Laufend kommen neue Geräte auf den Markt, die helfen sollen, die eigene Wohnung ein wenig „intelligenter“ zu machen, bestimmte Aufgaben flexibler und bequemer zu erledigen oder Abläufe zu automatisieren.
Diese Geräte nutzen zumeist WLAN oder Bluetooth, um Befehle empfangen und Daten und Statusinformationen senden zu können und werden gerne mit dem Label „Smart Home“ vermarket. Und jedes einzelne dieser Geräte lässt sich prinzipiell zu einer Waffe machen.
Internet-Zugang inklusive
Tatsächlich handelt es sich bei den meisten dieser Geräte um Bestandteile des ominösen IoT, des Internet of Things, also des Internets der Dinge. Und hier liegt das Problem: IoT-Geräte sind in Wirklichkeit Computer. Computer mit Zugang zu unseren Netzwerken, unseren WLAN-Routern und damit dem globalen Internet und auch unseren PCs und Smartphones in unseren lokalen Netzwerken. Dass dieser Computer so aussieht und sich nach außen so verhält wie eine normale Steckdose, eine konventionelle Tischlampe, ein Toaster oder eine Waschmaschine, macht es für den Laien schwer, die mit den „intelligenten“ Geräten verbundenen Gefahren zu erkennen.
Virenschutz und Firewall für smarte Haushaltsgeräte?
Dass ein PC gewartet werden muss und manchmal Updates benötigt, damit er sich keine Schadprogramme einfängt und nicht von Hackern gekapert werden kann, hat sich mittlerweile herumgesprochen. Aber die WLAN-fähige Steckdose und die preiswerte Überwachungskamera vom Discounter werden kaum als Computer wahrgenommen. Und wer denkt bei dem Kauf schon an künftige Sicherheitsupdates oder fragt nach Internet-Sicherheit und Datenschutz beim Kauf der Geräte?
In all diesen Geräten aber stecken vollwertige Kleinstcomputer – mit Prozessoren, Speicher und vor allem Schnittstellen. Eigentlich handelt es sich immer um zwei Geräte in einem: den klassischen Toaster und, quasi zur Steuerung vorgeschaltet, den Minicomputer. Die LED-Birne und der vorgeschaltete Steuercomputer für die Farb- und Helligkeitswechsel. Der weitestgehend konventionelle Rauchmelder und der Kleinstcomputer, der Alarme und Messwerte an eine zentrale Stelle weitergibt. Sie erkennen das Prinzip.
Und damit die Geräte jederzeit aus der Ferne abgefragt und eingeschaltet werden können oder ihren Status jederzeit melden, müssen die Computer in den Geräten ständig laufen – selbst wenn die Geräte „aus“ wirken. Viel Zeit für Hacker, nach Schwachstellen zu suchen und die Kontrolle über die Geräte zu übernehmen.
Die verkannte Gefahr
Vielleicht denken Sie jetzt: „Na und, was kann schon passieren? Wenn jemand Zugang zu meinem smarten Lichtschalter erhält, kann er mir vielleicht das Licht ausschalten. Wenn das ein paar Mal auf unerklärliche Weise passiert, schmeiße ich das Teil halt weg.“
Aber der Hacker hat wesentlich mehr Möglichkeiten: Er könnte regelmäßig den Zustand des Lichtschalters abfragen – und bekommt mit der Zeit eine gute Ahnung, wann Sie zuhause sind und wann nicht. Praktisch für Einbrecher. Aber viel wahrscheinlicher ist, dass der Hacker sich gar nicht für Sie persönlich interessiert. Ihn interessiert nur der Computer in Ihrem Lichtschalter. Auf dem kann er nämlich, wenn er einmal die Kontrolle erlangt hat, beliebige Programme laufen lassen. So könnte er Ihr lokales Netzwerk scannen und versuchen, Ihren PC von innen zu hacken und Ihre persönlichen Daten abzusaugen. Oder die Daten zu verschlüsseln und Sie dann zu erpressen.
Eine Cyber-Armee aus „smarten“ Haushaltsgeräten
Doch selbst das ist noch vergleichsweise harmlos. Der Hacker könnte nämlich auch ein Programm auf dem Steuercomputer installieren, das auf Befehl von außen Angriffe z.B. auf fremde Webserver verübt. Ihr Lichtschalter ist jetzt eine digitale Angriffswaffe, Teil des Cyber Warfare. Nur ein einzelner kleiner Soldat, aber der Anbieter hat Zehntausende davon verkauft und der Hacker versucht jetzt, möglichst viele davon unter seine Kontrolle zu bringen und zu einer schlagkräftigen Armee zu vereinen.
