Zurück zur Startseite
Wirtschaft
Zurück zur Startseite
Wirtschaft

Einbruch übers Internet: Wie Hacker ins "Smart Home" gelangen | BR24

© BR

Nicht nur Computer lassen sich hacken. Auch Staubsauger oder Kaffeemaschinen können, einmal automatisiert und mit Internetzugang, als Einfallstor für Kriminelle dienen. Sicherheitsstandards müssten her - doch Europas Politiker bleiben zögerlich.

3
Per Mail sharen
Teilen
  • Artikel mit Video-Inhalten

Einbruch übers Internet: Wie Hacker ins "Smart Home" gelangen

Nicht nur Computer lassen sich hacken. Auch Staubsauger oder Kaffeemaschinen können, einmal automatisiert und mit Internetzugang, als Einfallstor für Kriminelle dienen. Sicherheitsstandards müssten her - doch Europas Politiker bleiben zögerlich.

3
Per Mail sharen
Teilen

Vollautomatisch gelenkt fährt ein Staubsauger durch die Wohnung. Es ist "smartes", computergesteuertes Gerät. Normalerweise arbeitet der Roboter selbstständig. Oder es lenkt ihn derjenige, dem der Staubsauger gehört. Doch diesmal geben Experten eines Unternehmens für Cybersicherheit aus Tel Aviv das Kommando.

"Ich kann loslegen und Befehle geben. Ich kann mich nach anderen smarten Geräten, die sich im Netzwerk in diesem Haus befinden, umsehen, sie bewegen und dann einen Schritt weitergehen. Also, was die Ziele der Cyber-Kriminellen anbelangt, da gibt es kein Limit." Oded Vanunu, Check Point Software Technologies, Tel Aviv

Der Staubsauger-Hack funktioniert so: Alle Geräte des Herstellers sind über eine Daten-Cloud erreichbar. Obwohl sie keinen eigenen Staubsauger haben, melden sich Oded Vanunu und sein Team als neue Nutzer an. Dann ersetzen sie die Kennung eines beliebigen Nutzers durch ihren Code. Damit haben sie Zugriff.

Der vernetzte Haushalt: Einfallstor für Cyberkriminelle

Das "Internet der Dinge" oder "Internet of Things", kurz IoT, kann so ziemlich alles sein, was man in einem Familienhaushalt vorfindet: vom Kühlschrank bis zum Babyphone. Nutzer können die Geräte übers Handy fernsteuern. Denn diese haben, so wie der Staubsauger, einen Computer, der Befehle empfangen kann. Wenn aber Sicherheitslücken bestehen, können Kriminelle von überall auf der Welt in die Haushaltsgeräte bis hin zum persönlichen Computer eindringen und Daten stehlen.

6,4 Milliarden IoT-Geräte waren 2016 mit dem Internet verbunden - Tendenz steigend. Rund die Hälfte davon weist Sicherheitslücken auf, schätzen Experten. Genau die haben Hacker im Visier. Denn, wie das Bundesamt für Sicherheit in der Informationstechnik in Bonn beobachtet: Cyberkriminelle haben aus dem Entwickeln von Schadprogrammen für smarte Geräte ein Geschäft gemacht.

"2018 sind es rund 800 Millionen Schadprogramme. 390.000 neue Schadprogramme jeden Tag. Und natürlich ist das schwächste Glied in der Kette das, wo man am einfachsten viel Geld verdienen kann: Und
 das sind eben die Internet-of-Things-Geräte, wenn sie nicht entsprechend geschützt sind." Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik

Gehackte Haushaltsgeräte können angreifen und Schaden anrichten wie eine feindliche Armee. Zuerst werden die Haushaltsgeräte mit einem Schadcode infiziert. Damit greifen sie dann andere Computer an und infizieren sie.

