26. Oktober 2016
Eine der bisher größten Cyberattacken traf Spotify, Netflix, Amazon, und Twitter in der vergangenen Woche. Die Besonderheit: Kriminelle Hacker missbrauchten dafür Millionen internetfähiger Hausgeräte. Welche Schwachstellen die Smart- Home-Technologie aufweist, und was Hersteller künftig ändern müssen.
Wer Ende vergangener Woche einen Film auf Netflix schauen, Musik auf Spotify hören, auf Amazon shoppen oder auf Twitter kommunizieren wollte, musste sich in den USA, Teilen Europas und Japans mehrere Stunden lang anderweitig beschäftigen. Eine so genannte Distributed-Denial-of-Service (DDoS)-Attacke, also das massenhafte Anfragen eines Servers bis zu seinem Zusammenbruch, auf das Unternehmen Dyn, das Internetadressen verwaltet, legte die Websites von Spotify & Co lahm. Ein Angriff auf Anbieter wie Dyn hat weitreichende Folgen: Das Unternehmen stellt Domain Name Systems (DNS) bereit, welche Webadressen wie etwa www.tuev-nord.de in IP-Adressen übersetzt und so die Kommunikation zwischen Computern und Internetservern ermöglicht. Bei einer Systemüberlastung sind die Websites sowie der gesamte Host nicht zu erreichen oder nur schwer zugänglich. Die Besonderheit der jüngsten Cyberattacke: Sie erfolgte über internetfähige Hausgeräte wie Babyfones, Kameras, Drucker oder TV-Festplatten-Receiver. Für den Datenjournalisten Marco Maas kam die Cyberattacke nicht überraschend: „Wirklich neu ist die Theorie dieses Angriffs nicht. Auf dem Jahrestreffen des Chaos Computer Clubs wurden die Möglichkeiten bereits vor mehr als zehn Jahren diskutiert – die Probleme, die jetzt dazu führen, übrigens auch.“
Die jüngste Cyberattacke erfolgte über internetfähige Hausgeräte wie Babyfones, Kameras, Drucker oder TV-Festplatten-Receiver.
Fehlende Sicherheitsupdates
Die Sicherheit von Smart-Home-Produkten steht immer wieder in der Kritik. Vor allem die Schutzmaßnahmen bei günstigen Geräten sind oft mangelhaft. Johannes Hoffmann, Experte für IT-Sicherheit bei TÜViT sagt: „Ein großes Problem sind unsichere beziehungsweise voreingestellte Passwörter und Zugangsdaten, die Hackern die Arbeit erleichtern. Auch die Tatsache, dass es für Smart Home-Geräte oft keine regelmäßigen Updates gibt, die Sicherheitslücken beseitigen, stellt eine gravierende Schwachstelle dar.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert die Hersteller vernetzter Geräte auf, bei den Sicherheitsstandards nachzubessern. Voreingestellte Zugangsdaten und Passwörter sollen durch den Nutzer geändert werden können. Außerdem müssten die Hersteller regelmäßige und schnelle Sicherheitsupdates zur Verfügung stellen. Marco Maas, der seine Wohnung als journalistisches Projekt zu einer „Sensorenresidenz“ mit 120 vernetzten Smart-Home-Geräten umgerüstet hat, erklärt: „Derzeit regiert das Marketing die Produkteinführung. Sicherheit ist da in der Denke zunächst nachrangig, die Funktionen stehen im Vordergrund. Und: Alle Hersteller befinden sich gerade in einer Art Wild-West-Aufbruchsphase. Es gilt, den Claim abzustecken und als erstes ins Haus der Nutzer zu kommen.“
Auch die Tatsache, dass es für Smart Home-Geräte oft keine regelmäßigen Updates gibt, die Sicherheitslücken beseitigen, stellt eine gravierende Schwachstelle dar.
Aufmerksames Risikomanagement
Durch die zunehmende Vernetzung einzelner Komponenten und Systeme etwa in den Bereichen Smart Home oder Mobilität entstehen neue mögliche Gefährdungsszenarien. Eine Entwicklung, auf die auch TÜV NORD reagiert, denn IT-Sicherheit wird in allen Bereichen immer wichtiger. Das gilt für Aufzüge, Fahrzeuge und Medizinprodukte ebenso wie für Spielzeuge. Unter dem Namen Security4Safety bietet TÜV NORD ein umfassendes Risikomanagement für die Industrie 4.0 an.
Risikomanagement betreibt auch Smart-Home-Experte Marco Maas. In seiner Wohnung wird es zum Beispiel keine Kameras geben, und auch die Wohnungstür soll auf absehbare Zeit nicht ‚smart’ werden. „Würde ich meine ‚Sensorenresidenz’ nicht als journalistisches Projekt verstehen, würde ich weniger Daten auf den diversen Clouds der Hersteller ablegen und eher auf selbstgebastelte Lösungen setzen.“ Technisch nutzt er in seiner Wohnung getrennte Netze – eines exklusiv für die smarten Geräte, eines für seine vertrauenswürdigen Rechner und ein weiteres für Gäste. Außerdem kann Maas über den zentralen Router steuern, welche Ports von außen erreichbar sein sollen. „So lässt sich Einbrechern die Sache zumindest schwerer machen“, sagt Maas.Woran Verbraucherinnen und Verbraucher erkennen können, dass ein Smart-Home-Gerät „sicher“ ist? „Im Grunde ist das nicht möglich“, sagt Maas. Einen ersten Anhaltspunkt kann der Internet of Things-Scanner des Internet-Security-Unternehmens Bullguard geben. Der Scanner erkennt offene Ports einzelner Smart-Home-Geräte und macht Nutzerinnen und Nutzer auf potentielle Schwachstellen aufmerksam. Meistens merken die Besitzerinnen und Besitzer der Geräte von Hackerangriffen nichts. Auch der Hamburger Datenjournalist konnte in seiner Wohnung bisher keine Cyberattacke feststellen. „Ich warte darauf, dass bei mir auch mal was passiert und hoffe, dass ich es dann nachvollziehen und bekanntmachen kann.“