Das Bot-Netz (um so eines handelt es sich jetzt und Ihr Lichtschalter ist Teil davon) vermietet der Hacker … oder nutzt es für eigene schmutzige Interessen, beispielsweise DDoS-Angriffe auf Online-Shops mit anschließender Schutzgelderpressung. Wird die Spur zurückverfolgt, dann landen die Ermittler nicht bei dem Hacker, sondern bei Ihnen – und den anderen Käufern dieses praktischen Lichtschalters mit App-Anbindung.
Und wenn Sie jetzt unsicher geworden sind und gleich mal schauen, ob es Sicherheitsupdates für Ihre smarten Haushaltsgeräte gibt, dann werden Sie vermutlich enttäuscht: Die gibt es fast nie. Und auch das ist kein Wunder. Denn die Hersteller sind meist keine IT-Unternehmen, sondern stellen Haushaltsgeräte her.
Und ein Haushaltsgerätehersteller, der seinen Geräten ein wenig „Intelligenz“ einhauchen will, kauft einfach die Ansteuerelektronik zu. Dass es sich um einen vollwertigen Computer handelt, wird gar nicht hinterfragt. Die Steuersoftware wird auch häufig zugekauft oder von irgendeinem freien Programmierer möglichst preisgünstig entwickelt. Eine IT-Abteilung, die sich um die Absicherung der Steuercomputer kümmern würde (oder es überhaupt könnte), würden Sie bei den meisten Herstellern vergeblich suchen. Das gilt umso mehr für die Sonderangebote von Discountern und Elektronikmärkten, bei denen die Charge von einem Auftragsfertiger einmal produziert und das Gerät danach nicht mehr weiter gepflegt wird.
Wie können sich Anwender schützen?
Absoluter Schutz ist nicht möglich, will man sich den neuen Entwicklungen nicht komplett versagen. Wichtig ist es allerdings, beim Kauf darauf zu achten, dass Support und Updates vom Hersteller zugesichert werden. Das Schnäppchen vom Discounter scheidet so meist aus. Darüber hinaus haben Produkte, die bereits länger am Markt sind, eher die ersten Kinderkrankheiten überwunden als solche Geräte, die ganz neu auf den Markt kommen.
Auch bietet es sich an, vor dem Kauf im Internet zu recherchieren, ob es eine aktive Community rund um das gewünschte Gerät gibt – teilweise werden von diesen Communities auch eigene Betriebssystem-Versionen für die Geräte entwickelt und gepflegt, teilweise lange über den aktiven Herstellersupport hinaus. Die Communities decken häufig auch Schwachstellen und Sicherheitslücken in Geräten auf, die Recherche im Vorfeld lohnt sich also.
Grundsätzlich sollten Käufer alle Default-Einstellungen und vor allem voreingestellte Accounts und Kennwörter für den Zugang zu den Geräten umgehend ändern. Viele Angriffe erfolgen nicht gezielt, sondern es werden schlicht die Default-Einstellungen ausprobiert. Ebenso wichtig ist es, verfügbare Updates regelmäßig einzuspielen, um eventuelle Schwachstellen im System zu schließen. Das ist unbestritten aufwendig, zumal die Geräte rasch aus der Wahrnehmung verschwinden – schließlich soll ein vernetzter Rauchmelder, die Überwachungskamera oder die Küchenmaschine mit Online-Anschluss einfach funktionieren. Doch ein Update, das der Hersteller zur Verfügung stellt, vom Anwender aber nicht eingespielt wird, ist wertlos.
Schließlich ist es empfehlenswert, die Geräte für die Hausautomatisierung nicht im gleichen Netzwerk zu betreiben wie den PC und das Smartphone. Die meisten WLAN-Router ermöglichen mittlerweile die Einrichtung zusätzlicher, voneinander getrennter Gastnetzwerke. Wer seine Haustechnik in einem eigenen WLAN anmeldet, verhindert bei einer Attacke so zumindest, dass sich der Angreifer mit Leichtigkeit auch Zugriff zum PC mit den persönlichen Daten verschaffen kann.