Bayerischer Verfassungsschutz: "Smart Homes" können Spionage begünstigen

Gehackte
 Haushaltsgeräte können Computer in Krankenhäusern oder in Firmen verschlüsseln. Mehr noch: Manchmal schleusen sie sogar Spionageprogramme ein. Das hat das Bayerische Landesamt für Verfassungsschutz festgestellt. Angreifer können dabei auch Kaffeemaschinen, Kühlschränke oder einen smarten Drucker nutzen.

"Nachrichtendienste greifen nicht mehr nur einen einzelnen Arbeitsplatzcomputer an oder einen Server, auf dem vielleicht Daten gespeichert sind. Sie suchen sich auch als Einfallstor im Unternehmen ein Netzwerkgerät oder ein netzwerkfähiges Gerät. Und das kann auch ein Drucker sein, über den ich in das Netzwerk einsteige und mich von dort aus umsehe und schaue, was ist meine Umgebung, wie kann ich in andere Netzwerksegmente springen und von dort aus dann tatsächlich Spionage betreiben." Michael George, Bayerisches Landesamt für Verfassungsschutz

Der einzige Weg, Kriminellen und Spionen diese Cyberwaffen zu nehmen, heißt: Schwachstellen in IoT-Geräten beseitigen. Das können nur die Hersteller solcher Produkte. Doch gerade die interessiert das oft nicht, wie IT-Sicherheitsexperte Fabian Mittermair erlebt hat. Zu Demonstrationszwecken hackt er von München aus die Kamera seiner Kollegen in Wien.

"Wir wählen die Cloud ID. Das ist eine ID, die kann man recht einfach feststellen. Haben wir auch festgestellt. Und können uns in die Kamera einloggen. Und ich sage dann einfach ok, und bin jetzt mit dem Gerät, wie man sieht, verbunden. Ich kann jetzt hier in der Software auf Monitor gehen. Und die Kamera, die wir angegriffen haben, öffnen. Und Sie sehen, jetzt hat man hier eine Verbindung, direkt in das Büronetzwerk hinein. Die Kollegen merken nichts. Die können auch nicht feststellen, dass jetzt hier jemand zusieht. Man kann jede Kamera, jedes Gerät dieses Herstellers hacken. Auf diese Art und Weise." Fabian Mittermair, IT-Sicherheitsexperte, SEC Consult

Europäische Kommission bewegt sich nicht

Bei neun Millionen Kameras hat Fabian Mittermair diese Sicherheitslücke festgestellt - 1,2 Millionen davon in Deutschland, Österreich und der Schweiz. Die unsichere Komponente in der Kamera verwenden zahlreiche Hersteller für Babyphones, Videorecorder oder Kameras. Doch der Hersteller schließt die Sicherheitslücke nicht: muss er auch nicht. Das Bundesinnenministerium teilt auf Anfrage mit, Geräte mit bekannten Sicherheitslücken seien in Deutschland legal:

"Bislang ist die Frage der IT-Sicherheit der Produkte keine verpflichtende Voraussetzung für die Verkehrsfähigkeit und mithin den Marktzugang." Stellungnahme Bundesinnenministerium, 26.11.2018

An der Universität der Bundeswehr München hält man das für unverantwortlich:

"Das Problem hat schon Dimensionen angenommen, die man an den Angriffen der vergangenen Jahre sieht: dass sehr deutlich geworden ist, dass man ohne ein Eingreifen der Legislative an dieser Stelle nicht mehr weiterkommen wird. Das heißt, es muss gesetzliche Regelungen geben, EU-weit, weltweit: dass gewisse Qualitätsmerkmale umgesetzt werden von Produkten, die auf den Markt kommen." Wolfgang Hommel, Professor für IT-Sicherheit, Universität der Bundeswehr München

Gefragt ist jetzt die Europäische Kommission. Sie muss einheitlich verpflichtende Mindest-Sicherheitsanforderungen für IoT-Geräte vorschreiben. Doch bisher ist sie untätig. Und damit macht sie die gesamte smarte Infrastruktur in Haushalten für Hacker angreifbar.