Smart ist nicht immer schlau
Immer mehr Gegenstände in unseren Haushalten sind „smart“ - angefangen vom Fernseher, der Serien streamt, bis zum Babyfon, das über eine App mit dem Handy kommuniziert. Je größer das Netz der internetfähigen Haushaltsgeräte ist, desto interessanter ist es auch für Cyberkriminelle.
Dieser Artikel ist älter als ein Jahr.
Bis 2020 soll die Zahl der Geräte, die an das Internet angeschlossen sind, auf bis zu 30 Milliarden Stück anwachsen - dazu zählen Kameras, Router, Festplattenrekorder, Fernseher, Drucker, smarte Kühlschränke oder Lautsprecher. Alles, was über eine IP-Adresse verfügt und damit von außen angesprochen werden und damit zum Ziel von Hackern werden kann.
DDos-Angriffe unter neuen Vorzeichen
Im Fall des riesigen US-Angriffs vom Oktober wurden Hunderttausende solcher Geräte mit Schadsoftware infiziert und zu einem Netz (Botnet) gebündelt. Jedes der Geräte schickte daraufhin unzählige Anfragen an diverse Websites, die unter dieser Last schließlich zusammenbrachen - genannt wird diese Aktion DDoS-Angriff. Beispiellos in diesem Fall war nicht nur die Größe des Bot-Netzes, sondern auch, dass dieses nicht wie traditionell aus klassischen Computern bestand.
Und genau hier schlagen Sicherheitsexperten Alarm: Hersteller von Kühlschränken und Kameras sind Hardware-Produzenten, die oft wenig Erfahrungen mit Software mitbringen. Das geht auf Kosten der Sicherheit. „Die brutale Realität ist, dass Cybersecurity nicht einmal auf dem Radar vieler Hersteller ist“, so Trent Telford, Chef der IT-Sicherheitsfirma Covata. Der Kühlschrank, der wie ein Computer agiert, müsste theoretisch ebensolchen Security-Standards unterworfen werden - ein sicheres Passwort wäre dabei ebenso unerlässlich wie laufende Softwareupdates.
Sicherheitsstandards halten nicht stand
Doch während die Vernetzung rapide zunimmt, bleiben Sicherheitsstandards zurück. Das mag bei der Okkupierung eines Kühlschranks den Besitzer vielleicht nicht direkt treffen und wahrscheinlich sogar unbemerkt bleiben, dabei können aber auch sensible Daten wie Kreditkarteninformationen mitgelesen werden. Und das Risiko trifft nicht nur die Privatsphäre: Gefährdet sind, wie das Wirtschaftsnachrichtenportal Quartz in einer Analyse berichtete, auch öffentliche Einrichtungen wie Krankenhäuser und Flugzeuge.
Am Beispiel der chinesischen Firma Hangzhou Xiongmai Technology lässt sich das Problem gut durchdeklinieren. Der Hersteller ist einer der großen Produzenten von internetfähigen Kameramodulen. Im Zuge der US-DDoS-Attacke musste Xiongmai 10.000 seiner Geräte wegen Sicherheitslücken zähneknirschend zurückrufen. Zuvor war im Sommer der Chef der Firma, Chen Jinsheng, zurückgetreten, weil seine Aussagen darüber, wie sehr man bei den Produkten einspare, um diese immer billiger anbieten zu können, für Aufsehen sorgten.
Als ob die Haustüre für jeden offen wäre
Xiongmais Kameras werden mit einem Standard-Benutzernamen und -Passwort ausgeliefert, gleichzeitig läuft darauf laut dem Sicherheitsunternehmen Flashpoint der veraltete, unsichere Dienst Telnet, der Daten unverschlüsselt übermittelt und eine Remote-Steuerung zulässt. Die Login-Daten für Telnet lassen sich demzufolge vom User nicht einmal ändern. „In der heutigen Zeit der IoT-Geräte (Internet der Dinge, Anm.) ist das nicht nur, als ob man seine Haustüre unversperrt lässt, das ist, als würde man sie für jeden offen lassen, der durchgehen möchte“, sagte IT-Experte Brian Karas gegenüber Quartz.
Chinesischer Hardware-Lieferant im Hintergrund
Das Problem beschränkt sich aber nicht auf einen Hersteller, sondern auf die ganze Branche der Unterhaltungselektronik, in der Kunden ihre Kaufentscheidung nicht nach Sicherheitskriterien treffen, sondern nach Design, Funktionen und vor allem nach Preis. Xiongmai produziert eine ganze Reihe von Hardwarekomponenten, die nicht sofort an den Endkunden, sondern an Firmen weiterverkauft werden, die ihr Unternehmenslogo draufkleben und so weiterverkaufen.
Welche Firma tatsächlich hinter einer Komponente steckt, ist für den Kunden gar nicht sichtbar, erklärte Bryce Boland, von der Netzwerksicherheitsfirma FireEyre gegenüber Quartz. Viele chinesische Hersteller arbeiteten nach diesem Prinzip. Sie könnten die Sicherheitslücken schließen, stattdessen verwenden sie „so wenig Geld wie möglich für Sicherheit, um so viel wie möglich an Gewinnspanne herauszuholen“, so Boland.
Erst der Beginn
Sicherheitsexperten sehen in dem jüngsten Angriff erst den Anfang. Flashpoint, eine IT-Sicherheitsberatungsfirma, behauptet, dass Teile der verwendeten Geräte wenige Tage vor der US-Wahl erneut in ein Schadnetz eingespannt wurden, das mit einer großen Zahl von DDoS-Fehlanfragen die Websites der beiden Präsidentschaftskandidaten bombardiert hatten. Zu Ausfällen kam es dabei offensichtlich nicht.
Links:
