BR24 Logo
BR24 Logo
Startseite

Wie Kriminelle IoT-Schwachstellen zu Geld machen | BR24

© Florian Schuh/Picture Alliance

Smart-Home als Ziel: Kriminelle hacken sich in Smart-Home-Geräte, um sie dazu zu missbrauchen, Kryptowährungen wie Bitcoins herzustellen.

Per Mail sharen
  • Artikel mit Audio-Inhalten

Wie Kriminelle IoT-Schwachstellen zu Geld machen

Smarte Fernseher, Drucker oder Babyphones: Viele Geräte sind heute vernetzt und Teil des Internets der Dinge (IoT). Viele dieser Geräte werden über ihren günstigen Preis verkauft. Das Thema Sicherheit bleibt auf der Strecke - die Lage ist ernst.

Per Mail sharen

Es gibt eine gute und ziemlich viele schlechte Nachrichten. Die gute zuerst: Noch haben Cyberkriminelle es nicht geschafft, aus den teils gravierenden Sicherheitslücken in Internet of Things-Geräten - kurz IoT - großflächig Kapital zu schlagen. Da stehen die Hacker in weiten Teilen der Welt noch relativ am Anfang. Allerdings nicht mehr lange. Das ist schon die erste schlechte Nachricht, die eine aktuelle Studie des japanischen IT-Sicherheitsunternehmens Trend Micro zu diesem Thema für ihre Leser bereit hält.

IoT-Geräte mit Sicherheitslücken

Die zweite schlechte Nachricht: Auch wenn IoT in immer mehr Bereichen unseres Lebens Einzug hält, vernachlässigen die Hersteller den Einbau von Sicherheitsmaßnahmen. Das berichten IT-Sicherheitsexperten auf der it-sa in Nürnberg, Europas größter Fachmesse für IT-Sicherheit.

"Es gibt kein Anreizsystem für die Hersteller, dort Sicherheit reinzubauen. Diese Geräte werden verkauft über den Preis. Es braucht eben auf Seiten der Unternehmen dann entsprechende Gegenmaßnahmen, damit diese Geräte nicht plötzlich zu Angriffsvektoren werden." - Marc Wilczek, Link11

Die Folge: Webcams, Drucker, Router und sogar mit dem Internet verbundene Industriemaschinen sind schlecht oder gar nicht gegen externe Eindringlinge geschützt. Das macht die Anwender nicht nur verwundbar, sondern in vielen Fällen auch erpressbar.

"Es ist nicht nur die Realwirtschaft, die sich digital neu erfindet. Das tut die Schattenwelt ganz genauso. Es entstehen neue Geschäftsfelder. Jeder versucht dort irgendwo eine Scheibe von dem Kuchen abzuschneiden." - Marc Wilczek, Link11

Botnetze und Schürfen von Kryptowährung

Trotzdem ist die große IoT-Apokalypse bisher ausgeblieben. Das liegt - so die IT-Forscher in ihrer Studie - vor allem daran, dass es noch keiner geschafft hat, ein funktionierendes und leicht erweiterbares Geschäftsmodell zu entwickeln.

Das heißt aber nicht, dass es nicht trotzdem tüchtige Hacker gibt. In ihrer Studie haben die Experten von Trend Micro verschiedene Untergrund-Internet-Foren durchsucht und dokumentiert, wie Cyberkriminelle Sicherheitslücken zu Geld machen wollen.

© Thomas Geiger/NürnbergMesse

Es braucht mehr Sicherheit für IoT-Geräte - da hilft leider kein Transformer als Bodyguard, wie hier an einem Messestand der it-sa in Nürnberg.

Dabei ist ihnen besonders der russischsprachige Markt aufgefallen. Hier werden regelmäßig sogenannte Botnetze angeboten. Das sind gekaperte Geräte, denen ein Hacker befehlen kann, gleichzeitig und immer wieder eine Internetseite aufzurufen. Dadurch wird diese überlastet und ist nicht mehr erreichbar. Ebenfalls im Trend: Kriminelle hacken sich in smarte Webcams, Fernseher und Babyphones, um sie dazu zu missbrauchen, Kryptowährungen wie Bitcoins herzustellen, sagt Udo Schneider von Trend Micro:

"Das ist etwas, was streng genommen, überhaupt keinen Sinn macht. Das heißt, wenn Sie heutzutage auf einer Babycam Kryptowährung schürfen, dann verbraucht das Schürfen der Währung deutlich mehr Strom als Sie jemals an Kryptowährung da raus bekommen. Der entscheidende Aspekt ist nur: Als Cyberkrimineller habe ich Hunderttausende solcher Geräte und ich zahle den Strom nicht. Das heißt, für mich lohnt es sich durchaus." - Udo Schneider, Trend Micro

Hacker besonders beim Onlinebanking aktiv

Auch brasilianische Hacker sind umtriebig, vor allem im Bereich Onlinebanking. In dortigen Foren macht eine besonders perfide Masche die Runde. Router werden so manipuliert, dass sie bei Bankgeschäften eine Fake-Seite zeigen - das aufzudecken ist für Laien quasi nicht möglich.

"Das heißt, Sie tippen bei sich am PC www.meinebank.br ein und erwarten natürlich auch, dass Sie bei Ihrer Bank auftauchen. Was aber passier ist: Der Router ist so kompromittiert, dass er den richtigen Namen zu einer falschen Adresse auflöst. Und an dieser Adresse hosten dann die Cyberkriminellen eine Seite, die genauso aussieht wie die echte Bankseite, aber einfach nur Ihre Zugangsdaten abfängt und dann - ohne Ihr Wissen - falsche Überweisungen oder falsche Transaktionen vornimmt." - Udo Schneider, Trend Micro

Gerade in Brasilien ist diese Methode besonders effektiv: Dort gelten Bankautomaten generell als unsicher, weil sich Gangs gerne an ihnen zu schaffen machen. Statt Bargeld zu verwenden, nutzen viele lieber Onlinebanking. Geht es nach Udo Schneider, ist die Lage auf dem IoT-Markt ernst.

Sicherheit bei der Entwicklung mitdenken

Die Geräte würden sich sehr schnell verbreiten und seien technisch kompromittierbar, so Schneider. Sollte jemand ein Geschäftsmodell entwickeln, das sich sehr gut replizieren lässt, dann würden wir von heute auf morgen eine massive Zunahme solcher Angriffe sehen. Die Hersteller müssten Sicherheit schon bei der Entwicklung mitdenken und implementieren - und die Kunden müssten diese dann auch bezahlen. Ein europäisches Label, ähnlich wie der CE-Sticker auf allen elektronischen Geräten, könnte hierbei helfen. An Sicherheit dürfe nicht erst nachträglich gedacht werden.

"Zu versuchen, Sicherheit irgendwo dranzuflanschen, funktioniert nur sehr bedingt oder gar nicht. Und das können wir uns bei der Verbreitung von IoT-Geräten, die wir für die nächsten 10, 15, 20 Jahre sehen, nicht leisten." - Udo Schneider, Trend Micro

Denn sonst könnte es schon bald nicht mehr nur eine gute Nachricht unter all den schlechten geben - sondern vielleicht gar keine mehr.