DAUN, 14.09.2017 - 09:35 Uhr
Digitale Welt - Heimvernetzung

Smarte Haushaltsgeräte als Sicherheitslecks

Es scheint beinahe, als würde das Internet der Dinge, kurz IoT genannt, den Konsumenten das Blaue vom Himmel herunter versprechen. Auf Kommando reagiert die Beleuchtung, der Thermostat fährt automatisch nachts die Temperatur herunter, ein Kühlschrank sorgt ohne Zutun Dritter für Nachschub und die Überwachungskamera informiert über unliebsame Gäste. Was auf den ersten Blick komfortabel und sicher anmutet, hat durchaus seine Tücken. Das Smart Home ist nicht selten eine leichte Beute für Cyberkriminelle. Spätestens wenn Kühlschränke Spam-Mails verschicken und Babyfone zum DDoS-Angriff blasen, wird Otto Normalverbraucher hellhörig.

DDoS-Attacken durch IoT-Botnetze

Die Macht der vernetzten Haushaltsgeräte ist wahrlich nicht zu unterschätzen. Sie stellten ein gutes Viertel jener Streitkräfte, die zwischen 23. Dezember 2013 und 6. Januar 2014 aufgeboten wurden, um 750.000 Spam-Mails zu verschicken. Insgesamt mischten mehr als 100.000 Heimnetz-Router, Smart-TVs und Multimedia-Player bei der Aktion mit, sogar ein smarter Kühlschrank war mit von der Partie. Längst braucht es nicht mehr ausschließlich herkömmliche Computer und Router, um die Welt in Chaos und Verderben zu stürzen. Schätzungen zufolge sollen bis 2020 50 Milliarden Geräte vernetzt sein, ja mancherorts ist gar von 200 Milliarden die Rede. 

Wozu eine solche Phalanx von Schergen im Stande ist, hat der DNS-Provider Dyn am 21. Oktober 2016 zu spüren gekriegt. Über 2 Stunden waren vornehmlich in den USA Twitter, Netflix und Spotify unzugänglich. Geschuldet war dieser Distributed-Denial-of-Service-Angriff dabei der Schadsoftware Mirai, die ein Botnetz von kolportierten 300.000 Geräten infiltriert hatte. Es ist gängige Praxis, dass Botnetz-Betreiber im Internet permanent auf der Suche nach einfach zu hackenden IoT-Geräten für DDoS-Angriffe sind.

Ohne Umschweife durch die Vordertür

Im Unterschied zum Phishing ist das Ziel einer DDoS Attacke nicht der Datenklau, sondern schlicht und einfach die Lahmlegung der Website. Damit einhergehen können Geldforderungen, möglich ist aber ebenso die Absicht der nachhaltigen Rufschädigung. Entweder gebricht es dem Kunden am Verständnis für die unverschuldete virtuelle Unerreichbarkeit des Unternehmens oder ihn treiben ernsthafte Sicherheitsbedenken in die Hände der Konkurrenz. So oder so führt schlussendlich sein Verhalten zu schmerzlichen Umsatzeinbußen. Es überrascht deshalb wenig, dass sich das Internet der Dinge bei Erpressern und Aktivisten großer Beliebtheit erfreut.

Die vergleichsweise unkomplizierte Beschaffung der Handlanger tut ein Übriges. Waren dereinst noch für Computer Anti-Viren-Programme und Firewalls auszutricksen, um die Schadsoftware auf den Rechnern zu installieren, haben die Cyberkriminellen nun faktisch allerorts mit dem Standard-Passwort der Hersteller Zugang zu den smarten Haushaltsgeräten. Hinzu kommt, dass Anwender allfällige Infektionen nicht bemerken und von daher Gegenmaßnahmen unterbleiben. Ja, de facto bedarf es nicht einmal einschlägiger Programmierkenntnisse, um mit einem ansehnlichen DDoS-Angriff Online-Unternehmen das Fürchten zu lehren. Gerade mal 7.500 US-Dollar sind für ein Heer von 100.000 infizierten Rechnern zu berappen. Erhältlich ist dieses im Darknet. Ungleich billiger ist freilich ein Hack, wenn ein physischer Zugriff auf die smarten Heimgeräte drin ist. Die eklatante Schwachstelle älterer Smartphones, aktueller Set-Top-Boxen und Smart-TVs ist der eMMC-Speicher. Die Verbindung der 5 Pins des Speichers mit den entsprechenden Kontakten eines handelsüblichen SD-Kartenlesers genügt vollauf, um im Handumdrehen alle vom Nutzer gespeicherten Daten einsehen zu können. Die Kosten für diesen Angriff belaufen sich auf rund 10 US-Dollar.

Nach besten Kräften wider das Heer von Thingbots

Es ist geradezu ein Leichtes, ein in der Gewalt des Angreifers befindliches vernetztes Gerät zum sogenannten Thingbot umzufunktionieren und für Spam-Mails oder DDoS-Angriffe zu missbrauchen. Weder verschlechtert sich dadurch das Bild des Fernsehers, noch lässt die Kühlung des Kühlschranks mit einem Mal zu wünschen übrig. Ein Botnetz ist mithin rasch gewebt. Je größer die Anzahl der Geräte ist, über die es gebietet, desto schwerer ist ihm mit einschlägiger Schutzsoftware beizukommen. Deshalb ist es an Herstellern und Konsumenten, ihren Beitrag zur Sicherheit der vernetzten Haushaltstechnik zu leisten.

Die Hersteller müssten endlich mit den Standardlogins à la Benutzername „admin“ und Passwort „123456“ aufräumen. Schließlich macht eine Schadsoftware wie Mirai im Netz genau jene smarte Haushaltstechnik ausfindig, die mit solchen Standardlogins arbeitet, also ungesichert und angreifbar ist. Verschlüsselung, Datenschutz und regelmäßige Updates wären ein guter Anfang für mehr IoT-Sicherheit. Dazu bedürfte es freilich der aktiven Mitarbeit der Konsumenten. Sie mögen regelmäßige Aktualisierungen der Firmware ihrer Haushaltsgeräte zwar als lästig empfinden, Aufklärung könnte aber das Mittel zum Zweck sein. So wissen die meisten Kunden nicht, dass eine ungesicherte Webcam im Internet aufzuspüren ist und Dritten Einblick in fremde Wohnzimmer gestattet.


Diesen Artikel:
  • print Drucken
  • Bookmark Bookmarken

QR-Code mit dem Handy Scannen und diese(n) Seite / Artikel online Lesen:

 

Google QR Code Generator

QR Code for https://www.infosat.de/digitale-welt/smarte-haushaltsger-te-als-sicherheitslecks

Aktuelle Ausgabe 11/2017

Oops... Sie benutzen eine zu alte Browserversion. Um die Seite Korrekt darzustellen benutzen sie bitte mindestens den Internet Explorer 8.
navigateup

Für die Ansicht der mobilen INFOSAT Webseite drehen Sie bitte ihr Handy.