Schuld und Sühne im Internet of Things

Das Problem ist nicht neu — ich weiß nicht mehr, wann ich das erste Mal das Wort »Botnet« gehört habe, aber es ist schon ein paar Jährchen her. Schon damals wurde darüber diskutiert, wie man verhindern kann, dass Internet-User ihre Infrastruktur unbeabsichtigt für illegale oder unerwünschte Zwecke zur Verfügung stellen.

Mit dem Durchbruch dessen, was gerne IoT genannt wird, hat sich das Problem verschärft. Heutzutage ist nicht mehr nur der Windows-Desktop oder -Laptop oder die ungepatchte PHP-BB-Instanz ein Ziel für Angreifer, sondern auch der Router, die Webcam, der Fernseher und was auch immer man sonst an Geräten mit Internet-Connectivity herumstehen hat (oder mit sich herumträgt — interessanterweise scheinen mobile Geräte (Smartphones, Smartwatches, Fitness-Armbänder) derzeit (noch?) ein geringeres Problem darzustellen).

Im Folgenden werde ich meine Ideen zur Entschärfung¹ des Problems darlegen.

Die Ideen betreffen im Wesentlichen das legale/organisatorische Framework: Soziale Probleme müssen auf sozialer Ebene gelöst werden, technische »Lösungen« können nur nützliche Werkzeuge (manchmal sehr nützliche Werkzeuge) dafür sein.

Ich versuche dabei, die folgenden Anforderungen unter einen Hut zu bringen:

• Angriffe sollen effektiv unterbunden oder zumindest zeitlich und örtlich beschränkt werden können.
• Der Benutzer muss in der Lage sein, die Kontrolle über seine Geräte auszuüben.
• Hersteller von Software und Hardware müssen in der Lage sein, zu Selbstkosten (oder darunter) zu operieren. Das ist speziell für Open-Source-Anbieter wichtig: Zwar erlauben die meisten OS-Lizenzen den Verkauf, aber der Preis tendiert gegen 0, weil sich beliebig viele Käufer den Preis teilen können.

Für mich folgt aus den Punkten 2 und 3, dass eine »Zulassung« internet-fähiger Software (analog zur Zulassung von KfZ) den Interessen der Benutzer und der Open-Source-Community zuwiderläuft. Nicht nur wäre es für Open-Source-Anbieter »cost-prohibitive«, irgendeine Zertifizierung zu durchlaufen, es würde auch total dem Open-Source-Gedanken widersprechen, dass jeder Nutzer die Software auch ändern kann — um die modifizierte Software einzusetzen, müsste der User die Software wieder zertifizieren lassen. Selbst ein Benutzer, der die Software selbst nicht ändert, sondern »nur« die Konfiguration, müsste die zertifizieren lassen — es sei denn, der Hersteller kann beweisen, dass es keine Konfiguration geben kann, die den Zulassungsrichtlinien widerspricht.

Im Fall von turing-kompletten Konfigurationssprachen wie sendmai, etc — viel Spaß!

Und selbst wenn diese Hürde überwunden würde, wären General-Purpose-Betriebssysteme niemals zulassungsfähig. Es ist schlicht unmöglich, zu beweisen, dass keine Kombination aus zigtausenden Software-Paketen zu einer Vulnerability führt.

Meiner Meinung nach muss daher die erste Verantwortung beim User liegen. Jeder soll das Recht haben, jede Hardware und Software einzusetzen, die seinen Bedürfnissen entspricht, solange er damit niemanden stört (»Your right to swing your fists ends at my nose«). Wenn sie aber Systeme einsetzen, die missbraucht werden (egal ob sie die bei Alibaba oder bei IBM gekauft oder selbst zusammengebastelt haben), dann müssen sie mit den Konsequenzen leben.

Diese Konsequenzen könnten Schadenersatzklagen sein, aber im Allgemeinen halte ich das für unpraktisch:

1. Wie groß ist der Schaden, den ein einzelner Bot verursacht hat? Lohnt es sich, das einzuklagen?

2. Botnets sind international verteilt. Viele Länder werden nicht die notwendigen Voraussetzungen haben, und selbst beim Rest wird ein Verfahren wahrscheinlich so mühsam, dass der Geschädigte davon absieht.

Daher halte ich es für am vielversprechendsten, das oben bereits angedeutete Prinzip vom Endanwender auf die ISPs zu verlagern.

Jeder ist dafür verantwortlich, was aus seinem Netz rausgeht.

Für Edge-ISPs ergibt sich daraus, dass sie Kunden, die an Bot-Netzen teilnehmen, zeitnah abklemmen sollen (und daraus folgt, dass sie das auch legal dürfen müssen und müssen müssen).

Für Backbone-ISPs (dazu zähle ich für diese Diskussion alle, die Traffic für andere durchleiten) gilt im Prinzip das Gleiche: Wenn sie von einem ihrer Nachbarn Traffic bekommen, der nach einem Angriff aussieht, haben sie das Recht und die Pflicht, diesen Traffic zu unterbinden. Das kann recht feingranular geschehen, wenn der Edge-ISP BCP 38 umsetzt, aber wenn er es nicht tut, kann es bedeuten, dass er die Leitung kappen muss.

Ich glaube, dass so ein System genug Backpressure aufbauen würde, um (zumindest) DDoS-Attacken effektiv zu unterbinden, wenn es in einigen zentralen Jurisdiktionen (z.B. EU und USA) umgesetzt wird:

• Der Druck auf ISPs, die eigenen Kunden (und alle Nachbarn) im Zaum zu halten, sollte alle anderen Kunden dieses ISPs schützen. Wenn ich bei UPC (in der EU) Kunde bin, kann ich nicht von anderen Kunden von UPC angegriffen werden und auch nicht von Kunden anderer Provider (wenn die außerhalb der EU sind und UPC die nicht dazu überreden kann, den Angriff abzustellen, muss UPC halt die Leitung kappen).
• In weiterer Folge übt dies effektiven Druck auf den Endanwender aus: Wenn meine Katzenkamera regelmäßig an DDoS-Attacken teilnimmt und dafür sorgt, dass mich mein Provider vom Internet abklemmt, werde ich die Kamera vermutlich wegschmeißen. Wenn ich sie in der EU (und nicht über Alibaba) gekauft habe, dann habe ich 6+18 Monate Gewährleistung. Damit übe ich Druck auf den Händler aus, der in Zukunft hoffentlich mehr auf Qualität achtet. Und wenn meine Katzenkamera ein RasPi mit Kamera-Modul und OS-SW ist, dann kann ich einen Bugreport einwerfen und hoffen, dass es gefixt wird oder selber fixen.