Security-Vorkehrungen im IoT größtenteils mangelhaft

Smart-Home-Systeme versprechen die komfortable Automatisierung des Alltags. Fast alles lässt sich bequem von unterwegs steuern. Was auf den ersten Blick nach Komfort und Luxus klingt, kann aber auch zum Boomerang werden. Die Vorstellung, via vernetzter Geräte (beispielsweise Webcams) von überall aus zu Hause nach dem Rechten zu sehen, scheint im ersten Moment beruhigend. Bedenkt man aber, dass es für Hacker ein Leichtes ist, ebenfalls auf IoT-Geräte zuzugreifen und so etwa Einblicke in die eigene Privatsphäre zu bekommen, sinkt die Begeisterung doch beträchtlich.

Trotzdem sind Smart-Home-Systeme oft schlecht bis gar nicht gegen Hackerangriffe geschützt. Bei vielen Geräten hat der User gar keine Möglichkeit, Passwörter und andere Sicherheitsvorkehrungen manuell und individuell festzulegen. So ist es nicht verwunderlich, dass viele dieser vernetzten Geräte bereits mit Schad-Software infiziert sind.

Diese Malware kann etwa dazu verwendet werden, all diese Geräte zu einem Botnet zusammenzuschließen.. Hacker können mit solchen Netzwerken etwa sogenannte DDoS-Attacke (Distributed-Denial-of-Svervice-Attacke) ausüben.

So geschehen am vergangenen Wochenende, als ein Botnet aus Millionen von vernetzten IoT-Geräten dazu verwendet wurde, eine DDoS-Attacke gegen den Web-Dienstleister Dyn zu begehen. Seiten wie etwa Twitter und Spotify wurden von diesem Botnet mit derart vielen Anfragen überhäuft, dass die Server schlicht überlastet waren. Die Websites waren für mehrere Stunden nur sehr langsam oder gar nicht erreichbar. Die Besitzer der IoT-Geräte haben den externen Zugriff (etwa auf den Drucker oder den Thermostat an der Heizung) gar nicht erst bemerkt.

Während Nutzer ihre internetfähigen Geräte, wie Rechner, Tablet-PC oder Smartphone in der Regel selbst mit entsprechenden Security-Programmen ausstatten, um sich vor Datenklau zu schützen, gestaltet sich das Ganze bei anderen vernetzten Geräten etwas schwieriger. Der User hat kaum Möglichkeiten, auf die Technik im Gerät zuzugreifen. Hier sind viel mehr die Hersteller im Zugzwang. Sie müssen von vornherein dafür sorgen, dass Schad-Software wie „Mirai“, die mutmaßlich für die Attacke vergangene Woche verwendet wurde, die Geräte gar nicht erst infizieren kann.

Erste Hersteller haben auch prompt reagiert. Die Firma Hangzhou Xiongmai Technology, die Kameras mit direktem Internetanschluss sowie digitale Recorder herstellt, ruft Millionen Produkte aufgrund dieses Sicherheitsmangels zurück. Konkret handle es sich um die Produkte die vor 2015 vorwiegend in den USA verkauft wurden. Jüngere Geräte hätten bereits ein neues Update erhalten und würden keine Gefahr mehr bergen, sagte ein Sprecher von Hangzhou im Gespräch mit Yahoo.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht den Handlungsbedarf ebenfalls vor allem auf Seiten der Hersteller:

„Der Fall zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird. Angreifer durchsuchen das Internet auf der Suche nach verwundbaren Netzwerkgeräten, werden hunderttausendfach fündig und schließen die Geräte zu einem schlagkräftigen Angriffswerkzeug zusammen. Die Anwender merken oft nichts davon, dass ihre Geräte übernommen wurden. Wir fordern daher die Hersteller von Netzwerkgeräten auf, die Sicherheit ihrer Produkte zu verbessern und schon bei der Entwicklung neuer Produkte das Augenmerk nicht nur auf funktionale und preisliche Aspekte zu richten, sondern auch notwendige Sicherheitsaspekte einzubeziehen. Das BSI wird den Dialog mit den Herstellern und Verbänden verstärken, um gemeinsam Lösungsansätze zu entwickeln."

Grundsätzlich sollte jeder, der sich im IoT bewegt, darauf achten, sichere Passwörter zu verwenden. Am besten eines für den Login im Smart-Home-Netzwerk und für jeden weiteren Zugriff auf einzelne Geräte ein weiteres. Außerdem sollten diese Passwörter, wie auch die des Rechners regelmäßig geändert werden.