Das Smart‑Ding‑Dilemma | WeLiveSecurity

Das Smart‑Ding‑Dilemma

Vom 6.-11. September 2019 öffnet die Internationale Funkausstellung (IFA) in Berlin wieder ihre Pforten. Auch diesjährig wird das Thema „Vollvernetzung“ die Messehallen beherrschen. Doch wie steht es nun, ein Jahr weiter, um die Sicherheit?

Vom 6.-11. September 2019 öffnet die Internationale Funkausstellung (IFA) in Berlin wieder ihre Pforten. Auch diesjährig wird das Thema „Vollvernetzung“ die Messehallen beherrschen. Doch wie steht es nun, ein Jahr weiter, um die Sicherheit?

Zugegeben: Smart Home oder Internet der Dinge sind keine überraschend neuen Erfindungen. Mit zunehmender Digitalisierung kommen gefühlt jedoch täglich neue Geräte und Gimmicks hinzu. Laut aktueller Bitkom Studie werden im Jahre 2022 90% der TV Geräte und 95% aller Spielkonsolen mit dem Internet verbunden sein. Außerdem gewinnt das Smart Home immer mehr Anhänger. Vor allem die Integration und Steuerung durch intelligente Sprachassistenten nimmt immer weiter zu. Etwa 69% nutzen bereits Siri, Alexa, Google Assistant & Co. um verschiedene Funktionen der Hausanlage zu steuern. Die IFA ist also eine hervorragende Möglichkeit für die Hersteller, ihr neues Portfolio der breiten Öffentlichkeit vorzustellen. Für die Verbraucher bietet ein solch großes Angebot viele Vorteile: Man kann z.B. alle möglichen Projekte realisieren, gegebenenfalls das Schutzlevel des eigenen Heims oder Büros erhöhen, Transparenz in der Heimautomatisierung schaffen und das Ganze zu mittlerweile erschwinglichen Preisen erwerben.

IT-Sicherheit kommt bei der Entwicklung nicht vor

Doch gerade der Preisdruck am Markt hat auch viele Schattenseiten. Um erschwingliche Preise für Webcams, Smartphones, Smart-TV & Co. anbieten zu können, müssen viele Hersteller günstig produzieren. Oft ist es ein und dieselbe Produktionsstätte, die unter verschiedenen Namen Geräte mit gleicher Bauart und vor allem Firmware anfertigen. Diese Programmierung der Geräte ist es, die in der jüngeren Vergangenheit immer wieder negativ aufgefallen ist.

Meine Erfahrung hat mir gezeigt, dass das ein oder andere „smarte“ Gerät furchterregende Sicherheitseinstellungen besitzt. So verlangt etwa die 8 Euro „teure“, chinesische Webcam, dass das WLAN Passwort bitte nicht mehr als 6 Zeichen hat und nur aus Zahlen und Buchstaben (diese natürlich ohne Umlaute oder ß) bestehen soll und dass die App zum Einrichten der Kamera doch bitte Vollzugriff auf alle meine Kontakte, Bilder, Internetverlauf und vieles mehr auf meinem Smartphone erhalten solle. Ein Update der App ist sicherlich möglich, alleine schon um die Sprachqualität der Texte zu verbessern. Die Aktualisierung der Firmware ist auch auf Nachfrage nicht vorgesehen. Für Cyberkriminelle ist das natürlich ein Segen!

Einer für alle

Bereits 2016 erfolgte ein Angriff mit Hilfe einer mit Mirai infizierten Webcam-Botnet-Armee, bestehend aus circa 500.000 Geräten. Die schlecht abgesicherte Firmware (Login = admin/admin) ließ sich auch hier nicht aktualisieren. Den Angreifern gelang es so, eine DDoS Attacke auf den Dienst „Dyn“ zu starten, was zum zeitweisen Ausfall von Amazon, GitHub, Netflix, Reddit, Spotify, Twitter uvm. geführt hat.

Zu einem anderen Problem kann die starke Verbreitung von Android beitragen. Auf Smartphones und Tablets ist der Einsatz bekannt. Nicht jeder weiß aber, dass Smart-TV oder Auto-Entertainment-Systeme mittlerweile ebenfalls das von Google bereitgestellte Betriebssystem nutzen. Auch wenn sich die Einsatzzwecke unterscheiden. Schädlingen, wie Kryptominern, die die Geräte zum Schürfen von Bitcoin & Co. missbrauchen und Ransomware aller Art ist das egal, wenn sie erst den oder die Nutzer dazu bringen können, die entsprechend manipulierte App zu installieren. Angreifer können zudem auch auf Geräten mit anderen Betriebssystemen, wie Samsungs Tizen, Schwachstellen in verwendeten Protokollen und mehr dazu verwenden, Zugriff auf das Gerät und anschließend auf das gesamte Netzwerk zu erlangen. Anschließend sind die Familienfotos, sowie die Film- und Musiksammlung verschlüsselt, und es wird ein Lösegeld verlangt.

Gefahr für Leib und Leben

Ein mögliches Highlight der IFA könnte Microsofts Vorstellung der neuen Hololens Generation sein. Die aktuelle Version der Mixed Reality Brille und andere „Smartglasses“ werden bereits von verschiedenen Herstellern in der Automobilproduktion und Logistik eingesetzt. Firmware-Schwachstellen könnten es Angreifern erlauben, hier den Produktionsprozess empfindlich zu stören oder so kleine Fehler einschleusen, die erst im Straßenverkehr auffallen, indem etwa falsche Bauteile zu Unfällen führen.

Ungebremster Beliebtheit erfreuen sich zudem Drohnen, meist mit Kameras versehen. Manipulierte Firmware oder Apps und menschliches Fehlverhalten führen immer wieder zu grenzwertigen oder gefährlichen Situationen: Der Flugverkehr wurde bereits mehrfach empfindlich gestört, ob in Frankfurt oder London. Verletzungen der Privatsphäre, durch das Überfliegen von eigentlich durch blickdichte Hecken umzäunten Gartens der Nachbarn, haben schon zur ein oder anderen Auseinandersetzung geführt. Im schlimmsten Fall landen die ungewollten Aufnahmen des unbekleideten Sonnenanbetens im Internet, dann ist der Schaden groß.

Auch hier können und müssen die Hersteller der Geräte für zusätzliche Sicherheit, etwa durch Firmware-Updates sorgen. Preiswerte Drohnen bieten jedoch stellenweise auch hier keine Möglichkeit der Aktualisierung und die Gefahr bleibt.

Trautes Heim, Glück allein?

Voll integrierte Haussteuerungsanlagen, die eigene Wetterstationen mit den Jalousien und der Heizungsanlage verknüpfen, die Türklingel mit Webcam, Handyapp und Türschloss vernetzen, die Beleuchtung automatisch dem TV-Programm und der Tageszeit anpassen oder auch die Verbrauchszähler für Strom und Gas miteinander in Einklang bringen, erfreuen sich wachsender Beliebtheit. Nicht nur bei Eigenheimbesitzern, sondern auch bei Vermietern größerer Mehrfamilienhäuser und Büroobjekte. Leider ist bei der Konzeption die IT-Security wieder nur das „traurige Ende der Nahrungskette“ und wird stiefmütterlich oder gar nicht behandelt.

Während bei den Heimnutzern meist die Weboberfläche der Webcam als Einstieg durchs digitale Fenster missbraucht wird, haben die Hausanlagenautomatisierungssysteme (BAS) es neuerdings mit sogenannter Siegeware zu tun, die den Gebäudezutritt und andere Funktionen nur gegen Lösegeld wieder freigibt.

Panik ist unangebracht – mit folgenden Tipps

Die obenstehenden Beispiele decken natürlich nicht das gesamte Spektrum der Gefahren durch smarte Vernetzung ab, zeigen jedoch erstaunliche Parallelen. Wenn Sie also andere „smarte“ Geräte besitzen, Fitnesstracker, Uhren, Kühlschränke, Autos usw. besitzen, gelten die nachfolgenden Tipps auch für Sie:

  1. Updates, Updates, Updates
    Immer wieder muss darauf hingewiesen werden: Updates beziehen sich in der Regel darauf, bekannt gewordenen Schwachstellen und Lücken zu schließen. Es ist also in Ihrem eigenen Interesse, verfügbare Aktualisierungen möglichst automatisch einspielen zu lassen oder möglichst zeitnah durchzuführen.
    Bietet der Hersteller des gewünschten Gerätes keine Update-Möglichkeit, erwerben Sie lieber ein anderes Gerät!
  2. Vor dem Kauf informieren
    Lassen sich das Gerät und die dazugehörige App aktualisieren? Wie sieht der Hersteller-Support aus? Fällt der Hersteller immer wieder durch Sicherheitsvorfälle auf? Welche Alternativen gibt es am Markt? Was bedeutet die Integration des neuen Geräts in mein bestehendes Netzwerk?
    Alle diese Fragen sollten Sie vor dem Erwerb (positiv) beantworten können. „Lernen durch Schmerz“ kann teuer werden!
  3. Getrennte Netzwerke
    All die smarten Helferlein und Unterhaltungskünstler haben eine Gemeinsamkeit: Sie benötigen zur korrekten Funktion ein Netzwerk oder das Internet. Haben Sie daheim nur ein (W)LAN können Schwachstellen im Fernseher dazu führen, dass Angreifer auch gleich alle Fotos, Videos und andere Daten auf dem Netzwerkspeicher (NAS) verschlüsseln oder erbeuten und Sie anderweitig erpressen.
    Nutzen Sie daher verschiedene Netzwerksegmente für getrennten Datenzugriff. Am einfachsten lässt sich das durch das Einrichten des Gäste-(W)LAN am heimischen Router bewerkstelligen.
  4. Zusätzliche Schutzsoftware
    Wo es möglich ist, aber vor allem auf Android Geräten, wie Smartphone, Tablet, Smart Watch und Smart-TV, sollte eine Schutzsoftware installiert werden. Schauen Sie dabei nach Ihnen bekannten Herstellern, da sich im Google Play Store auch oft unseriöse und gefälschte Angebote finden.

Spezielle Tipps für die Sicherheit des Smart-TVs

  • Webcams und Mikrofone abschalten: Einige Smart-TVs haben Webcams eingebaut oder bieten Funktionen wie Sprachsteuerung an. Schalten Sie Kameras und Mikrofone ab oder deaktivieren Sie die Sprachsteuerung, um nicht selbst beobachtet oder abgehört zu werden.
  • HbbTV abschalten: HbbTV gilt als Nachfolger des Teletextes. Auf den meisten Fernsehern wird dieses Angebot mit einem Druck auf den roten Knopf aktiviert. Sie können damit Informationen zum laufenden Programm oder zusätzliche Inhalte wie Mediatheken abrufen. HbbTV sammelt aber auch Daten über Ihr Fernsehnutzungsverhalten und gibt dieses an die TV-Sender weiter. Mittlerweile gilt HbbTV auch als potentielles Angriffsziel von Hackern, um Schadsoftware auf Ihren Fernseher zu bringen. HbbTV lässt sich in Einstellungen des Smart-TVs abschalten.
  • Installieren Sie Apps nur aus vertrauenswürdigen Quellen: Benutzen Sie ausschließlich den offiziellen App-Store des Geräteherstellers oder, falls Sie ein Android-TV haben, den Google Play Store.
  • Browser nur selten benutzen: Häufig werden die Browser von Smart-TVs eher selten aktualisiert. Dadurch könnten wichtige Sicherheitstechnologien fehlen oder bekannte Bedrohungen erst spät verhindert werden. Vermeiden Sie vor allem sensible Aktivitäten wie Online-Banking oder -Shopping.
  • Keine vertraulichen Daten eingeben: Geben Sie beim Surfen über den Smart-TV so selten wie möglich Passwörter oder Adressen ein und achten Sie auf eine verschlüsselte Verbindung (URL beginnt mit https://).

Mit diesen Tipps und einer gesunden Portion Skepsis lassen sich viel Stolperfallen und echte Gefahrenquellen vermeiden. Informieren Sie sich auch weiter regelmäßig über neueste Erkenntnisse, Tipps und Tricks zum sicheren Umgang mit neuen Technologien. Eine Möglichkeit ist, den RSS Feed von WeLiveSecurity zu abonnieren.

Hier können Sie mitdiskutieren