1939743

So gefährlich wird das Internet der Dinge

01.04.2017 | 10:09 Uhr |

Das vernetzte Zuhause bringt viele Bequemlichkeiten mit sich, aber auch etliche Gefahren. PC-WELT zeigt hier auf, welche Risiken im „Internet der Dinge“ (IoT) lauern – und wie sie sich minimieren lassen.

„Mehr Sicherheit mit Smart Home“, „Smart Home Sicherheit: Schützen Sie Ihr Zuhause per App“ oder „So fahren Sie entspannt in die Ferien – Smart Home macht Ihr Zuhause sicher“. So und ähnlich lauten die Verheißungen der Hersteller von Produkten für das Internet der Dinge (Internet of Things, kurz: IoT) im Allgemeinen sowie für ein intelligentes Zuhause im Speziellen. Nach diesen Versprechen wird die neue Welt nicht nur schöner, sondern eben auch sicherer.

Gar nicht dazu passen die Meldungen, wonach Sicherheitsexperten zum Teil eklatante Sicherheitslücken in der Konfiguration oder der Hardware aufdecken. So verkaufte der Lebensmitteldiscounter Aldi im vergangenen Jahr IP-Überwachungskameras, mit denen sich das eigene Zuhause aus der Ferne überwachen ließ. Allerdings waren Firmware und Geräte so mangelhaft konfiguriert, dass die Bild-und Tonüberwachung von außen über das Internet ungeschützt abrufbar waren. Dass anschließend die Handelskette und der Kamerahersteller ihre Kunden dazu aufriefen, „aus Sicherheitsgründen unbedingt ein Passwort“ zu vergeben und für „nochmals verbesserte Sicherheitseinstellungen“ ein Firmware-Update zu installieren, kann kaum über diesen Sicherheitsmangel hinwegtrösten. Eine ohne Passwort und Passwort-Zwang verkaufte IP-Überwachungskamera gibt dem Begriff eine ganz neue Bedeutung – nur leider aber nicht im Sinne der Käufer.

Experten-Meinung: Die Risiken im Internet der Dinge

Begriff „IP-Überwachungskamera“ bekommt ganz neue Bedeutung

Ein Einzelfall? Mitnichten! Nicht immer werden die Anforderungen an die Sicherheit bei IoT-Produkten so haarsträubend missachtet wie in diesem Beispiel. So berichteten zwei Sicherheitsexperten erst im August auf der diesjährigen Defcon, einer der weltweit größten Hackerveranstaltungen, dass sie 12 von 16 untersuchten Bluetooth-Schlössern über die Funkschnittstelle knacken konnten. Besonders erschreckend sei, so die Fachleute, dass die Hersteller auch im Nachhinein kein Interesse gehabt hätten, die aufgedeckten Lücken zu schließen. Nur eine der 12 angeschriebenen Firmen habe überhaupt geantwortet. Dabei müsste doch gerade bei Schlössern die Sicherheit ganz oben stehen.

In eine ähnliche Richtung geht die aktuelle Untersuchung zu Sicherheitslücken von Funkschlüsseln in Autos, wie sie seit Jahren in schätzungsweise rund 100 Millionen Fahrzeugen im Einsatz sind. Forscher der Universitäten Birmingham und Bochum erläutern in ihrer Studie mit der Bezeichnung „ Lock It and Still Lose It – On the (In)Security of Automotive Remote Keyless Entry Systems “, wie sich zig Millionen Fahrzeuge öffnen und wieder verschließen lassen, ohne dass dabei irgendwelche Spuren feststellbar wären.

Erst nach Bekanntwerden der eklatanten Sicherheitslücke warnte der Hersteller der bei Aldi verkauften IP-Überwachungskamera, den Fernzugriff mit einem Passwort zu schützen.
Vergrößern Erst nach Bekanntwerden der eklatanten Sicherheitslücke warnte der Hersteller der bei Aldi verkauften IP-Überwachungskamera, den Fernzugriff mit einem Passwort zu schützen.

