Smart-Home-Geräte stellen ein Sicherheitsrisiko dar. Nicht (nur) wegen ihrer Funktionen, sondern vielmehr, weil sie Hackern eine gute Angriffsfläche bieten. Warum das so ist und wie du deine Geräte besser schützen kannst, haben wir mit dem Cybersicherheitsexperten Norbert Pohlmann besprochen.
In 7,2 Millionen deutschen Haushalten war 2020 mindestens eine Smart-Home-Anwendung im Ansatz. Bis 2024 sollen es Schätzungen zufolge sogar 13,2 Millionen werden.
Keine Frage! Smart-Home-Geräte wie Sprachassistenten, intelligente Lautsprecher oder auch Sicherheitskameras sind praktisch. Doch sie stellen auch ein großes Sicherheitsrisiko dar. Denn sie können leicht gehackt werden.
Wir sprechen mit dem Cybersicherheitsexperten Norbert Pohlmann darüber, warum sowohl Hersteller als auch Nutzer:innen in der Verantwortung stehen Smart-Home-Geräte besser zu schützen und warum eine intelligente Zahnbürste ein attraktives Ziel für Hacker sein kann.
Smart-Home-Geräte besonders attraktiv für Hacker
BASIC thinking: Herr Pohlmann, nach aktuellen Ermittlungen von Avira erfolgen 34 Prozent der Cyber-Angriffe auf Zugangsdaten in Smart-Home-Geräten über leere Eingabefelder. Das legt nahe, dass die Ausbeute dabei hoch ist, also viele Geräte vermutlich gar nicht mit Passwörtern geschützt sind. Warum sind Besitzer:innen so fahrlässig?
Norbert Pohlmann: Die meisten Nutzer:innen haben keine Vorstellung davon, welche konkreten Risiken damit verbunden sind, wenn sie Smart-Home-Geräte nutzen.
Im Normalfall fehlt häufig das Wissen darüber, wie die Geräte abgesichert werden müssen – also, dass sowohl ein Router als auch die Smart-Home-Geräte ein Passwort benötigen, um ein gewisses Schutzniveau zu bieten.
Heißt das, dass die Hersteller hier unzureichend informieren?
Ja genau. Es liegt tatsächlich daran, dass die Nutzer:innen hier nicht umfänglich informiert werden. Aber auch, dass nicht alle Hersteller genug im Hinblick auf den Schutz der Geräte tun. Ein gutes Gegenbeispiel sind Autohersteller.
Inwiefern?
Wenn Sie ein Auto kaufen müssen Sie nicht zuerst die Bremsen montieren und Airbags einbauen. Sie können sich darauf verlassen, dass die Automobilhersteller sich verantwortlich um die Sicherheit kümmern sowie die Nutzer:innen darüber aufklären, was ihr Beitrag zur Absicherung ist und wie sie sich demgemäß adäquat verhalten.
Smart-Home-Geräte müssten grundsätzlich von den Herstellern so angeboten werden, dass die Inbetriebnahme ohne Passwort gar nicht möglich ist. Des Weiteren muss gewährleistet sein, dass die Konfigurierung des Smart-Home-Geräts von den Nutzer:innen einfach, schnell und sicher durchgeführt werden kann.
Es geht um mehr als die Privatsphäre
Worin besteht überhaupt die Gefahr, wenn Smart-Home-Geräte gehackt werden?
Es gibt diverse Gefahren. Eine besteht zum Beispiel darin, dass die Privatsphäre der Bewohner verletzt wird. Dies geschieht, wenn eine ungesicherte Videokamera über das Internet gehackt wird, denn darüber ist es Angreifer:innen dann möglich, Einblicke in die Wohnräume erhalten.
Das ist nicht trivial, denn darüber werden nicht nur die Persönlichkeitsrechte der Bewohner:innen verletzt, sondern es eröffnet auch die Möglichkeit einen Einbruch zu planen, weil die Angreifer:innen sehen können, dass niemand zu Hause ist.
Hacken von Smart-Home-Geräten betrifft Internet-Struktur
Es gibt aber darüber hinaus noch ein anderes, hintergründiges Problem?
Ja. Denn Hacker können Videokameras und andere Smart-Home-Gegenstände wie Drucker, Zahnbürsten oder Kaffeemaschinen, die mit dem Internet verbunden sind, für ihre Zwecke missbrauchen.
So wurde beispielsweise schon mehrfach eine große Anzahl dieser Geräte von Angreifer:innen genutzt, um durch deren Zusammenschluss als Bot-Netz die Infrastruktur des Internets insgesamt sehr erfolgreich mithilfe einer DDoS-Attacke, die eine enorme Schlagkraft von bis zu 1,5 Terabit pro Sekunde hatte, anzugreifen.
Dadurch wird das Internet als Infrastruktur sehr verletzlich, ist nicht mehr verlässlich und gefährdet somit die Digitalisierung.
