2474698

Unsichere Hardware: Risiken bei Smart-TV, Router und Co. aufdecken

27.12.2019 | 14:36 Uhr | Peter Stelzel-Morawietz

Sicherheitslücken sind auch bei Hardware keineswegs selten. Unser Ratgeber erläutert, welche Geräte besonders gefährdet sind, wie Sie zu Hause konkrete Schwachstellen aufspüren und wie sich das Eindringen von Schadcode verhindern lässt.

Daran, dass Windows und die übrige Software regelmäßig Patches gegen neu aufgedeckte Sicherheitslücken erhalten, hat man sich als PC-Nutzer längst gewöhnt. Spätestens der zwangsweise Neustart nach dem monatlichen Patch Day, wenn also Microsoft wieder einmal Updates heruntergeladen und installiert hat, ruft dies in Erinnerung. Auch die meisten anderen Anbieter aktualisieren regelmäßig ihre Software – so weit, so normal.

Weniger im Bewusstsein dagegen ist die Bedrohung durch unzureichend geschützte Hardware. Dabei sind es meist gar nicht per se die Geräte, die böswillig Schaden anrichten. Vielmehr führen auch hier veraltete Gerätesoftware (Firmware), unzureichend geschützte Zugänge, schwache Passwörter und Ähnliches dazu, dass Schadcode eingeschleust und gegebenenfalls übers Heimnetz verbreitet werden kann. Als Angriffspunkte für Hacker eignen sich besonders die Komponenten, die direkt oder per Netzwerk mit dem Internet verbunden sind.

Dazu ein Beispiel: Ein Fernseher ohne Webzugang stellt keine Gefahr dar. Ist der Fernseher dagegen im Netz, was bereits für die Nutzung der Mediatheken erforderlich ist, ist er potenziell gefährdet. Die möglichen Szenarien reichen vom Unbrauchbarmachen durch einen Erpressungstrojaner bis zum Kapern von Kamera und Mikrofon. Einen solchen „großen Lauschangriff“ im Wohnzimmer wünscht sich wohl niemand. Ist das TV-Gerät zusätzlich ins Heimnetz integriert, droht der übrigen IT-Ausstattung Gefahr. Smarte Fernseher illustrieren die Gefahr besonders gut, weil sie mittlerweile in vielen Haushalten stehen, ohne dabei als „Gefahr“ wahrgenommen zu werden.

Risikofaktor Herstellertools: So schützen Sie sich

Smart-TV, Prozessor, Router, NAS – alles ist potenziell gefährdet 

Zwar waren zuletzt die Netzwerkplatten von Synology (links) sowie von QNAP (rechts) verstärkt Onlineangriffen ausgesetzt, die Szenarien unterschieden sich jedoch deutlich.
Vergrößern Zwar waren zuletzt die Netzwerkplatten von Synology (links) sowie von QNAP (rechts) verstärkt Onlineangriffen ausgesetzt, die Szenarien unterschieden sich jedoch deutlich.

Angreifbar sind ferner Router, Netzwerkfestplatten (NAS), Smartphones, Audiogeräte mit Internetanschluss und vieles andere aus den Bereichen Netzwerk und Smart Home. Gerade das vernetzte Zuhause birgt weiteres Gefährdungspotenzial. So machten in der Vergangenheit diverse Überwachungskameras ihrer Produktbezeichnung insofern alle Ehre, als sich aufgrund mangelhafter Absicherung Fremde unberechtigt Zugriff auf die IP-Kameras verschaffen konnten. Umgekehrt lassen sich andere Kameras unbefugt einfach ausschalten. Gerade bei billiger No-Name-Ware, oft aus Fernost, droht Gefahr, weil eine gute Sicherheitsarchitektur inklusive Service zum Patchen von Lücken eben Geld kostet.

Darüber hinaus kann die unautorisierte Übernahme des smarten Zuhauses zum Ausspionieren persönlicher Gewohnheiten und sogar von Einbrechern ausgenutzt werden, beispielsweise wenn man ein smartes Schloss verwendet. Tests und Einschätzungen zur Sicherheit von Produkten für das Internet der Dinge finden Sie beim renommierten Prüfinstitut AV-Test unter www.av-test.org/de/internet-of-things .