Allen voran betroffen sind die Autos von VW inklusive der Tochtermarken Audi, Seat und Skoda. Das Problem resultiert daher, dass der Hersteller seit 1995 nur ganz wenige Masterkeys eingesetzt hat, und genau die konnten die Sicherheitsforscher bei der Analyse der Funkcodes extrahieren. Die Funkfunktion des Schlüssels lässt sich so innerhalb von Sekunden reproduzieren und als Nachschlüssel erstellen. „Wenn dieses Geheimnis dann geknackt wird, ist das so etwas wie eine kryptographische Kernschmelze“, fasst Timo Kasper als einer der Autoren der genannten Untersuchung zusammen.

Abhilfe für das Problem ist derzeit nicht in Sicht. Einziger Trost für die Besitzer der betroffenen Fahrzeugeist, dass sich auf diese Weise zwar Türen und Kofferraum öffnen ließen, losfahren könne man aber nicht. Noch leichter haben es Diebe, wenn die Fahrzeuge mit dem Keyless-Go-System ausgestattet sind: mehr dazu im Kasten rechts auf dieser Seite.

Dies sind nur ein paar der in den vergangenen Monaten bekannt gewordenen Sicherheitslücken aus dem Automobilbereich; die Auflistung ließe sich fortsetzen. Erwähnt werden soll nur nochmals die komplette Übernahme eines Jeep Cherokee vor einem Jahr: Zwei Sicherheitsexperten war es gelungen, das Auto inklusive Bremsen und Motor komplett fernzusteuern, wie ein Youtube-Video eindrucksvoll zeigt.

ADAC: Keyless Go ist bequem, aber unsicher

Über „Keyless Go“ lässt sich ein Auto schlüssellos öffnen und starten. Es genügt, den Fahrzeugschlüssel mit dem Funkchip in der Tasche zu haben. Anders als der Funktüröffner funktioniert das System nur auf ganz wenige Meter Abstand. Diebe aber können mit einer einfach zu bauenden Funkverlängerung die Signale über mehrere hundert Meter übertragen und so das Auto öffnen und wegfahren. Beispielsweise, wenn der Schlüssel im Haus liegt oder der Besitzer mit dem Schlüssel in der Hosentasche im Biergarten sitzt.

Im Frühjahr veröffentlichte der ADAC das Ergebnis eines Tests, bei dem der Autoclub mehr als 20 Fahrzeuge verschiedener Fabrikate untersuchte. Fazit: Sämtliche Autos mit Keyless Go ließen sich über den Funkverlängerer in Sekundenschnelle starten und wegfahren. Tanken die Diebe dann mit laufendem Motor, können sie den Wagen praktisch beliebig weit und damit auch ins Ausland wegschaffen . Auch das Bundeskriminalamt zeigte sich in diesem Sommer bei der Vorstellung der jüngsten KFZ-Diebstahlstatistik von „der zunehmenden Zahl von Fällen der sogenannten Funkstreckenverlängerung“ alarmiert.

Schützen können Sie sich, indem Sie das System komplett ausschalten, je nach Hersteller am Schlüssel oder im Infotainmentsystem des Wagens. Den Aufbau einer Funkbrücke erschwert man auch dadurch, dass man den Autoschlüssel nicht direkt an der Haustür platziert. Noch sicherer ist es, ihn in einer abschirmenden Metallbox aufzubewahren. Schon eine leere Bonbondose aus Blech hilft. Elektronischen Schutz durch einen Zusatzschlüssel verspricht der Hersteller des knapp 250 Euro teuren Systems Secukey 2.0.

