2140710

Vernetzte Geräte: Smart gefährlich

24.11.2015 | 11:00 Uhr |

Das Internet der Dinge hat uns längst vereinnahmt: Fernseher, Navi, E-Book-Reader, Auto, Handy und Fitnesstracker: Alles ist inzwischen vernetzt und permanent online. Gefahr droht durch Überwachung und Fremdsteuerung.

Erpresser-Software liegt bei Internet-kriminellen mal wieder im Trend. Nach Angaben des Sicherheitsunternehmens Kaspersky fallen immer mehr Computernutzer sogenannter Verschlüsselungsschad-Software zum Opfer. Schadcode auf infizierten Rechnern verschlüsselt wichtige persönliche Daten oder sperrt gar den gesamten Computer. Erst nach der Zahlung eines Lösegeldes erhalten die Betroffenen wieder Zugang zu den Daten beziehungsweise zu ihrem Gerät.

Gedankensprung: „Das intelligente Zuhause“, „Das schlaue Heim“ oder ähnlich heißen die Slogans, mit denen die Industrie für das vernetzte Zuhause wirbt. Doch smart und vernetzt bedeuten eben auch „mit der Außenwelt verbunden“ und damit potenziell angreifbar. Die Analogie zum Aussperren vom PC liegt auf der Hand, nur sind die Folgen beim smarten Zuhause oder Fahrzeug noch weit drastischer.

Sichere Geräte als Alternative

Lesen lässt sich auf aktuellen E-Book-Readern auch ohne ständige Synchronisierung und damit „Überwachung“.
Vergrößern Lesen lässt sich auf aktuellen E-Book-Readern auch ohne ständige Synchronisierung und damit „Überwachung“.
© Kindle

Muss es wirklich das smarte Thermostat sein, das die Heizung einschaltet, sobald man sich der Wohnung nähert, oder genügt nicht doch die zeitgesteuerte Variante? Die gleichen Fragen stellen sich beim Auto, Fernseher, Navi, E-Book-Reader, Fitnesstracker und bei vernetzten Haushaltsgeräten: Braucht man also diese oder jene smarte Funktion tatsächlich?

Wer nicht generell auf die Vernetzung verzichten möchte, kann die Online-Anbindung in vielen Fällen deaktivieren und nur dann einschalten, wenn dies wirklich erforderlich ist. So lassen sich weiterhin E-Books auf dem Kindle lesen und kaufen, doch wo und wie schnell man gerade liest, muss Amazon ja nicht unbedingt wissen. Nicht abschalten dagegen lässt sich die automatische Cloud-Datenspeicherung bei nahezu sämtlichen Fitnesstrackern. Eine Ausnahme ist hier der Aktivitätssensor AS 80 von Beurer ( www.pcwelt.de/2069256 ).

Viele Einzel-Hacks, Studien zeigen systematische Schwachpunkte

Schwarzmalerei? Nein, ganz und gar nicht. Das belegen sowohl zahlreiche Vorfälle, bei denen smarte „Geräte“ gehackt und ferngesteuert wurden, als auch systematische Studien. Schon 2014 kam HP in einer Untersuchung zu dem Ergebnis, dass 70 Prozent der am weitesten verbreiteten smarten Geräte ganz erhebliche Sicherheitslücken aufweisen. Dazu zählen unsicheres Passwort-Management, mangelhaft umgesetzte Verschlüsselung sowie das Fehlen eines granularen Zugangsschutzes. 25 Lücken waren es durchschnittlich pro Gerät!

Auch das renommierte deutsche Prüfinstitut AV-Test deckte bei der Untersuchung von neun aktuellen Fitness-Trackern zahlreiche Schwachstellen auf: „Sicherheit ist nur eine Randnotiz. Etablierte Ansätze wie Authentifizierung und Verschlüsselung werden nicht oder schlecht genutzt“, lautet das Resümee. Zuvor hatte bereits Kaspersky mehrere Wearables auf ihre Sicherheit hin untersucht, darunter die Datenbrille von Google. Nutzer einer Google Glass können danach „leicht zum Opfer werden“.

