Geräte im Haushalt: Sicherheit via Internet in Gefahr

Kostenpflichtiger Inhalt: Gefahr durchs Internet : Wenn Haushaltsroboter auf Attacke schalten

In „smarten“ Hausgeräten steckt oft fehlerträchtige Software. Das Saarbrücker IT-Zentrum Cispa setzt sich für mehr Sicherheit ein.

Am 21. Oktober des Jahres 2016 zog eine unbekannte Macht dem Internet den Stecker. Soziale Netzwerke, Onlineshops und Webadressen großer Unternehmen waren stundenlang nicht erreichbar. Auslöser des größten bislang dokumentierten IT-GAUs war Mirai, eine Schadsoftware, die mit einer beispiellosen Cyberattacke wichtige Server aus dem Netz kegelte. Informatiker sprechen von einem sogenannten Distributed Denial of Service-Angriff. Dabei feuern Hacker auf wichtige Internetserver Milliarden sinnloser Datenabfragen ab, sodass die Rechner am Ende zusammenbrechen.

Ähnliche Attacken hatte es auch früher schon gegeben. Neu an Mirai war, dass dieser Großangriff von Kühlschränken, Rasenmähern, Glühbirnen und ähnlichem Gerät mit Netzanschluss ausging. Er kam aus dem „Internet der Dinge“ („Internet of things“, IOT), wie die Experten sagen. Informatiker bezeichnen mit diesem Ausdruck Myriaden internetfähiger Schaltkreise in unseren Haushalten. Sie stecken in Geräten, die von der Werbung als „intelligent“ bezeichnet werden und die Fachleute in vielen Fällen schlicht für gefährlich halten.

Das Thema sei, sagt Oliver Schranz vom IT-Sicherheitszentrum Cispa der Helmholtz-Gemeinschaft in Saarbrücken, „ein Riesenproblem“. Die Zahl der Geräte im Internet der Dinge wachse schneller als das Sicherheitsbewusstsein ihrer Entwickler. „Da geht es zu wie im Wilden Westen.“ Das Markforschungsunternehmen IOT-Analytics beziffert die Zahl der Geräte derzeit mit sieben Milliarden weltweit. Nach anderen Schätzungen könnte die Zahl der Haushaltshelfer mit Netzanschluss zu Beginn des kommenden Jahrzehnts 50 Milliarden erreichen. Das wären zehnmal mehr, als es Smartphones gibt.

Die Sicherheitslage in diesem Teil der Computerwelt gleiche mittlerweile wieder der Situation in der PC-Branche am Ende des vergangenen Jahrhunderts, kritisiert der Cispa-Informatiker, der an der Saar-Universität promoviert. Alle großen Hersteller versuchten ihre Standards durchzudrücken, das Thema Sicherheit stehe erst einmal hintenan. Weil viele Produzenten typischer Haushalts-Hardware außerdem keine Erfahrung in Sachen Software hätten, „müssen wir jetzt im Prinzip dieselben Probleme wie bei den PCs noch einmal lösen“.

Wie groß diese Probleme in der Praxis sind, testen die Cispa-Informatiker in Saarbrücken mit einem sogenannten Honeypot. Der „Honigtopf“ ist eine Falle für Computerviren, -würmer und andere Programme, die Böses im Schilde führen. Im Cispa hat der Honeypot die Form einer kleinen Kiste mit einem angeschlossenen Internet-Router, in der eine Reihe Kleingeräte mit Netzanschluss schutzlos allen Angriffen aus dem World Wide Web ausgesetzt sind. Größere Apparate werden per Software simuliert. Diese Geräte sollen gezielt als Opfer für Schadprogramme präsentiert werden, die die Saarbrücker Informatiker dann sezieren wollen.

Die Angriffe hätten extrem zugenommen, erklärt Oliver Schranz. Im Schnitt dauere es nach dem Einschalten eines Geräts maximal zwei Minuten bis zur ersten Attacke aus den Tiefen der Netzwelt. IOT-Geräte seien leicht zu erlegende Opfer, sagt Oliver Schranz. „Diese Geräte sind immer online, da schaut in der Regel niemand drauf und Updates gibt es, wenn überhaupt, viel zu selten.“

Es gibt mehrere Gründe, die Hacker dazu bewegen können, Kontrolle über den autonomen Staubsauger in unserem Wohnzimmer, den Rasenmäher oder den per WLAN vernetzten Thermostaten erlangen zu wollen. Diese Geräte verraten eine Menge über ihren Benutzer. Wann ist er zu Hause, wann ist er im Urlaub? Sie zeigen, wie groß eine Wohnung ist und möglicherweise sogar, wo sie liegt, erklärt der Cispa-Experte. Informatiker der TU Darmstadt haben gerade ein Modell eines Staubsauger-Roboters entdeckt, das einem Angreifer den Grundriss der Wohnung zeigt, in dem er seinen Dienst verrichtet. Hacker könnten auf das Gerät über seine leicht zu ermittelnde Hardwareadresse (MAC-Adresse) zugreifen. Französische Zeitungen berichteten im Juni von der Küchenmaschine eines großen Discounters, in dem nicht nur eine veraltete Betriebssystemversion, sondern auch ein verborgenes Mikrofon steckte. Und im Jahr 2017 haben Rechtswissenschaftler der Saar-Uni in einem Gutachten eine internetfähige Puppe als potentielles Spionagegerät identifiziert. Sie enthielt ein Mikrofon und konnte per Smartphone Daten ins Internet senden.

In der überwiegenden Zahl der Fälle, so sagt Oliver Schranz, dürfte es Hackern, die digitale Haushaltshelfer übernehmen wollen, aber nicht darum gehen, Spionage zu treiben. „Viel lukrativer ist für sie der Aufbau von Botnetzen.“ Die Abkürzung ist abgeleitet vom Wort „Roboter“ und beschreibt ein bösartiges Netzwerk von vielen Tausend oder sogar Millionen Computern.

Wenn Hacker diese Geräte aus der Ferne kontrollieren, können sie deren zusammengefasste Rechenleistung als Dienstleistung für viele Einsatzzwecke verkaufen. Ein Beispiel, was damit dann möglich ist, gab Mirai im Jahr 2016.

Doch auch wenn es heute in der IOT-Branche wie einst im Wilden Westen zugeht, wie Oliver Schranz sagt, lassen die Großen der Wirtschaft keinen Zweifel daran, dass ihrer Meinung nach dem Internet der Dinge die Zukunft gehört. Dies sei einer der großen Informatik-Trends der nächsten Jahre. Worauf soll der Kunde also achten, wenn er sich einen intelligenten Rasenmäher, eine vernetzte Glühbirne oder einen Staubsaugerroboter zulegen will?

Wichtig, so sagt Oliver Schranz, ist ein Blick auf die Reputation des Herstellers. Macht der beim Datenaustausch auf offenen Plattformen der Informatik-Community zu Sicherheitslücken mit? „Das zeigen Internetportale wie hackerone.com und bugcrowd.com. Man muss kein Informatiker sein, um hier nachzusehen, ob der Hersteller eines bestimmten Geräts an diesem Austausch teilnimmt.“ Eine Übersicht der Unternehmen gibt es zum Beispiel auf den Seiten https://hacker
one.com/directory und https://bugcrowd.com/programs. Wichtig sei auch, sich vor dem Kauf zu informieren, ob ein Hersteller regelmäßig Software-Updates für seine Geräte veröffentlicht.

Auch OIiver Schranz ist überzeugt, dass sich die kleinen, intelligenten Haushaltshelfer letztlich durchsetzen werden, weil sie unser Leben so viel bequemer machen. Aber ist es dafür wirklich nötig, das gesamte digitale Innenleben eines Eigenheims aus der Ferne steuern zu können? „Wenn ein Gerät mit Servern außer­halb des eigenen Haushalts kommunizieren kann, ist das immer riskanter, als wenn es auf das WLAN zu Hause beschränkt bleibt.“

Wer noch mehr zum Thema Datensicherheit im Internet der Dinge wissen möchte, für den hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Ratgeber zum Thema zusammengestellt. Er ist auf den Internetseiten des Bundesamts in der Rubrik „Digitale Gesellschaft“ unter der Überschrift „Internet der Dinge“ zu finden. Der wichtigste Ratschlag allerdings, den Oliver Schranz zur Sicherheit im Internet der Dinge zu geben hat, ist ebenso alt wie effektiv: „Wer ein Netzgerät erstmals in Betrieb nimmt, muss unmittelbar die Nutzerkennung und das Passwort ändern. Geräte mit der voreingestellten Standardkonfiguration sind genauso unsicher wie Geräte ohne Passwortschutz. Ein gutes Passwort macht Hackern das Leben schwer.“

https://cispa.saarland/de

https://www.bsi.bund.de

Mehr von Saarbrücker Zeitung