Smart Home, Industrie und öffentliche Infrastruktur gefährdet

Dass die Aldi-Kamera und die unsicheren Bluetooth-Schlösser keineswegs Ausnahmen in einem angeblich sicheren Smart-Home-Markt darstellen, belegen zahlreiche weitere Beispiele und systematische Studien. So unterzog das renommierte deutsche Sicherheitsinstitut AV Test sieben Smart Home Starterkits einem umfassenden Test. Nur drei der Sets sind gegen Angriffe gut gesichert, der Rest ist gegen interne und zum Teil externe Angriffe schlecht geschützt, lautet das Fazit. Zwar sei die Grundidee der Smart-Home-Technik sehr gut, in Zukunft alle Komponenten im Haushalt überwachen und steuern zu lassen, resümierten die Experten. Doch alle Komponenten, die Zugang zum heimischen Netz und dadurch vielleicht Zugriff auf das Internet haben, seien potenziell angreifbar. Detaillierte Informationen der Analyse von AV-Test lesen Sie hier .

IT-Trends 2016: Digitale Transformation sichert die Zukunftsfähigkeit

Ähnlich fallen die Ergebnisse einer Untersuchung von HP aus dem Jahr 2014 aus. Darin kam der Hardwarehersteller zu dem Ergebnis, dass 70 Prozent der am weitesten verbreiteten smarten Geräte erhebliche Sicherheitslücken aufweisen. Unsicheres Passwortmanagement, mangelhaft umgesetzte Verschlüsselung und fehlender mehrschichtiger Zugangsschutz waren nur einige Schwachpunkte, die sich im Durchschnitt auf 25 Lücken pro Gerät summierten . Gefahren resultieren gerade auch aus dem Einschleusen von Schadcode ins Heimnetz, wie die Virenschutzfirma Bitdefender kürzlich bei intelligenten Steckdosen für Zuhause nachwies.

Dramatisch: Bei diesem Jeep Cherokee wurden die Bremsen zu Demonstrationszwecken aus der Ferne deaktiviert. Weltweit lassen sich Millionen Autos zumindest ohne Schlüssel öffnen und wegfahren.
Vergrößern Dramatisch: Bei diesem Jeep Cherokee wurden die Bremsen zu Demonstrationszwecken aus der Ferne deaktiviert. Weltweit lassen sich Millionen Autos zumindest ohne Schlüssel öffnen und wegfahren.

Dass sich Sicherheitslücken und Angriffe keineswegs auf den Heimbereich beschränken, sondern auch die vernetzte Industrie und öffentliche Infrastruktur treffen, fasst Kaspersky in einer aktuellen Studie zusammen. Darin warnt das russische Sicherheitsunternehmen vor möglichen Schwachstellen industrieller Kontrollsysteme in aller Welt, beispielsweise in den Bereichen Energie, Transport, Industrie, öffentlicher Sektor und Finanzen.

„Unsere Untersuchung zeigt: Je größer Infrastrukturen industrieller Kontrollsysteme sind, desto größer ist auch das Risiko empfindlicher Sicherheitslücken“, äußert Andrey Suvorov, Head of Critical Infrastructure Protection bei Kaspersky Lab. „Das liegt allerdings nicht an einzelnen Software-oder Hardware-Anbietern. ICS-Umgebungen („Industrial Control Systems“, die Red.) sind per se eine Mischung aus verschiedenen miteinander verbundenen Komponenten. Viele davon sind an das Internet angeschlossen und werfen Sicherheitsfragen auf. Es gibt keine hundertprozentige Garantie dafür, dass eine ICS-Installation zu einem bestimmten Zeitpunkt nicht mindestens eine verwundbare Komponente beinhalten wird“, fasst der Experte zusammen .

Kommentar: Komfort versus Sicherheit

Die Hersteller von smarten Dingen werben gerne mit Komfort und Sicherheit, und zwar gleichzeitig. Beides aber gibt es kaum. Denn ob morgen das Smart Home System von Hersteller A oder das Fahrzeug von Hersteller B gehackt werden, wissen wir heute noch nicht. Die Wahrscheinlichkeit, dass solche Hacks gelingen, ist jedenfalls beträchtlich. Das unterstreichen die bisherigen Erfahrungen.

Zumindest sollte sich jeder klarmachen, wie weit das Internet der Dinge bereits in den Alltag vorgedrungen ist. Dann kann man für sich persönlich entscheiden, ob der erzielte Komfortgewinn die dadurch einzugehenden Risiken rechtfertigt. Für mich jedenfalls ist das in meisten Fällen derzeit noch nicht der Fall. Denn die Standardantwort auf die Frage nach der Sicherheit eines Gerätes lautet: Man weiß es nicht. Die Hersteller müssen erst ausreichend Reputation aufbauen – das aber wird Jahre dauern.

Fitnesstracker, Smart Watches und die Frage des Datenschutzes

Bei der Frage nach der Sicherheit von Fitnesstrackern greifen wir erneut auf Ergebnisse von AV-Test zurück. In einer neuen Untersuchung der meistverkauften Fitnessarmbänder und der Apple Watch kommen die Experten zu dem Ergebnis, dass viele Hersteller dem Sicherheitsaspekt oft nicht die ausreichende Beachtung schenkten – eine ähnliche Bilanz wie schon im Jahr zuvor. Bei drei der getesteten Tracker summierten sich die Risikopunkte auf 7 bis 8 von möglichen 10. Die Produkte ließen sich relativ leicht verfolgen, nutzten inkonsequent oder gar keinen Authentifizierungs-und Manipulationsschutz, der Code der Apps werde nicht oder ungenügend verschleiert, und auch die Übertragungen könnten mit Rootzertifikaten ausgehebelt und mitgelesen werden. „Einige Hersteller machen weiterhin herbe Fehler“, kritisiert das Institut. Zu ähnlichen Ergebnissen kommen zwei Studien von Forschern der Universität von Toronto sowie der technischen Universität Darmstadt .

Die Fitnessuhr Runtastic Moment Elite zählt laut AV Test zu den besonders unsicheren Trackermodellen. Recht sicher dagegen ist das Microsoft Band 2.
Vergrößern Die Fitnessuhr Runtastic Moment Elite zählt laut AV Test zu den besonders unsicheren Trackermodellen. Recht sicher dagegen ist das Microsoft Band 2.

Bei den Fitnesstrackern stellt sich zudem die Frage nach dem Datenschutz; schließlich fallen bei der Aufzeichnung persönliche und somit sensible Daten an. Was mit den in die Cloud hochgeladenen Daten wirklich passiert, entzieht sich der allgemeinen Kenntnis. Möglichkeiten gibt es jedenfalls genug, und in den USA existieren bereits diverse Programme, in denen Arbeitgeber oder Krankenversicherungen ihren Mitarbeitern beziehungsweise Kunden Boni zahlen, wenn diese nur die zuvor definierten Tagesziele erreichen. Dass bei der Nutzung derart persönlicher Daten das Missbrauchspotenzial groß ist, versteht sich von selbst.

Dieses Missbrauchsrisiko lauert aber auch in anderen „Dingen“ der IoT-Welt, beispielsweise in Autos. Dass zahlreiche Fahrzeuge große Datenmengen sammeln und diese zum Teil ungefragt an den KFZ-Hersteller schicken, wies der ADAC schon vor Monaten nach. Der Automobilclub spricht gar von der „Datenkrake Auto“ und fordert, dass die Hersteller offenlesen, was sie sammeln, sowie dass Verbraucher detailliert Kenntnis über die Art des Datenaustausches erhalten und diesem aktiv zustimmen müssten. Eine gesetzliche Regelung zur Nutzung dieser KFZ-und Bewegungsdaten aber fehlt in Deutschland bis heute.

Datenschutzprobleme gibt es zudem bei anderen vernetzten Geräten: Da protokollieren die Hersteller von Smart-TVs die Sehgewohnheiten ihrer Nutzer. Und die geräteübergreifende Lesesynchronisierung bei digitalen Büchern ist zwar praktisch, andererseits wissen Amazon und Co. so ganz genau, was und wie man gerade liest. Genauso sind die Hersteller von Smart-Home-Lösungen darüber im Bilde, ob die Bewohner gerade zu Hause oder längere Zeit verreist sind. Niemand behauptet, dass die anfallenden Daten missbraucht werden, die Möglichkeit aber besteht.

