Sicherheit im Internet der Dinge

So brechen Hacker ins Smart Home ein

Eine Sicherheitssoftware für den Computer ist Standard. Aber was ist mit vernetzten Haushaltsgeräten und Gadgets? Eben. Auch diese Geräte können gehackt werden.

Felix Raymann (Text), 17. November 2016

Ob Fernseher, Kühlschrank, Überwachungskamera oder die Kaffeemaschine: Neuere Geräte und Gadgets lassen sich per App bedienen oder verbinden sich selbständig mit dem Internet. Kurz: Smart Home. Dies vereinfacht unseren Alltag – birgt aber auch Gefahren. Denn: Was bei vielen Geräten fehlt, ist eine Sicherheitssoftware und ein sicheres Passwort.

 

Dies machen sich auch Cyberkriminelle zunutze: In einer der bisher grössten DDoS-Attacken (Distributed Denial of Service), bei der kürzlich die Websites von Netflix, Twitter, Spotify und PayPal mit Hilfe eines Botnets lahmgelegt wurden, verwendeten Hacker zahlreiche vernetzte Hausgeräte, Kameras, Sensoren, Router und TV-Receiver.

 

 

Thingbots: Botnets mit vernetzten Geräten

 

Anders als bei einem Botnet, das vor allem aus den PCs ahnungsloser Benutzer besteht, haben die Hacker bei dieser Attacke viele ungeschützte Geräte aus dem Internet der Dinge gekapert und damit Millionen von Anfragen auf die oben genannten Websites ausgeführt. Die Folge: Die Websites wurden lahmgelegt und waren stundenlang offline.

 

 

Botnets und Thingbots


Mithilfe von Schadprogrammen sind Hacker in der Lage, PCs oder andere vernetzte Geräte aus der Ferne zu manipulieren, um beispielsweise Spam-Mails zu versenden oder mittels Millionen gleichzeitiger Aufrufe die Server von Websites zu überlasten und diese lahmzulegen. Die Gruppen dieser ferngesteuerten Computer werden als Botnet bezeichnet (von engl. robot, «Roboter», und net, «Netz»). Handelt es sich bei den manipulierten Geräten um Haushaltsgeräte, Router, Sensoren und dergleichen, spricht man auch von einem sogenannten Thingbot.

 

 

 

Aus den Geräten im Internet der Dinge (Internet of Things, kurz: IoT) lassen sich somit gigantische Thingbots betreiben, die dazu verwendet werden, sensible Daten zu stehlen oder Schadsoftware zu verbreiten. Alle vernetzten Geräte und insbesondere die dazugehörigen Apps sammeln Daten: etwa persönliche Daten, Informationen zum Nutzerverhalten oder die Bilder von Überwachungskameras oder Babyphones.

 

 

In den meisten modernen Haushalten befinden sich mehrere vernetzte Geräte.  

 

 

So schützen Sie sich

 

Weil aber viele Benutzer die vom Hersteller verwendeten Standard-Passwörter oder gar kein Passwort nutzen, ist es für Hacker ein leichtes Spiel, diese von aussen zu manipulieren. «Das Wichtigste ist, dass die im Haus vernetzten Geräte gegen aussen gut geschützt werden», sagt Burkhard Stiller, Professor am Institut für Informatik an der Universität Zürich und Leiter der Forschungsgruppe für Kommunikationssysteme CSG. «Für Router und Haustechnik-Systeme sollte man eine aktuell gehaltene Firewall und selbst gewählte, komplexe Passwörter benutzen.» Weitere Sicherheitstipps finden Sie am Ende des Artikels.  

«Ähnlich wie die verschlossene Haustüre können Sicherheitsmassnahmen die meisten unliebsamen Eindringlinge abwehren.»

Burkhard Stiller, Professor am Institut für Informatik an der Universität Zürich

Zwar sind alle vernetzten Geräte mit einer IP-Adresse ausgestattet und somit von anderen Geräten erreichbar, doch werden diese Adressen üblicherweise dynamisch im privaten IP-Adressbereich innerhalb eines Haus-Netzwerks vergeben, sodass sie von ausserhalb nicht einfach erreichbar sind. Trotzdem ist ein guter Schutz gegen aussen wichtig. «Ähnlich wie die verschlossene Haupteingangstüre zum Haus können diese Sicherheitsmassnahmen die meisten unliebsamen Eindringlinge abwehren», sagt Stiller.

 

 

Schweizer Webcams gehackt

 

Beispiele für gehackte Heimgeräte gibt es mehrere. Beispielsweise haben Hacker tausende Webcams auf der ganzen Welt – darunter mindestens 141 in der Schweiz – gekapert und die Bilder auf einer russischen Website gezeigt. So konnte jeder, der wollte, in fremde Wohnzimmer, Gärten oder Kinderzimmer schauen, in denen die Bewohner eine Überwachungskamera oder eine vernetzte Babyphone-Kamera installiert hatten.

 

 

Hacker können nicht nur Überwachungskameras und Webcams zum Ausspionieren missbrauchen, sondern auch Babyphones mit integrierter Kamera.

 

 

Es gibt aber auch weniger offensichtliche Datenlecks, die sich negativ auswirken können. Beispielsweise kann die Heizungssteuerung einem Hacker darüber Auskunft geben, wann die Bewohner jeweils zuhause sind. In der Folge könnte ein Einbruch nicht mehr nur virtuell, sondern von Einbrechern ganz real durchgeführt werden.

 

 

Keine Sicherheitsstandards

 

Eine Studie von HP Security Research hat aufgezeigt, dass im Internet der Dinge die Sicherheitsprinzipien, wie sie in der Computerwelt schon seit 20 Jahren unverzichtbar sind, bei der Herstellung der Smart-Home-Geräte kaum berücksichtigt werden.