Lesetipp: So entfernen Sie Erpresser-Viren von Android-Geräten

Dass solche Gefahren längst den Alltag vieler Haushalte betreffen, zeigt der Selbstversuch des Sicherheitsexperten David Jacoby. Dafür hat er Alltagsgeräte untersucht, darunter Netzwerkfestplatten, (smarte) Fernseher und DSL-Router. Selbst diese „etablierten“ Geräte wiesen diverse Schwachstellen auf ( www.pcwelt.de/L7BwWT ). Auch der Branchenverband Bitkom sieht die Gefahren des Internets der Dinge (IoT: Internet of Things), weil Hacker und Botnetz-Betreiber neben PCs zunehmend auch Smartphones, Webserver, Router oder andere vernetzte Geräte angreifen.

Was, wenn ein Wearable wie die Datenbrille von Google gekapert wird und Kriminelle dann im wahrsten Sinne des Wortes sehen, was der Träger gerade macht?
Vergrößern Was, wenn ein Wearable wie die Datenbrille von Google gekapert wird und Kriminelle dann im wahrsten Sinne des Wortes sehen, was der Träger gerade macht?

BMW, Jeep Cherokee und Tesla unter fremder Kontrolle

Noch bis vor wenigen Jahren waren moderne Fahrzeuge zwar bereits mit allerlei Assistenzsystemen und somit IT ausgestattet, doch dabei handelte es sich um in sich abgeschlosse-ne Systeme ohne Kontakt zur Außenwelt. Die „Kommunikation“ beschränkte sich auf die OBD-Steckdose (On-Board Diagnostics), über die Werkstatt oder TÜV Fehler sowie wichtige Fahr-und Motordaten auslesen konnten.

Das hat sich grundlegend geändert. Kaum ein Kfz-Hersteller traut sich, in seinen Fahrzeugen auf einen Internetzugang zu verzichten. Zum einen sind die Preise für die erforderliche Technik drastisch gefallen, zum anderen erwarten die Kunden die Technik unterwegs: Was ein Smartphone leistet, soll das ungleich teurere Auto gefälligst auch können!

Mal eben die Bremsen ausgeschaltet: Der Jeep Cherokee hängt im Graben. Sicherheitsexperten war es gelungen, das komplette Fahrzeug aus der Ferne zu übernehmen und fremdzusteuern.
Vergrößern Mal eben die Bremsen ausgeschaltet: Der Jeep Cherokee hängt im Graben. Sicherheitsexperten war es gelungen, das komplette Fahrzeug aus der Ferne zu übernehmen und fremdzusteuern.

Doch gerade wegen der technischen Möglichkeiten und Fortschritte durch die IT-und Internetintegration befindet sich die Kfz-Branche längst im Fokus von Hackern und Sicherheitsexperten, die auf die Defizite der Sicherheitskonzepte im Auto aufmerksam machen. Blickt man allein auf 2015, startete das Jahr mit der Nachricht über den „BMW-Hack“. Schon Monate vorher hatte der ADAC eine Schwachstelle im System Connected Drive ausfindig gemacht, über die sich mehr als zwei Millionen BMWs, Minis und Rolls-Royces per App öffnen ließen. Grund war die mangelhafte Verschlüsselung des Mobilfunkmoduls, sodass Diebe die Fahrzeuge hätten ausräumen können – selbstverständlich hatte der ADAC zuvor den Hersteller informiert, der die Lücke dann auch über Over-the-air-Updates patchte.

Noch drastischer fiel der Hack auf einen Jeep Cherokee im Sommer aus. Zwei Sicherheitsexperten war es gelungen, das Fahrzeug komplett fernzusteuern – inklusive Bremsen und Motor. Angegriffen hatten die beiden Forscher über Mobilfunk aus der Ferne als Erstes das Infotainment-System Unconnect, das jedoch nicht ausreichend von der gesamten Fahrzeugsteuerung getrennt war. Also genau der fehlende granulare Schutz, den HP im Jahr zuvor moniert hatte. Das US-amerikanische Magazin Wired zeigt in einem Youtube-Video ( www.pcwelt.de/yhnhpL ) mit den Hackern die geradezu beängstigende Fremdsteuerung. 1,4 Millionen Fahrzeuge musste die Fiat-Chrysler-Gruppe in den USA zurückrufen, um den Patch zum Schließen der Sicherheitslücke per USB-Stick einzuspielen. Deutsche Kunden waren nicht betroffen.

