So leicht können Hacker Kaffeemaschinen und Kühlschränke angreifen

So leicht können Hacker Kaffeemaschinen und Kühlschränke angreifen

Webwelt & Technik Internet der Dinge

So leicht können Hacker Kaffeemaschinen und Kühlschränke angreifen

| Lesedauer: 4 Minuten

Wenn das Tablet anzeigt, was noch im Kühlschrank ist, können auch Hacker Haushaltsgeräte manipulierenWenn das Tablet anzeigt, was noch im Kühlschrank ist, können auch Hacker Haushaltsgeräte manipulieren

Wenn das Tablet anzeigt, was noch im Kühlschrank ist, können auch Hacker Haushaltsgeräte manipulieren

Quelle: pa/dpa Themendie/Florian Schuh

Immer mehr Haushaltsgeräte sind vernetzt – und Angriffen von Hackern oft hilflos ausgeliefert. Längst attackieren Cyber-Kriminelle nicht mehr nur Computer. Heute gibt es auch solche Forderungen: „Willst Du wieder Kaffee, zahle diese Bitcoin-Summe“.

Der schwarze Kaffeevollautomat auf dem Schreibtisch von Vladislav Iliushin zeigte auf seinem Minibildschirm eben noch ein normales Auswahlmenü: Espresso, normaler Kaffee, Milchkaffee. Jetzt steht da plötzlich „Firmware Update“, dann taucht ein stilisierter Teufelskopf auf. Plötzlich beginnt das Mahlwerk des „Coffee Maker“ der Marke Smarter leerzudrehen – länger und immer länger. Der Geruch von verbranntem Plastik steigt auf. Iliushin grinst ähnlich diabolisch wie der Teufel auf dem Display und zückt einen Feuerlöscher. „Wollen wir ausprobieren, wie lange es dauert, bis das Ding brennt?“

Iliushin ist professioneller Hacker im Dienste des tschechischen Antivirussoftwareanbieters Avast. Sein Job besteht darin, technische Schwachstellen in der Software von Smart-Home-Geräten zu finden – und sie zu stopfen. Die intelligenten Einrichtungsgegenstände für ein vernetztes Zuhause sind das aktuell am schnellsten wachsende Segment der Verbraucherelektronik. In Deutschland nutzen bereits etwa 20 Prozent aller Haushalte vernetzte Heimgeräte. Der Umsatz stieg in den vergangenen zwei Jahren von zwei auf über 3,5 Milliarden Euro.

Lesen Sie auch

Kameras von Google, Amazon, Facebook: Datenschützer wittern einen Big Brother der neuesten Generation

Das Problem: Bislang fehlen im Markt verpflichtende Standards zur Absicherung des Smart Homes. Das öffnet Hackern Tür und Tor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich, dass Verbraucher mit der Absicherung überfordert sind: „Im Endkundenbereich ist nicht zu erwarten, dass die Einsatzumgebung alle Voraussetzungen für einen sicheren Betrieb bietet“, heißt das im Expertenjargon gegenüber WELT AM SONNTAG.

Dem Smart-Home-Trend entsprechend vollgestopft ist der Schreibtisch von Avast-Hacker Iliushin: Neben der Kaffeemaschine mit Netzanbindung stehen ein Linksys-Router, eine smarte Kamera von Edimax und ein Laptop. Ein gefährliches Trio, das so auch in immer mehr Haushalten steht. Ihr Zusammenspiel macht das Smart Home so gefährlich, erklärt Iliushin: „In diesem Falle ist die Kamera ab Werk so konfiguriert, dass sie Angreifern Zugriff aus dem Internet auf das heimische Netzwerk ermöglicht.“

Lesen Sie auch

The double exposure image of the businessman looking up during sunrise overlay with cityscape image and futuristic hologram. The concept of modern life, technology, iris scanner and internet of things

Von der Kamera aus arbeitet sich der Sicherheitsforscher weiter vor, sucht nach Geräten im Netzwerk und findet die Kaffeemaschine. „Genauso gut hätte ich jedoch auch den Router umkonfigurieren können und darüber dann den Laptop angreifen.“ Angreifer könnten das Szenario einerseits für technischen Terror, andererseits für Erpressung nutzen. Iliushin demonstriert, wie er eine Erpresserbotschaft auf dem Display anzeigen kann: „Willst du wieder Kaffee, zahle eine Bitcoin-Summe auf folgendes Konto.“

„Grundsätzlich steigt die Anzahl von Missbrauchsmöglichkeiten, je mehr Abläufe im Haus durch den Einsatz von smarten Systemen automatisiert werden“, erklären die Experten vom BSI. Im Mai warnte das Bonner Bundesamt eindringlich vor offenen Sicherheitslücken bei Smart-Home-Systemen vom Typ HomeMatic. Viele Nutzer haben in ihren Routern Ausnahmen konfiguriert, um ihre Rollläden, Heizungen oder Lichtschalter per Mobilfunk-App steuern zu können – und damit unfreiwillig jedem Fremden die digitale Tür zu ihren smarten Häusern geöffnet.

