Zurück zur Startseite
Wirtschaft
Zurück zur Startseite
Wirtschaft

Millionen smarte Haushaltsgeräte sind für Hacker angreifbar | BR24

© BR

Smarte Haushaltsgeräte sind anfällig für Hackerangriffe

Per Mail sharen

    Millionen smarte Haushaltsgeräte sind für Hacker angreifbar

    Smarte Haushaltsgeräte wie Staubsauger und Heizungen sollen den Alltag erleichtern - doch Millionen von ihnen haben Sicherheitsmängel: Recherchen des ARD-Magazins "Plusminus" zeigen, wie leicht Hacker im gesamten Haus Daten stehlen können.

    Per Mail sharen

    Vollautomatisch gelenkt fährt dieser Staubsauger die Wohnung ab. Es handelt sich um ein sogenanntes smartes Gerät, computergesteuert. Normalerweise bedient es derjenige, dem der Staubsauger gehört. Doch hier geben Hacker von ihrem Büro in Tel Aviv aus das Kommando. Smarte Staubsauger dieses Herstellers sind über eine sogenannte Datencloud erreichbar.

    Obwohl sie gar keinen eigenen Staubsauger haben, melden sich die Hacker als neue Nutzer an und kopieren die Zugangsdaten eines anderen Nutzers. Damit haben sie Zugriff, erklärt Oded Vanunu von der IT-Sicherheitsfirma Checkpoint:

    "Ich kann in den Staubsauger eindringen und dort Befehle geben, dass er sich bewegt. Der Staubsauger ist ein Computer. Ich kann aber auch über den Staubsauger suchen, welche anderen Geräte sich im Netzwerk in diesem Haus befinden, ich kann es hacken. Bis zum Computer des Nutzers daheim. Für Cyber-Kriminelle gibt es kein Limit." Oded Vanunu, IT-Sicherheitsfirma Checkpoint

    Kriminelle können Haushaltsgeräte fernsteuern

    Die Geräte des Internets der Dinge oder "Internet of Things", kurz IoT - ob Babyphone, Fernseher, Heizung oder Kühlschrank - funktionieren so: Nutzer können die Geräte übers Handy fernsteuern. Denn sie haben wie der Staubsauger, einen Computer, der Befehle empfangen kann. Das Problem: Von überall auf der Welt können Kriminelle über Haushaltsgeräte sogar bis in Computer daheim eindringen und persönliche Daten stehlen.

    Rund 6,4 Milliarden IoT-Geräte waren laut US-Beratungsfirma Gartner 2016 mit dem Internet verbunden. In zwei Jahren sollen es schon 20 Milliarden sein. Mehr als die Hälfte davon weisen nach Expertenschätzung Sicherheitslücken auf. Wer das Internet absucht, findet viele IoT-Geräte, die offen zugänglich sind. Genau die haben Hacker im Visier.

    © BR

    Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

    Arne Schönbohm beobachtet, dass Cyber-Kriminelle ganz gezielt Schadprogramme für das Eindringen in IoT-Geräte programmieren. Er ist Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn. Oft stehen die nötigen Programm im sogenannten Dark Web zum Verkauf.

    "2018 sind es rund 800 Mio. Schadprogramme. 390.000 neue Schadprogramme jeden Tag. Und natürlich ist das schwächste Glied in der Kette, das, wo man am einfachsten viel Geld verdienen kann und das sind eben die Internet of Things Geräte, wenn sie nicht entsprechend geschützt sind." Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

    Telekom-Router mit Botnetz angegriffen

    Der US-amerikanische Hacker Paras J. hat ein Schadprogramm geschrieben, das Haushaltsgeräte angegriffen, übernommen und zu einem so genannten Botnetz mit dem Namen Mirai zusammengeschlossen hat. Man könne auch sagen, er habe die Haushaltsgeräte zu einer ferngesteuerten Truppe umfunktioniert, so Prozessbeobachter in den USA.

    Dieses Netzwerk hat Paras J. auf dem Schwarzmarkt verkauft. Er wurde im September 2017 zu fünf Jahren Gefängnis auf Bewährung verurteilt unter der Maßgabe, künftig das FBI bei Cyber-Ermittlungen zu unterstützen.

    Schon im November 2016 hatten Cyber-Gangster mit Hilfe des Mirai Botnetzes, die Router der Telekom angegriffen. Telefon und Internet bei über einer Millionen Kunden in Deutschland waren stundenlang tot. Es war der erste bekannte Angriff mit unsicheren Haushaltsgeräten.

    Vernetzte Geräte werden immer öfter für Verbrechen genutzt

    Immer öfter beobachtet Dr. Philipp Amann, Chef des "European Cyber Crime Centre" von Europol in Den Haag, dass IoT-Geräte für Verbrechen genutzt werden: Bei Cyber-Erpressungen, beim Handel mit Kinderpornographie und bei noch vielen anderen Straftaten.

