anderer Unternehmen kaum erreichbar. Schwerpunkte der Angriffe sind die Industrieregion im Nordosten der USA und die Hightechzentren an der Westküste. Aber auch im Großraum London, in Europa und in Asien kommt es zu Störungen.
Es ist, zeigen die Analysen, eine der heftigsten Attacken, die das Netz bisher erlebt hat. Und eine der geschicktesten. Denn Dyn übernimmt die Adressverwaltung für Internetangebote seiner Kunden und leitet, wenn Webnutzer deren Internetseiten aufrufen, die Anfragen auf die richtigen Server um. Statt also Amazon und Co. einzeln angreifen zu müssen, legten die Hintermänner des Angriffs die Netzriesen sozusagen „über Bande“ lahm.
Große Hackerangriffe der letzten Jahre
Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugang zu Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Die Handelsplattform leitete einen groß angelegten Passwort-Wechsel ein.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers machte Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen, die Verkäufe von Target sackten nach Bekanntgabe im Dezember 2013 ab, weil Kunden die Läden mieden.
Beim Angriff auf die amerikanischen Baumarkt-Kette gelangten Kreditkarten-Daten von 56 Millionen Kunden in die Hand unbekannter Hacker, wie im September 2014 mitgeteilt wurde. Später räumte Home Depot ein, dass auch über 50 Millionen E-Mail-Adressen betroffen waren.
Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die US-Großbank die E-Mail- und Postadressen von 76 Millionen Haushalten und 7 Millionen Unternehmen.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurde die E-Mail-Korrespondenz aus mehreren Jahren erbeutet, die Veröffentlichung vertraulicher Nachrichten sorgte für höchst unangenehme Momente für mehrere Hollywood-Player.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, waren die Enthüllungen für viele Kunden schockierend.
Der Spezialist für Lernspielzeug räumte den Hacker-Angriff im November 2015 ein. Später wurde bekannt, dass fast 6,4 Millionen Kinder-Profile mit Namen und Geburtsdatum betroffen waren, davon gut 500.000 in Deutschland.
Doch viel mehr als Taktik und Vehemenz, mit der die Angreifer die Systeme lahmlegen, ist es der Ausgangspunkt ihrer Attacken, der Sicherheitsexperten in Alarmzustand versetzt: Was die jüngste aus der Masse früherer Cyberangriffe heraushebt, ist, dass sie ihren Ursprung zu großen Teilen im Internet der Dinge nahm. Jenem explosionsartig wachsenden Segment des Netzes, das nicht aus Computern oder Servern besteht, sondern aus der Flut vernetzter Maschinen – Überwachungskameras, Videokonferenzsysteme, smarte Fernseher oder Autos mit Internetzugang. Alles Technik, die bisher nicht im Verdacht stand, als Werkzeug für Hacker zu dienen.
Die gekaperten Geräte, das ist inzwischen klar, waren von einem digitalen Schädling namens Mirai kontrolliert, der speziell für Angriffe aus dem Internet der Dinge konzipiert ist. Mehr noch: Der Quellcode des Schädlings, der die Geräte infiziert hat, kursiert seit Kurzem im Netz.
Und er wird wohl eifrig genutzt. Tatsächlich summierte sich das Trommelfeuer aus Daten, das auf den Dyn-Rechnern auflief, auf zeitweise deutlich mehr als ein Terabit pro Sekunde. Das ist immerhin rund ein Prozent des gesamten weltweiten Datenverkehrs. Eine solche Datenmenge legt nicht nur Internetanbieter lahm. Sie hätte locker ausgereicht, um den Webzugang ganzer Länder wie etwa Staaten in Afrika oder Zentralasien komplett zu blockieren.
„Jemand hat ein Netz entwickelt, mit Fähigkeiten, die wir nie zuvor gesehen haben“, beurteilt der Experte Martin McKeay vom Internetspezialisten Akamai die Cyberattacke. Sicherheitsexperten sehen darin schon die Vorboten eines neuen Krieges im Internet. Sie fürchten, ein ähnlicher Angriff könne am Tag der US-Präsidentschaftswahl die in einigen Bundesstaaten mögliche elektronische Stimmabgabe im Netz blockieren. Es wäre Wasser auf die Mühlen der Verschwörungstheoretiker rund um Donald Trump.
"Internet of Threats" oder Internet of Things?
Doch egal, ob Cyberkrieger oder Cyberkriminelle dahinterstecken, „wir werden in der Zukunft immer mehr solche Attacken sehen“, warnt Oded Vanunu vom Anbieter für Sicherheitssoftware Check Point. Eugene Kaspersky, Chef des russischen IT-Sicherheitsspezialisten Kaspersky Lab, definiert „IoT“, die englische Übersetzung fürs Internet der Dinge, inzwischen neu: Das „Internet of Things“ sei nun ein „Internet of Threats“ – das „Internet der Gefahren“.
Wer das als Werbespruch notorisch dramatisierender Anbieter von Virenschutzprogrammen abtut, liegt falsch. Denn vor allem eines macht die von Kameras, Internetroutern fürs Heimnetzwerk, digitalen Videorekordern und unzähligen anderen Maschinen mit Internetverbindung lancierten Attacken so gefährlich. Viele der Geräte sind völlig ungesichert, weil sich die Hersteller der Technik bis dato erschreckend wenig Gedanken gemacht haben, dass und wie sie ihre Systeme schützen müssten.
Früher wurden Computer für DDoS-Attacken genutzt
So fällt es Angreifern sträflich leicht, sie zu kapern. „Bei Tests stoßen wir immer wieder auf Millionen unzureichend gesicherte Geräte aus dem Internet der Dinge“, klagt Markus Robin, Geschäftsführer des IT-Sicherheitsexperten SEC Consult aus Berlin und Wien. „Ihre Zahl steigt dramatisch an.“ Und damit die Wucht möglicher Angriffe, die Hacker mit ihrer Hilfe ausführen können.