Smart Home: Sinn und Unsinn

Ein paar Tage später traf es das Elektroauto Tesla S. Auch hier konnten Sicherheitsexperten die Steuerung teilweise übernehmen, nachdem sie physischen Zugriff auf das Auto hatten – bei einer Probefahrt oder einem Autovermieter ein absolut praxisrelevantes Szenario. Wiederum ein paar Tage später war die Corvette Ziel eines Angriffs, bei dem sich über ein OBD-Modul für die Fahranalyse unter anderem die Bremsen manipulieren ließen. Trotz der Häufung solcher Meldungen ist dies vermutlich nur die Spitze eines Eisberges.

Angriffe auf vernetzte Fahrzeuge typisch für das Internet der Dinge

Hacks auf Autos sind besonders spektakulär, weil sie zum einen die Gefahren der Fremdsteuerung besonders gut verdeutlichen. Zum anderen betreffen sie – zumindest potenziell in der Zukunft – jeden Autobesitzer. Derartige Sicherheitslücken beschränken sich aber keineswegs auf den Kfz-Bereich, sie betreffen das gesamte Internet der Dinge: also alles rund um das vernetzte Heim, Unterhaltungselektronik, Waschmaschinen, Kühlschränke, Heizungsanlagen, Babyfon und natürlich Wearables, also Geräte, die Menschen am Körper tragen.

Schon Anfang 2013 war die intelligente Heizungsanlage Eco Power 1.0 von Vaillant betroffen. Dem Hersteller blieb nichts anderes übrig, als dazu zu raten, den Netzwerkstecker zu ziehen, bis ein Servicetechniker die Manipulationsmöglichkeit vor Ort schloss. Besonders leicht zu übernehmen sind solche Anlagen und Geräte, bei denen die Hersteller immer das identische Passwort verwenden. Ändert der Kunde dieses nicht, haben Angreifer leichtes Spiel. Ein Problem, das nach wie vor auch bei einer Reihe von IT-Geräten wie Netzwerkfestplatten, IP-Kameras, Powerline-Adaptern und sogar bei manchen Routern existiert. Im Internet gibt es hierzu ganze Gerätelisten mit den standardmäßigen Konten-und Sicherheitsabfragen. Das ist zwar praktisch, wenn man sein Passwort vergessen hat, aber eben auch gefährlich.

Noch erschreckender wird dieser Befund vor dem Hintergrund der Spezialsuchmaschine Shodan. Shodan fokussiert sich auf die Suche von Geräten im Internet und wurde bereits 2009 von dem Computerspezialisten John Matherly programmiert. Der zeigte erst kürzlich auf einer Sicherheitskonferenz das Potenzial der Suche. Der Titel seines Vortrags „The return of dragons“ spricht Bände und beinhaltet viele Beispiele ( www.pcwelt.de/vmAPi6 ).

Im Werbebild von Vaillant sieht die Steuerung des Blockheizkraftwerks Eco Power 1.0 einfach aus: Allerdings nicht nur über das Bedien-Display, sondern (früher) auch von außen über das Internet.
Vergrößern Im Werbebild von Vaillant sieht die Steuerung des Blockheizkraftwerks Eco Power 1.0 einfach aus: Allerdings nicht nur über das Bedien-Display, sondern (früher) auch von außen über das Internet.
© Vaillant

Andere Programme versprechen, das gesam-te (!) Internet in wenigen Minuten nach Geräten mit Sicherheitslücken zu scannen. Als generelles Problem erweist sich, dass zahlreiche Geräte (oder deren Hersteller) unnötig viele Informationen von sich preisgeben. Absoluter Spitzenreiter im Herstellervergleich war Western Digital mit mehr als 120 offenen Ports. Wenn Sie Lust haben, dann schauen Sie das rund 80-seitige PDF-Dokument von Matherly mit seinen kuriosen Beispielen einmal durch.

Der Kontakt mit dem Informationsanbieter ist Teil des Konzeptes von HbbTV (Hybrid broadcast broadband TV): Das macht den Fernsehzuschauer individuell identifizierbar.
Vergrößern Der Kontakt mit dem Informationsanbieter ist Teil des Konzeptes von HbbTV (Hybrid broadcast broadband TV): Das macht den Fernsehzuschauer individuell identifizierbar.

