SENDETERMIN Mi, 28.11.18 | 21:45 Uhr | Das Erste

Sicherheitsnische: Smarte Haushaltsgeräte

PlayDen Haushalt per App steuern – Smart Home macht das möglich.
Sicherheitsnische: Smarte Haushaltsgeräte | Video verfügbar bis 28.11.2019 | Bild: BR

  • Smarte Geräte, wie Fernseher, Kaffeemaschinen, Kühlschränke oder Spielzeug sind sie nicht ausreichend abgesichert gegen Cyberkriminelle.
  • Deren Suchmaschinen spüren solche Haushaltsgeräte auf und nutzen Sicherheitslücken als Einfallstor in die Computer zu Hause. Dort stehlen sie persönliche Daten.
  • Obendrein schließen die Hacker die unsicheren smarten Geräte zu einem sogenannten Botnetz zusammen, machen daraus eine regelrechte kriminelle Cyber Armee, die die öffentliche Sicherheit gefährdet.

Vollautomatisch gelenkt fährt dieser Staubsauger die Wohnung ab. Es handelt sich um ein so genanntes smartes Gerät, computergesteuert. Normalerweise bedient es derjenige, dem der Staubsauger gehört. Doch hier geben Hacker von ihrem Büro in Tel Aviv aus das Kommando. Smarte Staubsauger dieses Herstellers sind über eine so genannte Datencloud erreichbar. Obwohl sie gar keinen eigenen Staubsauger haben, melden sich die Hacker als neue Nutzer an und kopieren die Zugangsdaten eines anderen Nutzers.

Damit haben sie Zugriff erklärt Oded Vanunu von der IT-Sicherheitsfirma Checkpoint: "Ich kann in den Staubsauger eindringen und dort Befehle geben, dass er sich bewegt. Der Staubsauger ist ein Computer. Ich kann aber auch über den Staubsauger suchen, welche anderen Geräte sich im Netzwerk in diesem Haus befinden, ich kann es hacken. Bis zum Computer des Nutzers daheim. Für Cyber Kriminelle gibt es kein Limit."

Ein gehackter Staubsauger
Ein gehackter Staubsauger  | Bild: BR

Die Geräte des Internet der Dinge oder "Internet of Things", kurz IoT, ob Babyphone, Fernseher, Heizung oder Kühlschrank funktionieren so: Nutzer können die Geräte übers Handy fernsteuern. Denn sie haben, so wie der Staubsauger, einen Computer, der Befehle empfangen kann.

Doch, von überall auf der Welt können Kriminelle über Haushaltsgeräte sogar bis in Computer daheim eindringen und persönliche Daten stehlen.

6,4 Milliarden IoT-Geräte waren laut US-Beratungsfirma Gartner 2016 mit dem Internet verbunden. In zwei Jahren sollen es schon 20 Milliarden sein. Mehr als die Hälfte davon weisen nach Expertenschätzung Sicherheitslücken auf. Wer das Internet absucht findet viele IoT-Geräte, die offen zugänglich sind. Genau die haben Hacker im Visier.

Arne Schönbohm, BSI
Arne Schönbohm, BSI | Bild: BR

Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn beobachtet, dass Cyber Kriminelle ganz gezielt Schadprogramme für das Eindringen in IoT-Geräte programmieren. Oft stehen sie im sogenannten Dark Web zum Verkauf. "2018 sind es rund 800 Mio. Schadprogramme. 390 000 neue Schadprogramme jeden Tag. Und natürlich ist das schwächste Glied in der Kette, das, wo man am einfachsten viel Geld verdienen kann und das sind eben die Internet of Things Geräte, wenn sie nicht entsprechend geschützt sind."

Der US-amerikanische Hacker Paras J. hat ein Schadprogramm geschrieben, das Haushaltsgeräte angegriffen, übernommen und zu einem so genannten Bot Netz mit dem Namen Mirai zusammengeschlossen hat. Man könne auch sagen, er habe die Haushaltsgeräte zu einer ferngesteuerten Truppe umfunktioniert, so Prozessbeobachter in den USA. Dieses Netzwerk hat Paras J. auf dem Schwarzmarkt verkauft. Er wurde im September 2017 zu fünf Jahren Gefängnis auf Bewährung verurteilt unter der Maßgabe, künftig das FBI bei Cyber-Ermittlungen zu unterstützen.

Doch schon zuvor, im November 2016 hatten Cyber Gangster mit Hilfe des Mirai Bot Netzes, die Router der Telekom angegriffen. Telefon und Internet bei über einer Millionen Kunden in Deutschland waren stundenlang tot. Es war der erste bekannte Angriff mit unsicheren Haushaltsgeräten.

Dr. Philipp Amann, Europol
Dr. Philipp Amann, Europol | Bild: BR

Immer öfter beobachtet Dr. Philipp Amann, Chef des "European Cyber Crime Centre" von Europol in Den Haag, dass IoT-Geräte für Verbrechen genutzt werden: Bei Cyber Erpressungen, beim Handel mit Kinderpornographie und noch vielen anderen Straftaten. "Das heißt, das kann jemand sein, mit politischen Motiven, mit terroristischen Motiven oder mit finanziellen Motiven. Die können sich alle im Endeffekt der gleichen Werkzeuge bedienen, um ihr Ziel zu erreichen."