In der Vergangenheit liefen die meist nur über normale Computer. Hacker infizieren sie aus der Ferne mit Schadsoftware und schalten sie zu sogenannten Botnetzen zusammen. Diese verschicken dann millionenfach Spammails, ohne dass die Besitzer der Rechner davon etwas mitbekommen. Oder aber die Zombiecomputer rufen zeitgleich in so großer Zahl und so ausdauernd Webseiten von Behörden oder Firmen auf, bis die Server den Dienst quittieren. So schien das zunächst auch bei Dyn. Doch die Analyse der Datenströme ergab, dass ein Großteil der Seitenaufrufe, die die Server lahmlegten, aus dem Internet der Dinge kam. Das, so York, sei eine bislang ungekannte Qualität elektronischer Aggression.
Über den Zweck der Attacke rätseln die Experten noch. Sie dauerte nur wenige Stunden und richtete – abgesehen vom Ärger – keine dauerhaften Schäden an. Der US-Cybercrime-Experte Brian Krebs berichtet von Drohschreiben mit Bezug auf Mirai, die vor dem Angriff auf Dyn bei mehreren Betreibern von Webseiten eingegangen seien, verbunden mit der Forderung, größere Beträge der Cyberwährung Bitcoin zu zahlen.
Krebs weiß, wovon er spricht. Ende September wurde der Onlineauftritt des Webexperten selbst Ziel einer der bis dato größten DDoS-Attacken. Und auch da zeigte die Analyse der Datenflut, dass große Teile davon aus dem Mirai-Botnetz stammten.
Bruce Schneier, IT-Sicherheitsspezialist vom Berkman Center for Internet & Society an der Harvard Law School, befürchtet, dass das nur das Vorspiel für einen weit größeren Cyberangriff war. „Es sieht aus, als ob das militärische Cyberkommando eines Staates sein Waffenarsenal für den Fall eines Cyberkrieges kalibriert“, sagt Schneier. „Jemand testet die Verteidigungsmöglichkeiten von Unternehmen, die kritische Infrastrukturen fürs Internet zur Verfügung stellen.“ Den Beweis, dass sie in der Lage wären, ganze Nationen vom Netz abzuschneiden, haben die unbekannten Angreifer jedenfalls erbracht.
"Firmen haben noch mehr schlampig gesicherte Geräte verkauft"
Doch selbst wenn es im neuen kalten Cyberkrieg bei Drohgebärden und Übungsmanövern bleibt, drohen weitere Attacken. „Ich fürchte, bald werden sich viele Nutzer über langsame Onlineverbindungen beschweren, wenn gehackte Geräte die Bandbreite kapern“, ahnt Krebs.
Denn gerade bei vernetzter Alltagstechnik schlampen die Hersteller oft mit der Sicherheit. Viele bieten etwa für Smart-Home-Geräte – im Gegensatz zu Computern – gar keine Updates an, um Sicherheitslücken zu schließen. Und falls doch, installieren die Verbraucher sie kaum. Mehr noch, sie behalten Standardeinstellungen der Geräte bei und ändern nicht einmal voreingestellte Passwörter.
Dabei müssten „für Kameras, Lampen und alle anderen Geräte, die am Netz hängen, die gleichen Schutz- und Updatemechanismen gelten wie für PCs“, fordert Markus Schaffrin, der beim deutschen Verband der Internetwirtschaft Eco für Sicherheitsthemen zuständig ist. So weit ist es noch lange nicht, belegen Studien von SEC Consult. Bei 4,5 Millionen übers Netz erreichbaren elektronischen Geräten zahlreicher Anbieter haben Forscher von SEC Consult sowie der University of Michigan und der University of Illinois erst jüngst wieder gravierende Sicherheitslücken entdeckt.
Statt bei vermeintlich geschützten Verbindungen in jedem Gerät eigene Cryptoschlüssel zu nutzen, haben die Hersteller teils in ganze Geräteserien identische Schlüsselpaare eingebaut. Das hat brisante Folgen: Hacker, die den Code aus dem Betriebssystem eines Geräts ausgelesen haben, können schlagartig Datenübertragungen aller gleichartigen Modelle decodieren, da sie dieselben Schlüssel nutzen. Die Spanne der Hersteller reicht von Cisco über D-Link und Huawei bis zu Seagate und Zyxel.
„Schon bei Tests im November 2015 hatten wir in 3,2 Millionen Fällen unzulänglich gesicherte Technik entdeckt“, so SEC-Geschäftsführer Markus Robin. „Doch statt sie besser zu schützen, haben die Firmen noch mehr schlampig gesicherte Geräte verkauft.“ Die Zahl mangelhaft geschützter Systeme wuchs in neun Monaten um gut 40 Prozent. Inzwischen – immerhin – reagieren erste Anbieter.
Cisco etwa hat für zwei neuere Geräte Softwareupdates veröffentlicht. Ansonsten allerdings rät das Unternehmen bei älterer Technik zum Austausch. Auch D-Link hat erste Updates publiziert oder will weitere – speziell für ältere Geräte – noch bereitstellen.
Aus Sicht von SEC-Spezialist Robin aber reichen einzelne Updates nicht aus. Er fordert, ein grundsätzliches Umdenken der Branche. „Hier kann nur öffentlicher Druck die Hersteller auf breiter Front zum Einbau sicherer Schlüssel zwingen“, so Robin. Das mag ein Anfang sein. Doch bis es so weit ist, werden der Dyn-Attacke noch zahlreiche weitere folgen.