Vor wenigen Tage waren Amazon, Netflix, Paypal, Spotify und Twitter vor allem in den USA, aber auch in Europa einige Zeit im Internet unerreichbar. Ursache war eine DDOS-Attacke auf den DNS-Provider Dyn. Das Besondere an diesem Angriff war, dass er nicht von tausenden durch Bots unter Kontrolle gebrachten PCs ausging. Berichten zufolge gingen die massenhaften Aufrufe der Webadressen vielmehr von anderen so genannten intelligenten Geräten aus: von Internet-fähigen Babyfones, Druckern, IP-Kameras, Routern, TV-Festplatten-Receivern. Das sind die heute am weitesten verbreiteten Geräte aus dem Spektrum, das Internet of Things (IoT) genannt wird. Und um sie zu Angriffsinstrumenten umzufunktionieren, wurde vermutlich teilweise die Malware Mirai genutzt, die gezielt solche Geräte ausnutzt.

Mirai sucht nach IoT-Geräten, die nicht eigens, sondern nur mit dem herstellerseitig vorgegebenen Passwort „geschützt“ sind. Nun erwähnt jeder Pressebericht über diesen Vorfall, die Besitzer dieser Geräte hätten ein gutes Passwort einrichten müssen. Ändern wird das nichts. Wir brauchen eine massive, breite öffentliche Diskussion über IT-Sicherheit, nicht ein paar Appelle ab und an, wenn es Schlagzeilen gibt.

Das ganze Konzept des Internet of Things ist unausgegoren. Es wird nur als toll propagiert, dass man demnächst von der Standheizung im Auto über den Rasensprenger bis zu Jalousien, Heizungen, Überwachungskameras, TV-Festplatten und und und mal eben vom Handy aus steuern kann. Eine Technologiefolgen-Abschätzung ist das nicht. Kennt überhaupt noch jemand diesen Begriff? Nur weil das immer so ist mit der Technik – das Auto kam vorm Airbag etc – muss man sich über die möglicherweise gefährlichen Aspekte einer Technik ja nicht grundsätzlich erst irgendwann später Gedanken machen.

Bisher schweigen die Anbietern von IoT-Geräten zu Sicherheitsaspekten, Kleingedrucktes in den Bedienungsanleitungen, die man erst aus dem Internet herunterladen muss. Die Anwender sollen für alle diese Geräte ein Passwort einrichten, auch noch eins, das gut und (!) memorierbar ist und von Zeit zu Zeit gewechselt wird? Das ist so realitätsfern wie die Annahme, alle Menschen würden jeden Tag die Socken wechseln. Wenn man massenhaft Menschen unverzichtbare Infrastruktur in die Hand gibt, sollten die Hersteller dafür sorgen müssen, dass nicht durch Unachtsamkeit massiver Schaden angerichtet wird.

Aber so wie es derzeit auf dem IoT-Markt zugeht, wird das nicht eintreten können. Jeder Hersteller hat sein eigenes, geschlossenes System. Nebenbei: „One Password for all“ funktioniert eh nicht. Wichtiger ist, dass diese Systeme eben geschlossen sind; niemand kann überprüfen, ob sie überhaupt wirkungsvolle Sicherheitsfunktionen haben oder ob sie gar noch mehr machen, als sie zu tun vorgeben.

Proprietär zu sein ist die Crux des Internet of Things. Nur offene Systeme können Sicherheit schaffen, weil nur sie überprüfbar sind. Eine Debatte um Sicherheit muss deshalb immer auch Open Source zum Thema haben. Diese Auseinandersetzung brauchen wir nicht erst in IoT-Blütezeiten, sondern sie ist schon lange überfällig. Die IT ist schon länger ein unsicheres Terrain. Und auf die Open Source Business Alliance kommt dabei viel Arbeit zu.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.