Der einzige Weg, Kriminellen diese Cyber Waffe zu nehmen heißt: Schwachstellen in IoT-Geräten beseitigen. Das kann nur der Hersteller. Deshalb kontaktieren Hacker wie Oded Vanunu beim Auffinden von Schwachstellen, wie beim smarten Staubsauger, immer die Hersteller: "Wir haben die Sicherheitslücken dem Hersteller gemeldet. Und wir haben geholfen sie zu schließen."

Fabian Mittermair, Sec Consult
Fabian Mittermair, Sec Consult | Bild: BR

Doch oft interessiert das die Hersteller von IoT Geräten nicht, das hat IT-Sicherheitsexperte Fabian Mittermair erlebt. Er hat eine Kamera des chinesischen Herstellers Hangzhou Xiongmai Technology Co., Ltd gehackt. Und wieder war die Cloud ID fremder Nutzer einfach herauszubekommen und die Passwörter im Nu überwunden. Damit war der Zugriff auf die Kamera gegeben. "Eingestiegen" ist Fabian Mittermair bei der eigenen Firmenkamera am Standort Wien. "Sie sehen, jetzt hat man hier eine Verbindung, direkt in das Büronetzwerk hinein. Die Kollegen merken nichts. Die können auch nicht feststellen, dass jetzt hier jemand zusieht. Man kann jede Kamera jedes Gerät dieses Herstellers hacken auf diese Art und Weise."

Die Firma Hangzhou Xiongmai Technology Co., Ltd hat Fabian Mittermair schon im März über die Errechenbarkeit der Cloud ID, die voreingestellten Passwörter und den selbständigen Verbindungsaufbau zum Internet informiert. Doch das Unternehmen unternimmt seit Monaten nichts. Insgesamt sind neun Millionen Kameras derzeit angreifbar. Man könne damit nicht nur in fremde Zimmer schauen, man könne sie auch in ein Bot Netz einbinden, so Mittermair. 1,2 Millionen der angreifbaren Kameras sind in Deutschland, Österreich und der Schweiz. Der Nutzer übrigens hat keine Chance das abzustellen. Denn diese Kamera verbindet sich mit dem Internet ganz von selbst. Sie macht das ohne weitere Aufforderung seitens der Nutzer. Das ist vom Hersteller so konzipiert. Rund 100 unterschiedliche Hersteller, so meldet die Firma Sec Consult verwenden die Komponente, die den erläuterten Zugriff auf die Kamera erlaubt.

Smart-Home-Geräte geraten ins Visier von Hackern.
Smart-Home-Geräte geraten ins Visier von Hackern. | Bild: BR

Ist es erlaubt Produkte mit solchen Sicherheitsmängeln in Deutschland zu verkaufen? Das Bundesinnenministerium teilt auf Anfrage mit: Geräte mit bekannten Sicherheitslücken seien in Deutschland "legal". Zitat: "Bislang ist die Frage der IT-Sicherheit der Produkte keine verpflichtende Voraussetzung für die Verkehrsfähigkeit und mithin den Marktzugang."

Die Hersteller für eine Produktion sicherer Geräte nicht in die Pflicht zu nehmen, hält Prof. Wolfgang Hommel von der Universität der Bundeswehr München für verantwortungslos. Das würde die Sicherheit Einzelner, aber auch staatlicher IT-Infrastruktur gefährden. "Das Problem …hat …schon Dimensionen angenommen, die man an den Angriffen der vergangenen Jahre sieht, dass sehr deutlich geworden ist, dass ohne ein Eingreifen der Legislative an dieser Stelle man nicht mehr weiterkommen wird. D.h., es muss gesetzliche Regelungen geben, EU-weit, weltweit, die sicherstellt, dass gewisse Qualitätsmerkmale umgesetzt werden von Produkten, die auf den Markt kommen."

Doch so eine Regelung ist nicht in Sicht! Da Staubsauger, Babyphones, Heizungen und all die anderen Dinge des smarten zu Hauses Binnenmarkts relevante Güter sind, darf Deutschland, selbst wenn es wollte, im Alleingang keine rechtlich verbindlichen Zertifizierungen erlassen. Das Büro von Staatsministerin Dorothee Bär, der Beauftragten der Bundesregierung für Digitalisierung erklärte gegenüber Plusminus auf Anfrage: "Erforderlich wäre …dringend, dass die Kommission für den gesamten Binnenmarkt einheitlich verpflichtende Mindestsicherheitsanforderungen für IoT-Geräte vorschreibt. Dies ist bisher nicht geschehen."

Bericht: Sabina Wolf

Stand: 28.11.2018 23:10 Uhr

7 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt an die Zuschauerredaktion unter info@daserste.de. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.