Können Sie das genauer erklären?
Die Abkürzung DDoS steht für Distributed Denial of Service. Das sind Angriffe von Internet-Aktivist:innen und / oder in der Regel kompromittierten IT-Systemen (Bot-Netze), die dazu genutzt werden, ausgesuchte Ziel-IT-Systeme koordiniert mit einer großen Last spezieller Anfragen durch Erschöpfung der verfügbaren Ressourcen lahmzulegen.
Es gibt Bot-Netze mit sehr vielen Bots (kompromittierte IT-Systeme): tausend, zehntausend oder sogar eine Million. Wenn ein Angreifer 100.000 Bots nutzen kann, jeder Bot 100 Kilobits pro Sekunde Upstream hätte (also nur ein Bruchteil der verfügbaren Bandbreite), dann könnte der Angreifer mit zehn Gigabits einen DDoS-Angriff durchführen.
Eine neue Stufe der Gefahr
Was ist die Gefahr dieser Bot-Netze?
Bot-Netze sind schon länger als Bedrohung – auch auf die Verfügbarkeit von Diensten im Internet – bekannt. IoT-Bot-Netze stellen eine neue Stufe der Gefahr für die Infrastruktur des Internets dar. Im Unterschied zu konventionellen Bot-Netzen bestehen IoT-Bot-Netze hauptsächlich aus kompromittierten IoT-Geräten.
IoT-Geräte haben die Eigenschaft, dauerhaft und mit guter Bandbreite, ohne direkte Kontrolle der Nutzer:innen online verfügbar zu sein. Dadurch stehen die IoT-Geräte, wenn sie einmal unter der Kontrolle eines Hackers sind, jederzeit für einen Angriff mit einer hohen verfügbaren Bandbreite bereit.
Aus diesem Grund haben die Hersteller nicht nur die Verpflichtung ihre Kund:innen zu schützen, sondern müssen sich auch ihrer Verantwortung gegenüber der Gesellschaft bewusst werden und Angriffe auf die Internet-Infrastruktur verhindern.
Smarte Geräte zu leicht zu hacken
Womit wir wieder bei den Smart-Home-Geräten ohne Passwörtern wären.
Richtig. Die Angreifer:innen durchsuchen das Internet nach IoT-Geräten, testen, ob diese noch auf das Default-Passwort des Herstellers konfiguriert sind und bringen ungesicherte Geräte dann unter ihre Kontrolle (Bot-Netz).
Gegenüber den üblichen Methoden wie „Social Engineering“ oder „E-Mail-Poisoning“ ermöglicht diese Herangehensweise eine enorme Verringerung des Aufwands, da schlecht gesicherte Smart-Home-Geräte direkt angegriffen werden können.
Wie hoch schätzen Sie das Risiko ein, dass so etwas im Alltag passiert?
Wie die Erfahrungen der letzten Jahre gezeigt haben, ist das Risiko eines Angriffs von Smart-Home-Geräten sehr hoch. Daher noch einmal mein Appell an Hersteller und Nutzer:innen alles dafür zu tun, dass die Smart-Home-Geräte nicht angegriffen werden können.
Besserer Schutz für Smart-Home-Geräte im Alltag
Welche Tipps haben Sie für Hausbesitzer:innen, um gute Passwörter zu finden?
Die Regeln für Passwörter sind nicht kompliziert.
- Das Passwort nirgends notieren und niemandem mitteilen.
- Das Passwort darf nur einem selbst bekannt sein. Mindestlänge: zehn Stellen, besser zwölf Stellen.
- Man sollte nur Klein- und Großbuchstaben in Kombination mit Zahlen und Sonderzeichen verwenden.
- Die verwendeten Zeichen sollen auf den ersten Blick eine sinnlose Zusammensetzung sein.
- Ein Passwort nur für einen Dienst verwenden und das Passwort soll in angemessenen Zeitabständen geändert werden.
Gibt es über die Passwörter hinaus auch andere Wege, um die smarten Geräte vor Angriffen zu schützen?
Am besten sollte das Smart-Home-Gerät nicht über das Internet ansprechbar sein, denn dann haben Angreifer:innen keine Möglichkeit darauf zuzugreifen.
Erfordern aber nicht viele Smart-Home-Geräte eine ständige Internetverbindung?
Die meisten Angebote laufen in der Tat über eine Smart-Home-Cloud oder digitale Assistenten wie Alexa, die auch alle Aktivitäten im Internet durchführen. Dazu müssen die IoT-Geräte vom Internet angesprochen werden.
Es gibt aber auch Lösungen, bei denen das „Management“ im Home stattfinden kann, wodurch sich vermeiden lässt, dass die Geräte mit dem Internet verbunden sind.
Vielen Dank für das Gespräch!
Auch interessant:
