Internet of Things: Schöne neue Über­wa­chungswelt durch eine Massenvernichtungswaffe

Jeder hat schon davon gehört, aber die Aller­meisten wissen gar nicht so richtig, was es ist: Das „Internet of Things“, kurz: IoT. Viel­leicht so eine Art Super-Amazon-Laden, wo man alle Dinge kaufen kann? Nein.
Das Internet
Es ist die nächste Stufe des Internets. Das bisher bekannte Internet ist ein elek­tro­ni­sches Netz, über das mensch­liche Benutzer mit­ein­ander kom­mu­ni­zieren, E‑Mails oder andere Infor­ma­tions- und Kom­mu­ni­ka­ti­ons­dienste nutzen — Ser­vices wie eben Amazon benutzen, um ein­zu­kaufen. In der Industrie gibt es aller­dings schon so eine Art Vor­stufe zum IoT, wenn maschi­nelle oder elek­tro­nische Anlagen aller Art über Internet mit­ein­ander ver­bunden sind und ein Daten­aus­tausch von Maschinen oder Netzen unter­ein­ander statt­findet, um Vor­gänge auto­ma­tisch zu steuern. Diese Vor­gänge werden aber immer noch vom Men­schen initiiert und pro­gram­miert und bleiben innerhalb des Firmennetzes.
Das Internet of Things
Beim IoT oder Wireless Internet of Things (WioT) läuft das ein bisschen anders. Dort kom­mu­ni­zieren auch noch Dinge mit­ein­ander, ohne dass sie darauf jeweils einzeln pro­gram­miert werden. Soge­nannte Smart Objects (wie Handys, smarte Kühl­schränke, das Auto oder der Fern­seher) oder die Kom­mu­ni­kation von Maschine zu Maschine (M2M), was vor allem für die Industrie inter­essant ist. Die Ein­satz­ge­biete dafür sind endlos groß. Das IoT besteht – grob gesagt — aus Gegen­ständen, die durch den Einbau von Mikro­chips “smart” werden und sich so direkt und über das Internet mit anderen Gegen­ständen und Com­putern, jedoch ohne mensch­lichen Ein­griff, unter­ein­ander koor­di­nieren können. Jedes smarte Objekt erhält dabei eine ein­deutige Kennung, über die es im Netzwerk iden­ti­fi­ziert werden kann.
Der smarte Kühl­schrank bei­spiels­weise kann fest­stellen, was ihm alles an nor­ma­ler­weise vor­han­denen Lebens­mitteln fehlt und das Feh­lende über IoT beim Lie­fe­ranten bestellen, wo seine Bestellung eben­falls von einem smarten Ver­wal­tungs­system für Bestel­lungen auf­ge­nommen und an den smarten Roboter über­mittelt wird, der die Lager­ein­heiten abfährt, die ihm vorher signa­li­siert haben, wieviel wovon vor­handen ist und wo es liegt. Der Roboter packt alles zusammen, und da die Bestellung die Iden­ti­täts­kennung des bestel­lenden Haus­haltes hat, wird das Ganze ratzfatz ver­sandt an die Bestell­adresse. Der Kühl­schrank weiß, wann die Lie­ferung kommen wird und kann den Bewohnern, die abends essen wollen, Rezept­vor­schläge machen, was aus dem Vor­han­denen zube­reitet werden kann und fragt per Sprach­er­kennung ab, ob es für die nächsten Tage besondere Essens­wünsche gibt, sodass er ein Rezept aus dem Internet dafür aus­suchen kann und ent­spre­chend Lebens­mittel ordert.
Ein bisschen IoT haben heute schon einige super­modern aus­ge­stattete Häuser. Der Bewohner kann mittels Smart­phone über Internet steuern, ob die Heizung hoch­ge­fahren werden soll, damit es um Punkt 19:00 Uhr abends, wenn er nach Hause kommt, auch genau 21°C in der Bude hat, welche Lichter ange­schaltet werden sollen und welche Musik die Anlage bei seinem Ein­treffen spielt und in welcher Laut­stärke. In Zukunft kann er viel­leicht den Gefrier-Backofen instru­ieren, das Gericht, was darin gefroren auf sein Auf­tauen wartet, genau bis um 19:15 Uhr ver­zehr­fertig erwärmt zu bekommen.