Auch öffentliche Infrastruktur wie große Kraftwerke sind überwiegend an das Internet angeschlossen und damit potenziell von außen angreifbar ? zum Teil mit ganz speziell auf eine Anlage zugeschnittener Schadsoftware.
Vergrößern Auch öffentliche Infrastruktur wie große Kraftwerke sind überwiegend an das Internet angeschlossen und damit potenziell von außen angreifbar ? zum Teil mit ganz speziell auf eine Anlage zugeschnittener Schadsoftware.

Festzuhalten bleibt, dass die verbreitete Datenerhebung massiv in das geltende Recht auf informationelle Selbstbestimmung eingreift, wonach jeder Einzelne grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen kann. Die Möglichkeiten von Big Data und die Verknüpfung verschiedener Datenquellen sind da noch nicht einmal gestreift. Übrigens: Speziell für Smart-TVs hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Konfigurationstipps veröffentlicht ( Infos hier ).

Video: Internet of Things auf der CeBIT 2015

Fazit: Viele IoT-Geräte sind derzeit potenziell angreifbar

Die vielen zufällig zutage getretenen Sicherheitslücken von smarten Geräten und die Untersuchungsergebnisse lassen aktuell nur den einen Schluss zu: IoT-Geräte sind potenziell gefährdet, zumal viele Hardwarehersteller und Serviceanbieter dem Thema Sicherheit ganz offenbar nicht die erforderliche Priorität einräumen. Auch deshalb ist es sinnvoll, die Firmware der eigenen Hardware regelmäßig auf Aktualität zu überprüfen und gegebenenfalls eine neue Version einzuspielen.

Denn sonst kann sich wie bei den IP-Überwachungskameras der eigentliche Zweck eines Gerätes ins Gegenteil umkehren. Andere „vernetzte Dinge“ bergen ein derart großes Risiko, dass man die betreffende Funktion besser unterbindet, beispielsweise durch Ziehen des Netzwerksteckers, Deaktivieren der Funkübertragung im WLAN, Abschalten einer Komfortfunktion wie Keyless Go, Abkleben der Kamera im Smart TV und so weiter…

Das aber führt den Sinn solcher Funktionen ad absurdum und mündet im Rat, sich die Gefahren des Internets der Dinge schon beim Kauf eines Gerätes vor Augen zu führen. Weniger ist eben manchmal mehr, und ein weniger funktionelles Modell kann unter diesen Aspekten besser sein als ein teureres. Für die Zukunft bleibt zu hoffen, dass Hersteller und Anbieter die Sicherheit endlich ernst nehmen.

Neue Fragen für Versicherungen

Gegenstände aus dem Auto oder der Wohnung gestohlen, obwohl es keinerlei Einbruchspurgen gibt? Die Versicherungen müssen sich rund um das Internet der Dinge und das Smart Car beziehungsweise Smart Home mit neuen Fragestellungen auseinandersetzen, auch weil ein solcher Geschädigter nun leichter in den Verdacht des Versicherungsbetrugs gerät.

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bezieht mit der Aussage „Mechanik vor Elektronik“ eine klare Position. Man solle sich nicht allein auf Smart-Home-Systeme verlassen, sie könnten allenfalls eine Ergänzung sein. Bezugnehmend auf den Fall der IP-Überwachungskamera von Aldi warnt der GDV sogar: Solche Geräte können selbst ein Sicherheitsrisiko darstellen, wenn sie nicht richtig installiert und bedient werden.

Einen Blick wert ist die Liste zertifizierter Warnmeldeanlagen unter www.vds-home.de/infopool/ produktdatenbank , die die VdS Schadenverhütung GmbH als unabhängige Prüf-und Zertifizierungsstelle für Brandschutz und Einbruchdiebstahlschutz herausgibt. Ziemlich hilflos wirkt dagegen der gut gemeinte VdS-Rat: „Sichern Sie Ihre digital gesteuerten Hausgeräte zuverlässig gegen Fremdsignale, Stromausfall und Fehlfunktionen“.

0 Kommentare zu diesem Artikel
1939743