Mit dem Internet der Dinge wird sich das noch weiter verstärken: Ein internetfähiger Kühlschrank wird nur mit der Software ausgestattet, die der Hersteller installiert hat. Wenn mit diesem Kühlschrank dann direkt bestellt werden kann, kann das einen Mehrwert für den Konsumenten bringen. Aber der Hersteller kann kontrollieren, bei welchem Lieferdienst der Konsument bestellen kann. Das sieht man heute schon: Kann man auf Android-Geräten auch Apps installieren, die nicht über den offiziellen Google-Store angeboten werden, ist das auf Geräten von Apple nicht möglich. Auf iPhones und iPads lassen sich nur Apps über den offiziellen Apple-Store installieren. Der Hersteller Apple kann auch jederzeit Apps herausnehmen, wenn sie seiner Meinung nach nicht den Nutzungsbedingungen entsprechen oder Funktionalitäten von eigenen Apple-Apps nachbilden.

Noch heftiger geht der Traktorenhersteller John Deere vor. John Deere argumentiert in den USA, dass Besitzer von Traktoren nicht Eigentümer sind, weil die Software auf den Geräten nicht gekauft sondern lizensiert ist. Mit dem Digital Millenium Copyright Act (DMCA) von 1998 verhindern sie, dass neue Geräte wie Sähmaschinen an die Traktoren angeschlossen werden können. In Kanada gehen viele Landwirte dazu über, eine Software aus der Ukraine zu verwenden, die das Digital Rights Management (DRM) umgeht. In den USA gibt es in acht Bundesstaaten Bestrebungen, ein Recht auf Reparatur von Geräten in Gesetze zu fassen. Ein breite Lobby von John Deere und verschiedenen Autoherstellern versucht, diese Gesetze zu verhindern. Auch Apple ist dabei, sie möchten Ersatzteile nur an lizensierte Reparaturbetriebe verkaufen, aber nicht an unabhängige Reparaturfirmen.

Doch wie sieht die Rechtslage in Deutschland aus?

In §95a UrhG darf ein Schutz von geschützten Werken nicht umgangen werden und auch keine Soft- oder Hardware zu diesem Zweck verbreitet werden. Zu den geschützten Werken gehört auch die Software selbst (§§69a-g UrhG). Wer also ein Gerät besitzt, das zu einem Teil des Internets der Dinge gehört, darf bei entsprechendem Schutz der Gerätesoftware diese nicht kopieren. Auch eine „Entstellung“ eines Werk ist in §14 UrhG verboten. Je nach Auslegung kann das dazu führen, dass die Software nicht verändert werden darf. Im Beispiel des internetfähigen Kühlschranks kann das bedeuten, dass der Hersteller mit unterschiedlichen Lebensmittel-Lieferanten Verträge aushandelt, und je nach Konsumverhalten von verschiedenen Lieferanten Geld erhalten kann, wenn ihr Produktkatalog auf den Kühlschrank publiziert wird.

Wenn Konsumenten die Software auf Geräten nicht verändern dürfen, können sie auch keine Sicherheitsupdates vornehmen, selbst wenn der Hersteller keine mehr zur Verfügung stellt. Dass Hersteller häufig nicht bereit sind, diese Updates vorzunehmen, sieht man an der breiten Masse an Android-Smartphones. Dem Kunden wird dann nur die Möglichkeit bleiben, die Internetfunktion des Kühlschranks nicht zu nutzen, wenn er andere als die für ihn ausgesuchten Lieferanten nutzen möchte. Legal wäre eine Umgehung der Software nicht. Selbst das reparieren von Sicherheitslücken ist nicht ohne weiteres legal möglich. Auch deshalb brauchen wir eine Reform des Urheberrechts im Sinne der Konsumenten.

Die Band Spliff wusste es schon in den 1980ern: Computer sind doof.

Damals wurde noch gescherzt, dass es nicht unbedingt gut sei, wenn die Kaffemaschine den Toaster antörnt. Heute wissen wir, dass das zu einem echten Problem werden kann.

Mittlerweile haben viele Anwender verstanden, dass es sinnvoll ist, den eigenen Computer gegen Viren und Trojaner zu schützen. Aber im Zeitalter des Internet of Things wächst die Zahl der mit dem Internet verbundenen Geräte rasant an. Was mit diesem rasanten Zuwachs nicht mithält, ist das Bewusstsein, dass auch diese Geräte Sicherheitslücken haben und angreifbar sind.

Dagegen hilft auch nicht die Überzeugung, dass doch die heimischen Gerätschaften „viel zu uninteressant sind, um gehackt zu werden“. Tatsächlich enthalten die „Dinge des Internets“ (auch Internet of Things, IoT genannt) oft eine Rechenleistung, die vor einigen Jahren noch auf dem Schreibtisch stand und als Arbeitsmaschine genutzt wurde. In der Kombination mit dem Internetzugang werden diese dann für kriminelle Machenschaften sehr interessant, besonders, da es sehr viele dieser Geräte gibt und sie schlechter gewartet und gegen Hackerangriffe geschützt sind als der PC.

In kurzer Folge gab es jetzt zwei Vorkommnisse, die das wachsende Problem deutlich zeigen. Am 21. Oktober 2016 wurde der DNS Service Dyn mit dem Mirai Botnetz(*) angegriffen. Dieses Netz besteht aus hunderttausenden von gekaperten Geräten, darunter auch viele Webcams.

Am 27. November 2016 begann dann ein weitflächiger Ausfall des IP-Netzes der Telekom. Etwa 900.000 Anschlüsse waren davon betroffen. Es stellte sich heraus, dass dies ein Angriffsversuch war, mit dem DSL-Router infiziert werden sollten.

Dies sind mittlerweile keine Einzelfälle mehr, sondern nur die prominenteren Fälle. Mit Sicherheit wird die Zahl der Fälle mit der wachsenden Menge an Geräten weiter ansteigen und es wird auch deutlich gefährlichere Szenarien geben. Wer über ein großes Botnetz verfügt, kann dieses für alle möglichen Angriffe nutzen. Besonders gefährlich wird es, wenn solche gekaperten Geräte innerhalb eines eigentlich gesicherten Bereichs sind, da dann Angriffe hinter der Verteidigungslinie der IT stattfinden können.

Es ist höchste Zeit, dass einerseits die Hersteller solcher Produkte sich mehr Gedanken darüber machen, wie sie die Sicherheit der Geräte garantieren können. Andererseits müssen sich die Anwender darüber klar werden, was sie tun, wenn sie sich mit der großen Masse von Computerknoten im Internet verbinden.

Problematisch dabei ist, dass momentan Hersteller aus Bereichen, die mit IT bisher nichts zu tun hatten, ihre Produkte „internettauglich“ machen. Hier fehlt häufig jegliches Problembewusstsein. Beispielsweise muss man sich die Frage stellen, wie wahrscheinlich es sein wird, dass ein Endkunde auf seiner Deckenleuchte einen Virenscan macht. Werden hier nicht andere Maßnahmen getroffen, dann fängt demnächst der gehackte Toaster die Passwörter für Bankkonto und andere Zugänge ab.

(*) Botnetze bestehen aus gekaperten Computern und anderen Geräten und werden für alle möglichen kriminellen Interessen verwendet. Das gekaperte Gerät wird vom Botnetzbetreiber ferngesteuert und kann für eine Aufgabe spezifische Software hochgeladen bekommen. Die Botnetze werden in vielen Fällen als Mietservice angeboten, um Dinge zu tun wie Spam zu versenden oder Angriffe auf einzelne Server oder ganze Organisationen durchzuführen.