Vor diesem Hintergrund sollte man Floskeln wie „Wir verwenden die aktuell höchsten Sicherheitsstandards“ mancher Hersteller als Marketingsprechblasen abqualifizieren. Denn Fremdsteuerung droht überall und Besitzer eines smarten Häusles oder Autos sollten sich durchaus die Frage stellen, ob smart auch wirklich immer „besser“ bedeutet.

Eine Suchmaschine wie Google? Nein, Shodan ist auf das Auffinden von Geräten im Internet spezialisiert. Diverse Filter erleichtern die Suche nach bestimmten Kriterien.
Vergrößern Eine Suchmaschine wie Google? Nein, Shodan ist auf das Auffinden von Geräten im Internet spezialisiert. Diverse Filter erleichtern die Suche nach bestimmten Kriterien.

Wie stark zudem die öffentliche Infrastruktur gefährdet ist, zeigt beispielhaft die Attacke auf die Stadtwerke der Kleinstadt Ettlingen am nördlichen Rand des Schwarzwaldes. Der mit dem Angriff beauftragte Experte Felix Lindner brauchte nicht einmal 24 Stunden, schon hätte er Strom und Wasser in der 40 000-Einwohner-Stadt komplett abschalten können.

Datenschutz: Die Verletzung der Privatsphäre ist Alltag

Das Auto ist vernetzt, ebenso Fernseher und E-Book-Reader, dazu die Gesundheits-App, die Sportuhr, der Fitnesstracker und und und – das Internet der Dinge ist längst im Alltag angekommen. Wer nicht in einem Smart Home wohnt und daher meint, das Internet der Dinge sei nur etwas für Freaks und man selbst müsse sich mit den damit verbundenen Gefahren nicht auseinandersetzen, irrt gewaltig. Was der eigene Wagen mit eingebauter SIM-Karte, das Navi, der E-Book-Reader, der Fernseher und die weiteren ständig vernetzten Geräte so an die Hersteller der Hardware oder deren „Partner“ senden, wissen nur die Firmen selbst beziehungsweise deren Partner.

Smart Home: Das intelligente Zuhause

Machen Sie sich einmal den Spaß und fragen Sie in Ihrem Autohaus nach, was Ihr Wagen so über Sie und Ihr Fahrverhalten preisgibt. Mit an Sicherheit grenzender Wahrscheinlichkeit erhalten Sie keine qualifizierte oder gar zufriedenstellende Auskunft. Das Gleiche gilt für viele andere Bereiche: Welche Daten Google oder sonst ein Anbieter mit einer Fitness-App über Sie speichert oder weitergibt, werden Sie nie erfahren. Smarte Fernseher, die nebenbei die Sehgewohnheiten an Hersteller oder Sender schicken, sind ein weiteres belegtes Beispiel. Wenn Amazon die Autoren von E-Books künftig nach der Zahl der tatsächlich gelesenen Seiten bezahlen möchte, ist das unverhohlenes Ausspionieren der Kindle-Nutzer. Dass viele Fitnesstracker die gesammelten Körper-und Gesundheitsdaten nur unzureichend schützen, zeigt die bereits erwähnte Untersuchung von AV-Test ( www.pcwelt.de/a_bSiB ): Das Missbrauchsrisiko ist also geräteimmanent.

Die Liste des möglichen Missbrauchs ließe sich fortsetzen, in Zukunft kommt noch das mathematische Potenzial der vielen durch das Internet der Dinge anfallenden Daten hinzu. So hatten Mitarbeiter des umstrittenen Mitfahrdienstes Uber systematisch die Fahrdaten der Uber-Nutzer Freitag-und Samstagnacht analysiert und anhand der Zeitspanne zwischen Hin-und Rückfahrt auf One-Night-Stands geschlossen. Diese „Rides of Glory“ ( www.pcwelt.de/q04QlX ) führen die Möglichkeiten von Big-Data-Analysen deutlich vor Augen.

„Ich bin und bleibe skeptisch“

Peter Stelzel-MorawietzRedakteur PC-WELT
Vergrößern Peter Stelzel-MorawietzRedakteur PC-WELT

Die Möglichkeiten des vernetzten Internets der Dinge sind enorm, auch ich möchte sie auf keinen Fall missen. Doch mein Auto und mein Zuhause schließe ich nach wie vor per Schlüssel auf und zu. Das ist zwar altmodisch und „unbequem“, aber vergleichsweise sicher. Anders verhält es sich mitunter bei IT-gestützten Zugangssystemen, so ich ausschließlich Nullen und Einsen vertrauen muss.