Smart-Home-Geräte aus der Hölle

Ein weiteres Negativbeispiel ist die Küchenmaschine Monsieur Cuisine Connect, verkauft beim Discounter Lidl unter der Eigenmarke Silvercrest. Hier fanden die französischen Hacker Alexis Viguie und Adrien Albisetti Anfang Juni heraus, dass die Maschine mit Onlineanbindung auf Basis des völlig veralteten Mobilbetriebssystems Android 6 „Marshmallow“ gebaut wurde. Sie fanden zudem ein undokumentiertes Mikrofon in dem Gerät, mit dem sie die Nutzer hätten abhören können. Die Maschine ist damit ein perfektes Beispiel für Smart-Home-Geräte aus der Hölle: veraltete Software, undokumentierte Hardware und eine eigentlich unnötige Onlineanbindung, die eine Einladung für Hacker darstellt.

Abhilfe gegen solche Billigheimer soll laut BSI ein neuer Mindeststandard für die Geräte bringen: Im Mai veröffentlichte das Deutsche Institut für Normung die DIN SPEC 27072, einen Entwurf für eine Sicherheitsnorm im Internet der Dinge. Wichtigste Bestandteile: Eine Herstellerverpflichtung zu Sicherheitsupdates und ein Verbot von Standardpasswörtern.

Wenn Ihr Kühlschrank weiß, was Sie letzten Sommer bestellt haben

Das vernetzte Zuhause schien bis eben noch ein smarter Gedanke zu sein. Doch nun wird klar: Ihr Kühlschrank weiß nicht nur, was Sie einkaufen müssen. Seine Informationen könnte er im Zweifelsfall auch an Behörden verpfeifen.

Quelle: WELT / Eybe Ahlers

Der Haken daran: Die DIN SPEC ist freiwillig und bringt zusätzliche Kosten, Hersteller von billiger Massenware haben wenig davon, sie einzuhalten, kommentiert Jan-Peter Kleinhans, IoT-Sicherheitsexperte der Stiftung Neue Verantwortung. „Die Einhaltung der DIN SPEC ist freiwillig. Hersteller, die ohnehin mit IoT-Sicherheit werben, werden sie vielleicht als Verkaufsargument nutzen. Dass sie jedoch im Massenmarkt billiger Geräte ankommt, glaube ich nicht so recht.“

Kleinhans hofft deswegen auf verpflichtende Mindeststandards auf EU-Ebene. „In Brüssel sucht die Politik aktuell nach geeigneten Regulierungsinstrumenten.“ Zum einen könnte die in der EU vorgeschriebene CE-Richtlinie für Produktsicherheit um eine IT-Sicherheitskomponente erweitert werden. Denn bislang können Unternehmen die meisten Produkte selbst zertifizieren – sie können ohne externe Prüfung angeben, dass sie die CE-Vorgaben einhalten. „Die Selbsterklärung des Herstellers ist zunächst keine schlechte Wahl, um ein Mindestmaß an IT-Sicherheit in die Breite zu bringen.“

Lesen Sie auch

Businessman using smartwatch in front of Themse and Walkie Talkie building in London.

Zum anderen haben die EU-Mitgliedstaaten im April die „Digitale-Inhalte-Richtlinie“ verabschiedet. Diese gibt den Verbrauchern mehr Rechte – unter anderem auf Geräteupdates bei Sicherheitslücken. Doch auch hier gibt es ein Problem: Diese Rechte können sie nur gegenüber dem Händler geltend machen, bei dem sie gekauft haben, nicht gegenüber dem Hersteller. „Doch wenn der Händler heißt, ist dass vielleicht gar nicht so schlecht“, kommentiert Experte Kleinhans. „Denn dann setzt der Onlineriese vielleicht auch die Hersteller in Fernost unter Druck.“

Dieser Text ist aus der WELT AM SONNTAG. Wir liefern sie Ihnen gerne regelmäßig nach Hause.

Quelle: WELT AM SONNTAG

Wenn Ihr Kühlschrank weiß, was Sie letzten Sommer getan haben

Das vernetzte Zuhause schien bis eben noch ein smarter Gedanke zu sein. Doch nun wird klar: Ihr Kühlschrank weiß nicht nur, was Sie einkaufen müssen. Seine Informationen könnte er im Zweifelsfall auch an Behörden verpfeifen.

Quelle: WELT / Eybe Ahlers

Read More

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.