Es klang wie ein Lehrstück, geeignet zu demonstrieren, warum es vielleicht doch keine gute Idee ist, alle erdenklichen Geräte ans Internet anzubinden. Drei Millionen smarte Zahnbürsten sollen von Kriminellen kompromittiert und zu einem Botnet gemacht worden sein. Und dieses legte mit massenhaften Anfragen die Website einer Schweizer Firma stundenlang lahm. Der "Cyberangriff aus dem Badezimmer" fand auch in der STANDARD-Berichterstattung Niederschlag. Er hat so allerdings nie stattgefunden.

Nachdem sich der ursprünglich Ende Jänner veröffentlichte Bericht der "Aargauer Zeitung" über das Techportal "Toms Hardware" in den englischsprachigen Raum verbreitet hatte, entfaltete sich sein virales Potenzial und landete in den Schlagzeilen vieler anderer Seiten. Wenige Stunden später meldeten allerdings erste Sicherheitsexperten Zweifel an. Mittlerweile ist klar, was passiert ist.

Vom Beispiel zur Tatsache

Der Ursprungartikel setzt sich mit modernen Cybergefahren auseinander und zitiert Experten der schweizerischen Abteilung des IT-Sicherheitsdienstleisters Fortinet. Diese bringen das Beispiel des Zahnbürsten-Botnets und dem in die Knie gezwungenen Firmenserver. Danach heißt es im Text: "Das Beispiel, das wie ein Hollywoodszenario daherkommt, hat sich wirklich so zugetragen. Es zeigt, wie vielseitig digitale Angriffe geworden sind." Das Traffic-Bombardement durch drei Millionen Zahnbürsten wird als Tatsache hingestellt.

Diese elektrische Zahnbürste war übrigens auch noch nie an einem Cyberangriff beteiligt. Sie ist allerdings auch gänzlich unvernetzt. DER STANDARD/Pichler

Doch offensichtlich ist hier ein Irrtum geschehen. Denn nachdem Pressevertreter laut "Bleeping Computer" und "404 Media" zunächst stundenlang nicht erreichbar waren, äußerte sich das Unternehmen schließlich gegenüber letzterem Portal. "Das Szenario von Zahnbürsten, die für DDoS-Angriffe verwendet werden, war im Rahmen eines Interviews als Illustration für eine bestimmte Art von Angriff präsentiert worden und basiert nicht auf Forschungen von Fortinet oder Fortiguard Labs", lautet die Stellungnahme. "Fortiguard Labs hat bislang weder Mirai noch andere Internet-of-Things-Botnetze gesehen, die smarte Zahnbürsten oder ähnliche Geräte anvisieren."

Eine Frage der Plausibilität

Tatsächlich dürften sich viele smarte Mundhygienegeräte dieser Art auch nicht besonders gut als Waffe für Cyberangriffe eignen. In den seltensten Fällen ist die Zahnbürste beziehungsweise ihre Ladestation direkt per WLAN mit dem Internet verbunden. Im Regelfall erfolgt die Kommunikation indirekt über ein Smartphone, das via App und Bluetooth Verbindung zur Zahnbürste herstellt. Angreifer müssten also die Apps oder Telefone kompromittieren, was allein aufgrund der betriebssystemseitigen Absicherungen seitens von Google und Apple kein leichtes Unterfangen ist. Hinzu kommt, dass die Thematisierung eines solchen Vorfalls ohne weitere Details – insbesondere im Hinblick auf die kompromittierbaren Zahnbürstenmodelle – zumindest unüblich ist.

Im Nachhinein betrachtet hätte dies vor der Übernahme der Darstellung auffallen müssen. Auch wenn die Angabe eines reputablen Sicherheitsdienstleisters als direkte Quelle die Glaubwürdigkeit verstärkt, wäre hier aus Plausibilitätsgründen eine zusätzliche Nachfrage angebracht gewesen. Menschliche Fehler wie missverstandene Interviewinhalte dürfen gerade in solchen Fällen nicht ausgeschlossen werden. Denn Irren ist bekanntlich menschlich.

Andernfalls wird aus dem Lehrstück über mangelhafte Sicherheit von IoT-Geräten schnell ein Lehrstück über journalistische Sorgfalt. Eines, das uns dazu ermahnt, beim nächsten Mal besser aufzupassen, auch wenn die Schlagzeile verlockend und die zitierte Quelle seriös ist. (gpi, 8.2.2024)

Hinweis: Der ursprüngliche Artikel zum Cyberangriff durch Zahnbürsten wurde offline genommen.