Ein anderer Fall: Im vergangenen Sommer warnten fast zeitgleich die beiden größten Hersteller von Netzwerkfestplatten, QNAP und Synology, vor verstärken Angriffen auf ihre Datenspeicher. Da aber endete auch schon die Gemeinsamkeit. Die Angriffe auf die QNAP-Systeme waren offenbar komplex, so dass das Unternehmen seinen Nutzern gleich sechs Ratschläge zum Absichern der NAS-Festplatten gab. Darunter auch die Empfehlung, die Gerätesoftware zu aktualisieren . Die Synology-Geräte dagegen waren offenbar nur Brute-Force-Attacken ausgesetzt, bei denen die Angreifer also automatisiert Passwörter testeten. Folglich beschränkte sich der Hersteller auf den Rat an die Nutzer, starke Kennwörter zu verwenden sowie ein vorkonfiguriertes Administratorkonto zu löschen – beides ist eigentlich immer ratsam.

Solche smarten Türschlösser mit Fingerabdrucksensor gibt es in vielen Onlineshops schon für weniger als 100 Euro – allein der Preis weckt Zweifel bei Qualität und Sicherheit.
Vergrößern Solche smarten Türschlösser mit Fingerabdrucksensor gibt es in vielen Onlineshops schon für weniger als 100 Euro – allein der Preis weckt Zweifel bei Qualität und Sicherheit.

Tipp: Schwache und mehrfach verwendete Zugangscodes umgehen Sie mit einem Passwortmanager wie Keepass , bei dem Sie sich die einzelnen Zugänge nicht mehr merken müssen.

Schutz gegen Meltdown, Spectre & Co.

100%ige Sicherheit bietet auch das Prüfprogramm Inspectre nicht, doch die wichtigsten Vorsichtsmaßnahmen gegen Prozessorlücken sind an diesem PC aktiviert.
Vergrößern 100%ige Sicherheit bietet auch das Prüfprogramm Inspectre nicht, doch die wichtigsten Vorsichtsmaßnahmen gegen Prozessorlücken sind an diesem PC aktiviert.

Gegen die CPU-Sicherheitslücken wie Meltdown, Spectre, Ridl, Fallout und Zombieload schützen Sie sich zum einen mit regelmäßigen Updates der Mainboard-Firmware. Mehr Infos und ausführliche Anleitungen zum Flashen von Bios und Uefi lesen Sie in unserem Onlineratgeber . Steckt in Ihrem PC einer der besonders gefährdeten Intel-Prozessoren , installieren Sie spezielle Patches, genannt „Microcode Updates“. Für die Version 1903 finden Sie diese  hier . Mit Inspectre  oder dem MDS Tool  lässt sich der CPU-Sicherheitsstatus überprüfen.

Manche Infektionswege sind ziemlich ungewöhnlich

Die Aufzählung solcher Sicherheitslücken ließe sich fortsetzen. Ein weiterer Fall mit einem unvermuteten Infektionsweg soll aber klarmachen, dass es (fast) jedes Gerät treffen kann. 2018 kam ans Licht, dass weit mehr als 100 All-in-One-Drucker von HP so manipulierbar waren, dass Angreifer die Kontrolle über deren Betriebssystem und dadurch auch über andere Geräte im Heimoder Firmennetzwerk erlangen konnten – und zwar per Fax. Der Hersteller reagierte schnell, Firmware-Updates für die betroffenen Multifunktionsgeräte schlossen die Lücke über die Telefonleitung.

Ziehen Sie deshalb auch vermeintlich exotische Produkte als potenziell gefährdet in Betracht, also auch die Heizung, Küchengeräte, das Festnetztelefon und sogar das Auto. Sie fragen sich vielleicht, was es mit dem Auto auf sich hat. Kürzlich zeigte der ADAC wieder einmal, wie einfach Fahrzeuge mit dem Komfortschließsystem „Keyless“ geöffnet, gestartet und gestohlen werden können. Bereits ein paar Bauteile für zusammen 100 Euro zum Verlängern der Signale des Funkschlüssels genügen .

Eines von über 100 HP-Multifunktionsgeräten, die sich per Fax übernehmen ließen, bevor der Hersteller die Sicherheitslücke mit neuer Firmware schloss.
Vergrößern Eines von über 100 HP-Multifunktionsgeräten, die sich per Fax übernehmen ließen, bevor der Hersteller die Sicherheitslücke mit neuer Firmware schloss.

