Startseite

Stern Logo Stern-Stimmen

Shodan - die gefährlichste Suchmaschine der Welt

Das Internet der Dinge fängt an, uns auszuspionieren. Damit werden wir alle endgültig zu Insassen des globalen "Big Brother"-Containers, meint Thomas Ammann.

  Die Suchmaschine Shodan gewährt Einblicke in Tausende fremde Wohnzimmer, Klassenräume und Hotels

Die Suchmaschine Shodan gewährt Einblicke in Tausende fremde Wohnzimmer, Klassenräume und Hotels

Jeder von uns kennt das dumme Gefühl, irgendwann im falschen Film zu sein. In Zukunft könnte uns dieses Gefühl noch viel öfter beschleichen, und wir können uns dabei auch noch gegenseitig beobachten bzw. wir werden beobachtet, ohne dass wir es mitbekommen. Shodan macht es möglich, eine Suchmaschine für das Internet der Dinge, und damit - wie viele Sicherheitsfachleute meinen – die gefährlichste Suchmaschine der Welt. Denn Shodan hat kürzlich eine Funktion eingerichtet, mit der die (zahlenden) Benutzer überall auf der Welt ungesicherte Webcams ansteuern können. Und die erlauben sehr indiskrete Einblicke.

Das Onlinemagazin Ars Technica, das Forum für Computerfreaks und Techniknerds in den USA, hat ein paar schnelle Recherchen mit Shodan unternommen und dabei nach eigenen Angaben "alarmierende Ergebnisse" erzielt. So überwachte beispielsweise eine Webcam ein schlafendes Baby in einem Kinderzimmer in Kanada, eine andere zeigte die Küche einer Wohnung in Spanien, die nächste filmte sogar einen Mann, der in seiner Küche saß, und auch ein Klassenzimmer in China war während des Unterrichts zu sehen. "Big Brother global" – die größte TV-Show der Welt.

Die Webcams sind deshalb so leicht verwundbar, weil sie das Real Time Streaming Protocol (RTSP, Port 554) zur Videoübertragung benutzen, für das keine Passwort-Authentifizierung nötig ist.

Milionen ungesicherte Kameras

Die Dimensionen sind fast unvorstellbar. Das World Wide Web sei inzwischen voll mit "Millionen von ungesicherten Kameras", meinte der Sicherheitsexperte Dan Tentler gegenüber Ars Technica. Tentler warnte schon vor Jahren auf der größten Hackerkonferenz der Welt, der Defcon in Las Vegas, vor den Gefahren von Shodan. Damals ging es neben Kameras vor allem um Steuerungsanlagen, die ohne ausreichenden Schutz mit dem Netz verbunden waren. Shodan sucht gezielt nach allen per IPv4 am Internet angeschlossenen Geräten und Diensten und hat damit bereits etwa 500 Millionen Adressen eingesammelt. Bald werden es Milliarden sein - von Kraftwerken über Sicherheitskameras, Ampelanlagen bis hin zu den vernetzten Helfern der "Smart Homes". Die Liste lässt sich fast endlos erweitern, und die Folgen dürften gar nicht "smart" sein.

Tentler präsentierte in seinem Vortrag beispielsweise Autowaschanlagen, auf die er Zugriff hatte, ein Eishockey-Stadion, das er übers Netz hätte abtauen können, und sogar das komplette Verkehrsleitsystem einer amerikanischen Stadt, das er hätte manipulieren können – wenn er denn gewollt hätte. Aber Tentler wollte zum Glück nur auf die haarsträubenden Sicherheitslücken hinweisen.

Auch Shodan-Entwickler John Matherly gibt an, er wolle mit seiner "Big Brother"-Show zur Sicherheit des Internets der Dinge beitragen. Dazu führte Matherly das Beispiel von Kameras zur automatischen Erfassung von Nummernschildern an. Mithilfe von Shodan fand er etwa 100 Installationen dieser Geräte, die mehr oder weniger offen zugängliche JPEGs aller erfassten Fahrzeuge ins Netz stellten. Daraus lassen sich problemlos exakte Bewegungsprofile einzelner Fahrzeuge erstellen – die Firma Vigilant Solutions (etwa: "Wachsame Lösungen") bietet Software an, die genau das kann. Ihr Motto: "Be smart. Be safe. Be vigilant."

Fundgrube für Einbrecher

Für smarte Kriminelle allerdings bieten sich ungeahnte Möglichkeiten, in unsichere Systeme vorzudringen. Matherly selbst nannte das Beispiel der Website "PleaseRobMe", die Geodaten von Foursquare ("Finde in jeder Stadt der Welt die besten Orte zum Essen und Trinken, Shoppen oder Besichtigen") mit Statusnachrichten einzelner Benutzer aus Facebook oder Twitter wie "Bin im Café" verknüpfte - was darauf hinwies, dass der oder die Betreffende gerade nicht zuhause war.

Bis heute gibt es keinen ausreichenden Zugangsschutz und keine speziellen Standards für das Internet der Dinge. Das ist besonders fatal, weil die vernetzte Geräte auf den Informationsaustausch angewiesen und deshalb besonders freigiebig mit ihren Daten sind - anders als herkömmliche Server, die mehr oder weniger versuchen müssen, sich gegen Zugriffe von außen abzuschotten.

Aber das Erschreckendste daran ist, dass die Gegenstände um uns herum längst begonnen haben, ein Eigenleben zu führen. Schon 2013 berichtete die britische BBC von Kühlschränken, die SPAM verschickten, in anderen Fällen belauschten Fernseher auf Befehle von außen ihre Benutzer, oder Windkraftanlagen stellten ihren Dienst ein.

Gefahr eines unbeabsichtigten Cyberkriegs

Was das bedeutet, muss man nicht lange erklären. Das Internet der Dinge ist das ideale Einfallstor für Bösewichte aller Art. Es sei nicht ausgeschlossen, meinte vor einiger Zeit schon der US-Verteidigungsexperte Richard Clarke, der Anfang der 2000er Jahre Sonderberater für Computersicherheit im Weißen Haus war, dass einmal ein "unbeabsichtigter Cyberkrieg ausbricht, einfach weil die technischen Abläufe nicht mehr zu kontrollieren" seien.

Ein solcher "zufälliger" Krieg würde sehr schnell eskalieren und könnte sich laut Clarke etwa so entwickeln: Durch einen landesweiten Stromausfall bricht der Verkehr in den Großstädten innerhalb weniger Minuten zusammen. Die gesamte elektronische Kommunikation ist lahmgelegt, die Steuerungssysteme großer Betriebe geraten außer Kontrolle. Giftgaswolken entweichen aus Chemiefabriken, Raffinerien brennen, Züge entgleisen, Satelliten schießen ins All, und Flugzeuge stürzen ab. Das Finanzsystem bricht ebenso zusammen wie die Grundversorgung der Bevölkerung. Landesweite Hungersnöte, Plünderungen, Aufruhr und viele Tote sind die Folge – ein Szenario wie in einem Atomkriegsfilm, ausgelöst durch einen Computerwurm oder eine andere Logikbombe, die an wichtigen Schaltstellen des gegnerischen Netzwerks zur Detonation gebracht wurde.

Der Weltuntergang, ausgelöst durch eine kleine Webcam, die ein schlafendes Baby in Kanada beobachtet. Sorry, aber drunter ging's heute nicht. Roland Emmerich, der "Master of Disaster", hätte seine wahre Freude daran. Und wir alle hätten einmal mehr das Gefühl, wir seien im falschen Film.

täglich & kostenlos
Täglich & kostenlos

Stern Logo Das könnte Sie auch interessieren

Partner-Tools