«Im Internet der Dinge gibt es zurzeit keine allgemeingültigen Standards und zertifizierten Sicherheitsrichtlinien.»

Burkhard Stiller, Professor am Institut für Informatik an der Universität Zürich

Einerseits können dieselben Standards nicht einfach auf Gadgets und Elektrogeräte oder die Haustechnik übernommen werden, andererseits leben viele Geräte davon, dass sie sich sehr einfach und schnell verbinden lassen. Da stören mühevoll einzurichtende Firewalls, die man regelmässig aktualisieren muss, bloss. «Im Internet der Dinge gibt es zurzeit keine allgemeingültigen Standards und zertifizierten Sicherheitsrichtlinien, da die Gerätetypen zu vielfältig sind», sagt Burkhard Stiller.

 

 

Offene Bluetooth-Geräte

 

Bei Sicherheitstests konnten Funk-Mäuse gehackt werden, so dass Bewegungen und Klicks gefälscht werden konnten.  

 

 

Auch Bluetooth-Geräte sind oft nicht vor fremden Zugriffen geschützt. Auch wenn hier die Gefahr von Missbräuchen wesentlich kleiner ist, konnten Sicherheitsexperten in Tests nachweisen, dass die meisten PC-Mäuse gekapert werden können. Dazu ist es allerdings notwendig, dass sich die Hacker in unmittelbarer Nähe befinden.

Bei einem Auto konnte aus der Ferne in die Lenkung eingegriffen und die Bremsen ausser Betrieb gesetzt und das Radio aufgedreht werden.

In Unternehmen könnten solche Sicherheitslücken allerdings heikel sein. Gemäss einer Studie des Marktforschungsinstituts Gartner werden im Jahr 2020 mehr als 25 Prozent der Cyber-Angriffe in Unternehmen auf das Internet der Dinge zielen.

 

 

Gehackte Autos

 

Geschätzt wird, dass im Jahr 2020 bereits 50 Milliarden Dinge mit dem Internet verbunden sein werden. Viele sind mitunter auch auf IoT-spezialisierten Suchmaschinen wie Shodan auffindbar. Zu den vernetzten Geräten gehören aber auch Wearables wie etwa Fitness-Armbänder oder Autos, die ebenfalls gehackt werden können, wie Forscher in Tests immer wieder beweisen.

 

So konnte etwa bei einem Auto aus der Ferne in die Lenkung eingegriffen und die Bremsen ausser Betrieb gesetzt, die Klimaanlage eingeschaltet und das Radio aufgedreht werden. Somit gilt auch für Autos, was für PCs und Smartphones schon längst und für Haushaltsgeräte ebenfalls gilt: die Software aktuell halten und die Systeme mit sicheren Passwörtern schützen.

 

 

 

Tipps: Wie man vernetzte Geräte schützt

 

  • Sichere Passwörter verwenden: Wie beim E-Mail-Account oder beim PC sollte man auch bei vernetzten Geräten darauf achten, dass sichere Passwörter benutzt werden, also Klein- und Grossbuchstaben sowie Ziffern und Sonderzeichen verwenden. Häufig werden Geräte und Gadgets von den Herstellern mit einem Standard-Passwort versehen. Dieses sollte man unbedingt ändern und jedes Passwort nur jeweils für ein Gerät verwenden.
  • Geräte, die über ein vorgegebenes, nicht veränderbares Administratorenpasswort verfügen, sollte man am besten erst gar nicht verwenden.
  • Automatik ausschalten: Schalten Sie die UPnP-Funktion (Universal Plug and Play) am Router aus. Diese ermöglicht es, dass sich Geräte automatisch verbinden und somit von aussen gefunden werden können.
  • Software aktualisieren: Alle vernetzten Haushaltsgeräte, Webcams, Lampen, Autos und Router etc. müssen, um möglichst sicher zu sein, stets mit aktuellen Softwares bzw. Firmwares versehen werden, was aber bei vielen verschiedenen IoT-Geräten sehr aufwendig werden kann.
  • Berechtigungen einschränken: Geräte, die über das Smartphone per App gesteuert werden, haben oft standardmässig zu viele Berechtigungen zugewiesen. Deaktivieren Sie diejenigen App-Einstellungen, welche den Zugriff auf sensitive Daten des Smartphones oder eines verbundenen Dienstes erlauben. Für viele Anwendungen ist es völlig unnötig, dass auf Ortungsdienste, Kontaktadressen, die Kamera oder das Mikrofon zugegriffen werden darf.
  • Firewalls sollten im Smart Home so konfiguriert werden, dass Verbindungsaufnahmen von aussen auf haus- oder wohnungsinterne Geräte nur von einem registrierten Gerät (z.B. das Smartphone) durchgeführt werden können.

 

IoT von Swisscom

Für Unternehmen ermöglicht das Internet of Things eine hilfreiche Prozessautomatisierung. Swisscom baut als erste Anbieterin schweizweit ein ergänzendes Netz für das Internet der Dinge, das Low Power Network.

 

Cyber Security: Ein Bericht von Swisscom zeigt die Bedrohungslage von 2015 und ihre Entwicklung. Der aktuelle Bericht von 2016 ist derzeit noch in Arbeit, wird aber demnächst aufgeschaltet.

 

 

 

 

Diskutieren Sie mit

 

Besitzen Sie in Ihrem Haushalt vernetzte Geräte? Wie schützen Sie diese vor Hackern?

 

Vielen Dank für Ihren Beitrag. Wir publizieren Leserkommentare von Montag bis Freitag.