Calm Images. Bildproliferation und Bildlosigkeit im Internet der Dinge

Dieser Text ist im Oktoberheft 2018 erschienen. Den Überblick über das Heft finden Sie hier.

Wer im Internet nach Dingen sucht, die selber im Internet sind, kann sich an Shodan wenden. Benannt nach einer sinistren Figur aus der Cyberwelt des Video-Games System Shock , die dort als Künstliche Intelligenz ihr Unwesen treibt, scannt die seit 2009 aktive Suchmaschine das Internet der Dinge (IoT) nach IPv4- und IPv6-Adressen ab, hinter denen sich Akteure verbergen, die vernetzt, nichtmenschlich und nicht selten relativ ungesichert unterwegs sind. Letzteres erfährt Shodan über eine Ping-Anwendung, die ein Echo-Request-Paket an die Zieladresse eines Hosts schickt. Dieser wird im Zuge der Datenübertragung gefragt, ob er mit einem Rechnernetz verbunden ist und welche Informationen er ohne Überwindung weiterer Passwortschranken zu teilen bereit wäre. Shodans Crawler registrieren unter diesen technischen Voraussetzungen ein erstaunliches Ausmaß an Kommunikationsbereitschaft. Wo man chiffriertes Abwehrschweigen und Rauschen erwarten würde, zirkulieren ziemlich klare Signale.

Das Spektrum netzwerkfähiger, auskunftsbereiter Dinge reicht von Kaffeemaschinen, Kühlschränken, Home-Entertainment-Anlagen, Druckern, Fensterrollläden, Türschlössern, Steckdosen, Heizungsthermostaten, Routern, Festplatten mit Cloud-Funktion bis hin zu veritablen Infrastruktur-Akteuren, die bei Shodan über den Suchbegriff »Scada« auffindbar sind. Hinter dem Kürzel für »Supervisory Control and Data Acquisition« stehen vernetzte Computersysteme, die Industrieanlagen, Heizkraftwerke, Pipelines oder auch Verkehrssysteme überwachen und steuern. Nicht nur aus sicherheitstechnischen Erwägungen wäre es eigentlich intelligenter, wenn etwa die Heizungssteuerung smarter Häuser weniger öffentlich agieren und sich, wenn überhaupt, nur verschlüsselt mitteilen würde. Zumal sich IP-Adressen vergleichsweise einfach und ziemlich standortgenau lokalisieren lassen – ein Service, den Shodan gleich mitliefert.

Das Internet der Dinge – in der gegenwärtigen Konsumentenrealität nicht selten sicher auch: »das Internet der Dinge, die wir nicht brauchen« (Ian Bogost) – lässt sich hier im Weltkartenbild erkunden. Von der Verortung und funktionalen Identifizierung eines IoT-Dings zu seiner feindlichen Übernahme und Fremdsteuerung ist es dann immer noch ein durchaus weiterer Weg. Wie viele Dinge nicht nur sagen, dass sie vernetzt und aktiv sind, sondern auch, was für Dinge sie sind, wo ihr Standort ist, für welche Datenakquisen sie sich zuständig fühlen und was sie den ganzen Tag über so tun, sollte jedoch nicht nur IT-Sicherheitsforscher beunruhigen, die Shodan laut Geschäftsmodell als Zielgruppe adressiert – mit einer sich schon für 49 Dollar bereitwillig öffnenden Datenbank voller Informationen zu vernetzten Dingen und ihren Sicherheitslücken.

Einer allgemeineren Öffentlichkeit trat Shodan zuletzt 2016 ins Bewusstsein, als Autoren des Webmagazins Ars Technica darlegten, dass zu den besonders ungesicherten IoT-Dingen gerade auch Web- und Netzwerkkameras gehören, die mit »hartcodierten«, also benutzerseitig nicht ohne Weiteres modifizierbaren Passwörtern ausgeliefert werden. 1 In sogenannten DDOS-Angriffen ( Distributed Denial of Service ) werden Hunderttausende korrumpierte IoT-Geräte, die etwa durch die auf billige Webkameras spezialisierte Schadsoftware Mirai infiziert wurden, zu Bot-Netzen verbunden, um durch Überlastangriffe Online-Dienste lahmzulegen.

Illustriert war der Ars Technica -Beitrag allerdings nicht mit rauchenden Serverfarmen, sondern mit dem Screenshot eines Videofeeds, dessen Bildmaterial einen arglos schlafenden Säugling in seinem Kinderbett zeigte. Wenn das für die Übertragung zuständige Real Time Streaming Protocol (RTSP) nicht effektiv verschlüsselt ist, wird aus vermeintlich nur in privaten »Heimnetzwerken« zirkulierenden Stream-Bildern schnell ein offener Feed, der ohne größeren Aufwand als solcher identifiziert und angezapft werden kann. Dienste wie Shodan oder Censys (Motto: »understand your public-facing infrastructure«) verteilen so gesehen Eintrittskarten zu einer Art panoptischem Broadcasting.

Die gewaltige Menge ungesicherter Heimkamera- und Monitoring-Systeme, die Kinderzimmer, Haustüren, Gartenbereiche eigentlich zum Schutz der Privatsphäre im Blick behalten sollen, lässt sich ohne weitere technische Umwege auf Plattformen wie Insecam oder Opentopia bestaunen. Im Unterschied zu Shodan werden die abgegriffenen Videofeeds dort direkt live übertragen, nach den bekannten sozialmedialen Logiken algorithmisch sortiert ( random trending new ) und zudem in Form automatisch generierter Screenshots zwischengespeichert. In den dabei entstehenden Stream-Archiven liegen Einzelbildserien, die in die »Public History« von Heimnetzwerken führen.

(…)

Möchten Sie weiterlesen?

Testen Sie jetzt den Merkur im digitalen Probe-Abo. Oder erwerben Sie den Artikel für 2 € als Download in unserem Volltextarchiv. Sie sind schon Digital-Abonnent? Hier einloggen, um weiterzulesen.

FUSSNOTEN & QUELLENANGABEN

  1. J. M. Porup, »Internet of Things« security is hilariously broken and getting worse. In: arstechnica.com vom 23. Januar 2016.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.