    "Das heißt, das kann jemand sein, mit politischen Motiven, mit terroristischen Motiven oder mit finanziellen Motiven. Die können sich alle im Endeffekt der gleichen Werkzeuge bedienen, um ihr Ziel zu erreichen." Dr. Philipp Amann, Chef des "European Cyber Crime Centre" von Europol

    Der einzige Weg, Kriminellen diese Cyberwaffe zu nehmen, ist, Schwachstellen in IoT-Geräten zu beseitigen. Aber das kann nur der Hersteller. Deshalb kontaktieren Hacker wie Oded Vanunu beim Auffinden von Schwachstellen, wie beim smarten Staubsauger, immer die Hersteller: "Wir haben die Sicherheitslücken dem Hersteller gemeldet. Und wir haben geholfen sie zu schließen."

    Hersteller interessieren sich oft nicht für Sicherheitslücken

    Doch oft interessiert das die Hersteller von IoT-Geräten nicht, das hat IT-Sicherheitsexperte Fabian Mittermair erlebt. Er hat eine Kamera des chinesischen Herstellers Hangzhou Xiongmai Technology Co., Ltd gehackt. Und wieder war die Cloud ID fremder Nutzer einfach herauszubekommen und die Passwörter im Nu überwunden – schon hatte er Zugriff auf die Kamera.

    "Eingestiegen" ist Fabian Mittermair bei der eigenen Firmenkamera am Standort Wien: "Man hat eine Verbindung direkt in das Büronetzwerk hinein. Die Kollegen merken nichts. Die können auch nicht feststellen, dass jetzt hier jemand zusieht. Man kann jede Kamera jedes Gerät dieses Herstellers hacken auf diese Art und Weise."

    Die Firma Hangzhou Xiongmai Technology Co., Ltd hat Fabian Mittermair schon im März über die Errechenbarkeit der Cloud ID, die voreingestellten Passwörter und den selbständigen Verbindungsaufbau zum Internet informiert. Doch das Unternehmen unternimmt seit Monaten nichts. Insgesamt sind neun Millionen Kameras derzeit angreifbar. Man könne damit nicht nur in fremde Zimmer schauen, man könne sie auch in ein Botnetz einbinden, so Mittermair. 1,2 Millionen der angreifbaren Kameras sind in Deutschland, Österreich und der Schweiz.

    Der Nutzer übrigens hat keine Chance das abzustellen. Denn diese Kamera verbindet sich mit dem Internet ganz von selbst. Sie macht das ohne weitere Aufforderung seitens der Nutzer. Das ist vom Hersteller so konzipiert. Rund 100 unterschiedliche Hersteller verwenden die Komponente, die den erläuterten Zugriff auf die Kamera erlaubt, meldet die Firma Sec Consult.

    Bundesinnenministerium: Geräte mit Sicherheitslücken nicht illegal

    Ist es erlaubt Produkte mit solchen Sicherheitsmängeln in Deutschland zu verkaufen? Das Bundesinnenministerium teilt auf Anfrage mit: Geräte mit bekannten Sicherheitslücken seien in Deutschland legal: "Bislang ist die Frage der IT-Sicherheit der Produkte keine verpflichtende Voraussetzung für die Verkehrsfähigkeit und mithin den Marktzugang."

    Die Hersteller für eine Produktion sicherer Geräte nicht in die Pflicht zu nehmen, das hält Prof. Wolfgang Hommel von der Universität der Bundeswehr München für verantwortungslos. Das würde die Sicherheit Einzelner, aber auch staatlicher IT-Infrastruktur gefährden.

    "Das Problem hat schon Dimensionen angenommen, die man an den Angriffen der vergangenen Jahre sieht, dass sehr deutlich geworden ist, dass ohne ein Eingreifen der Legislative an dieser Stelle man nicht mehr weiterkommen wird. Das heißt, es muss gesetzliche Regelungen geben – EU-weit, weltweit –, die sicherstellt, dass gewisse Qualitätsmerkmale umgesetzt werden von Produkten, die auf den Markt kommen." Prof. Wolfgang Hommel, Universität der Bundeswehr München

    Doch so eine Regelung ist nicht in Sicht. Da Staubsauger, Babyphones, Heizungen und all die anderen Dinge des smarten Zuhauses relevante Güter für den Binnenmarkt sind, darf Deutschland im Alleingang keine rechtlich verbindlichen Zertifizierungen erlassen.

    Das Büro von Staatsministerin Dorothee Bär, der Beauftragten der Bundesregierung für Digitalisierung, erklärte Plusminus auf Anfrage: "Erforderlich wäre dringend, dass die Kommission für den gesamten Binnenmarkt einheitlich verpflichtende Mindestsicherheitsanforderungen für IoT-Geräte vorschreibt. Dies ist bisher nicht geschehen."

    Mehr zum Thema
    • Sicherheitslücken beim Smart Home
    • Was Funkwasserzähler über uns verraten
    • Vernetzte Hausgeräten: Viren haben leichtes Spiel
    Sendung

    Plusminus

    Autor
    • Sabina Wolf
    Schlagwörter