Doch selbst wenn es im neuen kalten Cyberkrieg bei Drohgebärden und Übungsmanövern bleibt, drohen weitere Attacken. „Ich fürchte, bald werden sich viele Nutzer über langsame Onlineverbindungen beschweren, wenn gehackte Geräte die Bandbreite kapern“, ahnt Krebs.
Denn gerade bei vernetzter Alltagstechnik schlampen die Hersteller oft mit der Sicherheit. Viele bieten etwa für Smart-Home-Geräte – im Gegensatz zu Computern – gar keine Updates an, um Sicherheitslücken zu schließen. Und falls doch, installieren die Verbraucher sie kaum. Mehr noch, sie behalten Standardeinstellungen der Geräte bei und ändern nicht einmal voreingestellte Passwörter.
Dabei müssten „für Kameras, Lampen und alle anderen Geräte, die am Netz hängen, die gleichen Schutz- und Updatemechanismen gelten wie für PCs“, fordert Markus Schaffrin, der beim deutschen Verband der Internetwirtschaft Eco für Sicherheitsthemen zuständig ist. So weit ist es noch lange nicht, belegen Studien von SEC Consult. Bei 4,5 Millionen übers Netz erreichbaren elektronischen Geräten zahlreicher Anbieter haben Forscher von SEC Consult sowie der University of Michigan und der University of Illinois erst jüngst wieder gravierende Sicherheitslücken entdeckt.
Statt bei vermeintlich geschützten Verbindungen in jedem Gerät eigene Cryptoschlüssel zu nutzen, haben die Hersteller teils in ganze Geräteserien identische Schlüsselpaare eingebaut. Das hat brisante Folgen: Hacker, die den Code aus dem Betriebssystem eines Geräts ausgelesen haben, können schlagartig Datenübertragungen aller gleichartigen Modelle decodieren, da sie dieselben Schlüssel nutzen. Die Spanne der Hersteller reicht von Cisco über D-Link und Huawei bis zu Seagate und Zyxel.
„Schon bei Tests im November 2015 hatten wir in 3,2 Millionen Fällen unzulänglich gesicherte Technik entdeckt“, so SEC-Geschäftsführer Markus Robin. „Doch statt sie besser zu schützen, haben die Firmen noch mehr schlampig gesicherte Geräte verkauft.“ Die Zahl mangelhaft geschützter Systeme wuchs in neun Monaten um gut 40 Prozent. Inzwischen – immerhin – reagieren erste Anbieter.
Cisco etwa hat für zwei neuere Geräte Softwareupdates veröffentlicht. Ansonsten allerdings rät das Unternehmen bei älterer Technik zum Austausch. Auch D-Link hat erste Updates publiziert oder will weitere – speziell für ältere Geräte – noch bereitstellen.
Aus Sicht von SEC-Spezialist Robin aber reichen einzelne Updates nicht aus. Er fordert, ein grundsätzliches Umdenken der Branche. „Hier kann nur öffentlicher Druck die Hersteller auf breiter Front zum Einbau sicherer Schlüssel zwingen“, so Robin. Das mag ein Anfang sein. Doch bis es so weit ist, werden der Dyn-Attacke noch zahlreiche weitere folgen.