Vertrauenssache ist auch die Wearable-Nutzung: Egal, ob die App Google Fit oder sonst ein Fitnesstracker ist. Die Geräte zeichnen äußerst persönliche Daten auf und speichern diese. Was aber die Hersteller damit machen, lässt sich nicht nachvollziehen. Und selbst wenn Firma A zum jetzigen Zeitpunkt „ein Guter“ ist, was passiert mit den Daten nach der Übernahme durch Firma B? Diese Fragen vor Augen kann und sollte jeder für sich entscheiden, wie viel Datenpreisgabe einem die zusätzliche Bequemlichkeit wert ist.

Keine systematischen Ansätze für sicheres Internet der Dinge

„Da steht ein sehr hoher Aufwand dahinter“, beschwichtigte der Leiter des Bereichs Produktsicherheit bei der Bosch-Tochter ETAS GmbH, Martin Emele, im Sommer nach der Veröffentlichung der diversen Auto-Hacks. Sie erforderten „eine gewisse Expertise, weil die Systeme komplex seien“. Also doch alles bestens?

Mitnichten, denn sowohl Firmen und die öffentliche Infrastruktur als auch private Netze und Geräte im Internet sind ständig potenziell gefährdet. So bequem beispielsweise das im Autosektor zunehmend verbreitete schlüssellose Zugangssystem ist, so birgt es eben auch Gefahren – genauso wie im smarten Zuhause. Schließlich stellt sich die Frage: Wer für Schäden durch Manipulation oder Diebstahl haftet, wenn es keine Einbruchsspuren gibt, lesen Sie im Kasten auf dieser Seite.

Zusammenfassend lässt sich festhalten: Das Sicherheitsbewusstsein zahlreicher Hersteller von IoT-Geräten ist derzeit insgesamt noch „schwach ausgeprägt“. Zwar existieren bereits firmenübergreifende Ansätze für mehr Sicherheit wie „Build It Secure“, doch diese Initiati-ven treten bislang auf der Stelle. Hier darf und muss man von den Herstellern in Zukunft einfach mehr erwarten!

Rechtslage: Wer haftet für Schäden?

Christian Solmecke ist Anwalt für IT-und Urheberrechtsfragen (Kanzlei Wilde Beuger Solmecke, www.wbs-law.de).
Vergrößern Christian Solmecke ist Anwalt für IT-und Urheberrechtsfragen (Kanzlei Wilde Beuger Solmecke, www.wbs-law.de).

In Zeiten, in denen ein Angriff auf die IT-Infrastruktur, einen Angriff auf ein fahrendes Auto bedeuten kann, sollte auch auf IT-Sicherheitsstandards für „smarte Gegenstände“ ein besonderes Augenmerk gelegt werden. Hier ist zukünftig jedoch rechtlich einiges aufzuholen. Aktuell herrscht eine enorme Diskrepanz zwischen techni-scher Innovation auf der einen Seite und den rechtlichen Rahmenbedingungen auf der anderen.

Zum jetzigen Zeitpunkt kann gesagt werden, dass grundsätzlich das Schadens-und Strafrecht weitgehend Anwendung findet. Eine eventuelle zivilrechtliche Haftung bei IoT-Angriffen wird sich am bestehenden nationalen Recht orientieren können. Hersteller haften insofern nach den allgemeinen Regelungen des Produkthaftungsgesetzes (ProdHaftG). Dieses regelt die Haftung des Herstellers für Schäden, die aus der Benutzung seiner Produkte resultieren, nach § 1 ProdHaftG haftet der Hersteller auch für Fehler seines Produkts. Grundsätzlich tritt die Haftung ein, wenn das Produkt „bei Inverkehrbringen“ fehlerhaft war. Gehaftet wird für alle materiellen oder immateriellen (Schmerzensgeld) Schäden, die durch das fehlerhafte Produkt verursacht werden.

Der Fahrzeughalter wiederum bleibt für den ordnungsgemäßen Zustand des Fahrzeuges verantwortlich. Auch steht der Halter des Fahrzeugs grundsätzlich für die Betriebsgefahr nach dem Straßenverkehrsgesetz (StVG) ein.

0 Kommentare zu diesem Artikel
2140710