Unser Rat gilt aber auch internen PC-Bauteilen. Vielfach bekannt ist noch, dass man die Firmware der Hauptplatine regelmäßig aktualisieren sollte. Gefährdet ist aber auch die CPU, wie Anfang 2018 öffentlich wurde, als die mit „Meltdown“ und „Spectre“ bezeichneten Hardwarelücken bekannt wurden (Kasten oebn). Auch einige selbstverschlüsselnde SSDs erwiesen sich in der Vergangenheit als unsicher. Schließlich sind Router und andere Netzwerkgeräte an der Schnittstelle zwischen Internet und eigenem Zuhause besonders exponiert und gefährdet. Konkret beim Aufspüren von Sicherheitslücken bei Ihnen zu Hause hilft Bitdefender Home Scanner .

Lesetipp: EU warnt vor neuen Gefahren durch 5G

Unsichere Tools der Hardware-Hersteller

Die Rechner von Lenovo wiesen in der Vergangenheit bereits mehrfach Sicherheitslücken durch vorinstallierte Software auf. Im Bild ist die Updateund Prüf-App Lenovo Vantage unter Windows 10 im Einsatz.
Vergrößern Die Rechner von Lenovo wiesen in der Vergangenheit bereits mehrfach Sicherheitslücken durch vorinstallierte Software auf. Im Bild ist die Updateund Prüf-App Lenovo Vantage unter Windows 10 im Einsatz.

Es muss nicht immer die Hardware selbst oder die Firmware sein, die zu Sicherheitslücken durch den Hersteller führen. Häufig genug sind es auch deren auf Notebooks und Desktops-PCs vorinstallierte Tools. Solche Hilfs- und Wartungsprogramme sind zwar praktisch, weil sie das Updaten von Bios/Uefi, Treibern und Anwendungen vereinfachen. Wenn sie aber selbst Sicherheitslücken aufweisen, sind sie kontraproduktiv. Aus diesem Grund erklären wir online , welche Herstellertools betroffen sind, wie Sie sie deinstallieren und Ihren Rechner trotzdem stets up to date halten und schützen. 

So schützen Sie sich systematisch vor Hardware-Sicherheitslücken

So unterschiedlich die Beispiele erscheinen, die Vorgehensweise zum Schließen von lückenhafter Hardware ähnelt sich dann doch oft. Dazu zählt in erster Linie, die Gerätesoftware, also die Firmware, auf dem aktuellen Stand zu halten. Wenn ein Hersteller die Option zum automatischen Aktualisieren bietet, nutzen Sie diese. Ein Beispiel dafür sind die Fritzbox-Router von AVM, bei denen das „Auto-Update“ sogar per Default aktiviert ist. Über die Fritzbox lassen sich auch weitere Geräte des Herstellers updaten, also Funktelefone und -steckdosen oder WLAN-Repeater.

Ähnliche Optionen bieten andere Anbieter von Routern, NAS-Speichern, Druckern und weiteren Komponenten. Allerdings dokumentieren sie ihre Auto-Update-Funktion nicht immer ausreichend. Falls Sie deshalb beim Support eines Ihrer Geräte nicht fündig werden, googeln Sie danach im Netz. Das hilft fast immer weiter.

Aktuelle Informationen zu Sicherheitslücken und der Sicherheit von Hard- und Software gibt es auch in Newslettern wie denen von PC-WELT oder vom BSI.
Vergrößern Aktuelle Informationen zu Sicherheitslücken und der Sicherheit von Hard- und Software gibt es auch in Newslettern wie denen von PC-WELT oder vom BSI.

Manche Hersteller veröffentlichen im Internet ferner Sicherheits-Blogs, in denen sie sicherheitsrelevante Vorkommnisse dokumentieren, Patches zur Verfügung stellen und Handlungsanweisungen veröffentlichen. Empfehlenswert sind auch einschlägige Sicherheits-Newsletter wie die von PC-WELT  oder vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit verpassen Sie nichts Wichtiges. Das BSI klassifiziert Schwachstellen und mögliche Schäden in Risikostufen von „sehr gering“ (Stufe 1) bis „sehr hoch“ (Stufe 5) , um die Gefahr deutlich zu machen.

