Titelillustration der Studie "Rise of the Machines: The Dyn Attack Was Just a Practice Run", Institute for Critical Infrastructure Technology
Die jüngsten Attacken durch unsichere IoT-Geräte lassen immer mehr Sicherheitsspezialisten überlegen, ob das Internet der Dinge nicht staatlicher Regulierung bedarf.
Mit "Rise of the Machines" haben die Sicherheitsforscher des US-amerikanischen Institute for Critical Infrastructure Technology ihre Überlegungen zu durch das Internet of Things verursachten Sicherheitsproblemen betitelt. Wie viele andere sehen auch James Scott und Drew Spaniel Angriffe wie die Dyn- oder Mirai-DDoS-Attacken nur als Fingerübung für einen größeren Angriff, und es seien noch nicht alle sich daraus ergebenden Implikationen verstanden worden.
Als Konsequenz daraus halten sie, mit ähnlichen Argumenten wie kürzlich auf heise Security dargelegt, mehr staatliche Regulierung für nötig, und zwar schon im Entwurfsstadium der Geräte. Nur durch kontrolliertes Security-by-Design gebe es eine Chance, das Problem langfristig in den Griff zu bekommen. Mittelfristig sehen sie eher noch massivere Bedrohungen auf das Internet zukommen. Allerdings könne staatliche Kontrolle nicht darin bestehen, das es Security-Hintertüren gebe. Diese würden über kurz oder lang auch von kriminellen Angreifern genutzt.
Furcht vor Attacken durch China-Ware
Ein weitereres Problem sehen Scott und Spaniel in der Tatsache, dass ein Großteil der im IoT vernetzten Geräte aus der VR China kommt. Langfristig sei nicht auszuschließen, dass diese für Attacken auf die US-Infrastruktur eingesetzt würden.
Für mehr staatliche Regulierung des Internet of Things hatte sich kürzlich auch Bruce Schneier ausgesprochen. Er sieht hier ein Marktversagen, da die meisten IoT-Geräte Billigprodukte seien, die oft unter Drittanbieter-Label verkauft und nie aktualisiert würden. Eine nationale US-Regulierung träfe zwar erst einmal nicht die überwiegend in Asien angesiedelten Hersteller, aber der US-Markt sei groß genug, um regulatorische Vorgaben weltweit durchzusetzen und Beispiele für andere zu geben.
Sollten diese Überlegungen umgesetzt werden, wäre durch das Internet of Things ein Paradigmenwechsel eingeleitet. Denn bislang war die Selbstregulierung des Internet durch Requests for Comments und Gremien wie das ICANN ein Garant für die dynamische technologische Weiterentwicklung.
(js)