Das „Alles-Netz“ — wo alles mit allem ver­bunden und über­wacht wird
Kurz: Im IoT ist jedes Ding mit einem Code erkennbar und über Netz mit­ein­ander ver­bunden. Ein Licht­schalter genauso, wie die Autos unter­ein­ander (Car2Car Com­mu­ni­cation) oder Car2Infrastructure, also Ver­kehrs­mel­dungen emp­fangen sowie Über­prüfung aller Para­meter des Autos an den Her­steller und eine Datenbank, die im Falle auf­tre­tender Stö­rungen am Auto sofort die nächste Werk­statt infor­miert und den Fahrer benach­richtigt, welche Störung ent­deckt worden ist und wie er jetzt fahren muß, um zur nächsten Werk­statt zu kommen, wo man bereits auf ihn wartet. Bis zum Jahr 2020 bereits sollen mehr als 30 Mil­li­arden Geräte aller Art mit­ein­ander ver­netzt sein, und fast alle werden remote gesteuert.
Natürlich ist das auch die absolute Total­über­wa­chung. Pri­vat­sphäre war vor­gestern. Kaufst Du in einer Apo­theke Hämor­rhoi­den­salbe, weiß es der Rest der Welt. Das wäre zwar ein bißchen peinlich, aber harmlos. Unan­ge­nehmer wird es schon, wenn Du auf einer Liste der vom System unge­liebten Leute stehst. Du setzt Dich in Dein Auto und willst zu einer Ver­sammlung fahren, die der Staat nicht mag, und das weiß dann auch das smarte Netz, das Deine Kom­mu­ni­kation kennt und die Seiten, die Du so auf­machst und die E‑Mail mit einem Bekannten, der da eben­falls hin­fährt. Nun ist das IoT aber mög­li­cher­weise so instruiert, dass es solche kon­spi­ra­tiven Treffen ver­hindern soll. Blö­der­weise springt Dein Auto einfach nicht mehr an. Pech aber auch.
Und nun stellen Sie sich vor, dass alle Dinge um Sie herum — das Besteck, der Toaster, die Hun­de­leine des Nachbarn, der Regen­schirm Ihres Gegen­übers in der U‑Bahn, die Parkbank, viel­leicht sogar die Nar­zissen auf der Wiese im Park — mit dem Internet ver­bunden sind und sich in stän­digem Dialog mit­ein­ander befinden. Ihr Besteck ist mit Sen­soren aus­ge­stattet, die regis­trieren, was und wie schnell Sie essen und sendet diese Daten an einen Cloud-Server, wo sie mit den Daten ver­knüpft werden, die Toaster, Kühl­schrank und Koch­töpfe über Ihre Ess­ge­wohn­heiten sammeln. Essen Sie zu schnell, zu viel oder das Falsche, piepst Ihre Gabel. Oder der Toaster weigert sich, eine weitere Scheibe Toast zu pro­du­zieren, bevor Sie nicht eine Runde joggen waren — eine Infor­mation, die Ihre inter­net­fä­higen Socken sofort an den Toaster übermitteln.
Das Hun­de­halsband regis­triert, dass der Hund zum Tierarzt muss, gleicht die Datenbank der Arzt­praxis mit dem Kalender des Nachbarn ab und macht eigen­ständig einen Termin. Der Regen­schirm der Dame in der U‑Bahn färbt sich eben blau, weil er dem Online-Wet­ter­be­richt ent­nommen hat, dass es gleich anfangen wird zu regnen. Und die Sen­soren an der Parkbank und an den Nar­zissen über­mitteln die Licht­ver­hält­nisse im Park an eine Lampe, die sie auf dem Nacht­tisch eines Freundes auf der anderen Seite der Erde reproduziert.“ 

Das IoT hat dar­über­hinaus auch noch „selbst­kon­fi­gu­rie­rende Eigen­schaften“, das heißt: Es kann ganz eigen­mächtig, ohne Zutun von Men­schen, Ent­schei­dungen treffen und Aktionen aus­lösen. Es kann Dinge loka­li­sieren, den Akku eines Gerätes auto­ma­tisch auf­laden, eine nicht ver­sandte E‑Mail doch ver­senden, jeg­liche Anruf­ver­suche eines Telefons nach außen sperren, welche zu Recht oder aus Ver­sehen als Spam­schleuder oder irgendwie gefährlich ein­ge­stuft werden.
Weapon of Mass Des­truction – eine poten­tielle Massenvernichtungswaffe
Und es gibt noch einen sehr großen Gefah­ren­faktor: Die Sabotage durch Hacken. IT-Sicher­heits­experten haben den Sach­stand in Bezug auf das IoT geprüft und die, die noch Haare haben, denen stehen sie zu Berge. Der Schre­ckens­schrei der Mas­sen­ver­nich­tungs­waffe IoT sorgt zur Zeit für Wirbel. Diverse Institute und Teams warnen in den schrillsten Tönen vor den Mög­lich­keiten, die das IoT hat, um aber so richtig und kom­plett Schaden zu stiften.