Darüber hinaus überprüfen Sie bitte von Zeit zu Zeit selbst auf den Supportseiten der Hersteller Ihrer Geräte, ob dort neue Firmware bereit steht.

Was tun in schwierigen und aussichtslosen Fällen? 

Die Firmware-Aktualisierung lässt sich bei den Fritzbox-Routern über drei Stufen einstellen: Empfehlenswert ist das automatische Aufspielen inklusive wichtiger Updates. Alles Weitere erledigt das Gerät dann von alleine.
Vergrößern Die Firmware-Aktualisierung lässt sich bei den Fritzbox-Routern über drei Stufen einstellen: Empfehlenswert ist das automatische Aufspielen inklusive wichtiger Updates. Alles Weitere erledigt das Gerät dann von alleine.

Vernetzte Billig-Hardware haben wir am Beispiel smarter Türschlösser bereits erwähnt. Solche Produkte müssen nicht unsicher sein, doch die Vergangenheit zeigt, dass die Vermutung häufig zutrifft. Anders als bei bekannten Unternehmen, die ihre Reputation nicht verlieren möchten, tritt der eigentliche Hersteller bei No-Name-Ware meist gar nicht in Erscheinung. Da kostet jeder Patch und jede neue Firmware nur Geld. Allerdings beschränken sich unsichere Produkte keineswegs auf Onlineshops aus China. Auch Aldi hatte schon IP-Kameras im Sortiment, die sich von Angreifern übernehmen ließen.

Neben dem Aktualisieren der Firmware empfiehlt sich stets auch eine Onlinerecherche, ob zum konkreten Gerät etwaige Sicherheitslücken bekannt sind. Ist dies der Fall und kein Patch verfügbar, sollte man ernsthaft überlegen, die Komponente außer Betrieb zu nehmen. Je nach Produktkategorie kann man ein Produkt alternativ auch im Gäste-WLAN des Routers weiter betreiben und damit zumindest vom übrigen Heimnetz trennen.

Gefährdet sind auch Geräte mit älteren Android-Versionen, das beschränkt sich keineswegs auf Smartphone und Tablets. So läuft mancher 4K-Fernseher noch mit veraltetem Android, ohne Aussicht auf ein Versionsupdate. Und selbst seine verbreiteten Mittelklasse-Smartphones Galaxy A3 der Modelljahre 2016 und 2017 hat der Marktführer Samsung inzwischen von der vierteljährlichen Versorgung mit Sicherheitsupdates ausgeschlossen.

Sehen Sie auf Ihrem Android-Gerät gegebenenfalls in den „Einstellungen“ beim „Stand der Sicherheitsupdates“ nach dem letzten Patchzeitpunkt. Unter Umständen ist es auch hier sicherer, ein nicht mehr unterstütztes Mobilgerät außer Betrieb zu nehmen. Beim Kauf eines neuen Smartphones lohnt es sich, zumindest über „Android One“ nachzudenken, wenngleich die Auswahl beschränkt ist. Für Geräte mit dieser speziellen Variante des Betriebssystems verspricht Google neben zwei Versionsupdates schnelle Sicherheitsupdates über  mindestens drei Jahre.

Unsichere Geräte im Heimnetz aufspüren

In diesem Netzwerk kann der Bitdefender Home Scanner keinerlei Risiken erkennen. Keines der Geräte inklusive Smart TV und Access Point weist Sicherheitslücken auf.
Vergrößern In diesem Netzwerk kann der Bitdefender Home Scanner keinerlei Risiken erkennen. Keines der Geräte inklusive Smart TV und Access Point weist Sicherheitslücken auf.

Der Bitdefender Home Scanner  hilft dabei, unsichere Geräte im Heimnetzwerk aufzuspüren. Das Programm sucht dabei unter anderem nach veralteter Firmware, offenen Ports und schwachen Standardpasswörtern. Unser zugehöriger Onlineratgeber  erläutert ausführlich, was die konkret aufgedeckten Schwachstellen bedeuten, wie Sie sie schließen und was Sie tun können, wenn sich die Hardware nicht so einfach absichern lässt. Perfekt ist jedoch auch der Home Scanner nicht: So gut er in den meisten Fällen arbeitet, so meldete er in unseren Tests bei einem ungepatchten Android-Tablet „Keine Risiken gefunden“.

PC-WELT Marktplatz

2474698