Wer es schafft, sich in die Remote-Steuerung ein­zu­klinken, kann, wenn er es schlau plant, eine ganze Kaskade von Ereig­nissen los­treten, indem er an einer inter­es­santen Stelle ein Gerät, einen Befehl oder eine Aktion anders instruiert, die dann ihrer­seits in der Folge zu einem rie­sigen, ver­zweigten Baum an fatalen Ände­rungen des ganzen Systems führt.
Indus­trie­ro­boter sind leicht zu „knacken“
So ergab die Prüfung des „Forward looking Threat Research Teams“ (FTR =„Team für vor­aus­schauende Bedro­hungs­for­schung“) von Trend Micro, inwiefern das IoT eine Bedrohung für Indus­trie­ro­boter in auto­ma­ti­sierten Fabriken dar­stellen könnte, dass die auf diesen Robotern lau­fende Software meistens ver­altet ist, höchst angreifbare Betriebs­systeme ver­wendet und auf teil­weise nutz­losen Ver­schlüs­se­lungen basiert und/oder unsi­chere und schwache Authen­ti­fi­zie­rungs­systeme nutzt, die mit weithin bekannten Standars-Logins arbeiten. Mit anderen Worten: Jeder mit­tel­mäßige Hacker kann eine ganze Fabrik sabo­tieren, sobald er Zugang zu einem oder meh­reren Fer­ti­gungs­ro­botern hat. Sind diese auch noch mit dem zen­tralen Fabrik­netzwerk und das wie­derum mit anderen Fer­ti­gungs­stätten von Zulie­ferern ver­bunden, ist der Schaden kaum noch eingrenzbar.
Die Sicher­heits­for­scher von Trend Micro führten in ihrem eigenen Labor vor, wie ein Remote-Angreifer bei einem ganz nor­malen Industrie-Stan­dard­ro­boter durch eine leicht zu iden­ti­fi­zie­rende Schwach­stelle ein­dringen kann und eine ganze Palette an hoch­ge­fähr­lichen Sabo­ta­ge­akten ausübt: Das Ein­schleusen von — unter Umständen lebens­ge­fähr­lichen (Auto!)-Defekten in das her­ge­stellte Produkt, der phy­si­schen Beschä­digung und Außer­be­trieb­setzung des Roboters selbst, dem Dieb­stahl von Betriebs­ge­heim­nissen über die Ver­bindung des Roboters zum Intranet des Betriebes bishin zum echten Angriff auf Menschen.
Das ist mehr als beun­ru­higend. Von der Sabotage von Atom­kraft­werken, Kli­niken, Hoch­ge­schwin­dig­keits­zügen, Ver­kehrs­leit­sys­temen, Banken, Flug­häfen, etc. wollen wir hier gar nicht reden. Schon gar nicht, was in einem Krieg der Zukunft mit dem IoT des Ziel­landes ver­an­staltet werden kann. Und bei der Vor­stellung davon, dass das Stromnetz flä­chen­de­ckend für mehr als ein paar Stunden aus­fällt, kann es einem nur noch grauen.
Über­wa­chung von Sozialen Medien als Vorbeugung
Und wer hätte es gedacht? Zack! wird eine Lösung prä­sen­tiert, die natürlich auf großes Wohl­wollen der Regie­rungen stoßen wird: Man muss die sozialen Medien eng­ma­schig über­wachen, um schon früh­zeitig mög­liche Pläne von „Bedro­hungs­ak­teuren“ zu erkennen:
„‘Die For­scher wollen mit Ana­ly­se­tech­niken für die sozialen Netz­werke her­aus­zu­finden, welche Rolle die sozialen Medien bei der Planung von Angriffen und Kam­pagnen spielen, wer mit wem und worüber über Twitter kom­mu­ni­ziert, um Ver­bin­dungen unter den Cyber­kri­mi­nellen zu finden oder even­tuell eine Gruppe zu iden­ti­fi­zieren. Zu den Zielen dieser For­schung zählt, Mög­lich­keiten aus­zu­loten, Akti­vi­täten von kri­mi­nellen Gruppen oder Bedro­hungs­ak­teuren auf­zu­decken und Bots auf­zu­spüren. Letzt­endlich könnten diese Unter­su­chungen in ein Früh­warn­system vor Angriffen münden. Even­tuell ließen sich solche Alerts an CERTs schicken’, so Trend Micro.“ 
Die Frage ist dann nur noch, ab wann man ein „Bedro­hungs­akteur“ ist und für wen. Wenn man zum Bei­spiel vor der Total­über­wa­chung warnt und viel­leicht Tipps gibt, wie man noch agieren kann, ohne dass das IoT alles mit­be­kommt, indem man dieses oder jenes Gerät nicht benutzt oder in einen Behälter steckt, der die Ver­bindung ver­hindert, ist man dann schon ein Bedro­hungs­akteur? Und was geschieht dann mit demjenigen?