Laut Statista.com nutzen in Deutschland mehr als 90 Millionen Haushalte bereits ein „intelligentes“ IoT-Gerät, wie etwa Lautsprecher, Lampen oder Haustürkameras, und haben so den Grundstein für ihr Smart Home gelegt. Zum diesjährigen Weihnachtsfest kommen vermutlich weitere smarte Gadgets hinzu. Weltweit sollen 2020 mehr als 20 Milliarden Geräte in den Haushalten zu finden sein. Der Kauf eines sicheren IoT-Geräts (Internet of Things) scheint also ganz einfach – ist es aber leider nicht.
Eine Flut von Geräten, die immer mit dem Internet verbundenen sind, sendet aus unseren intimsten Räumen. Allerdings oft ohne ausreichende Sicherheit oder meist ohne Berücksichtigung der privaten Daten. Viele Hersteller vertreiben häufig Produkte, die nicht den grundlegendsten Schutz bieten – und Cybergangster haben das bereits zur Kenntnis genommen.
Das Honeypot-Netzwerk von F-Secure, das Cyber-Angriffe auf der ganzen Welt überwacht, registriert immer öfter die Mirai-Malware. Sie zielt auf unsichere IoT-Geräte, wie etwa Webcams oder Router. Nachdem die Malware die erste Hürde genommen hat und sich im heimischen Netzwerk befindet, attackiert sie dann relativ ungehindert PCs oder Smartphones. Kriminelle wissen, dass Sie Ihr Zuhause durch unsichere IoT-Geräte angreifen können. Noch schlimmer: Verbraucher haben oft keine Ahnung, ob die von ihnen installierten Geräte sicher sind oder nicht.
Unabhängig davon, wie gut Ihr vernetztes Heimgerät abgesichert ist, gibt es zwangsläufig viele Datenschutzaspekte. Das ergibt sich automatisch durch die vielen genutzten, vernetzten Geräte. Solche Netzwerke sind schnell komplex und die Menge der Geräte mit ihren vielen verschiedenen Herstellern erfordern enormes Vertrauen, dass man Sie und Ihre Daten auch wirklich schützt. Die IoT-Revolution steht erst am Anfang und wird sich auf absehbare Zeit nur noch beschleunigen. Folgendes müssen Sie wissen, wenn Sie nach einem angeschlossenen Heimgerät suchen.
Verbraucher sollen Hilfe bekommen
In Deutschland wird der Ruf nach mehr Sicherheit bei IoT-Geräten immer lauter. Ein Sicherheitsgesetz gibt es aber aktuell nicht. Viele Sicherheitsanbieter unterstützen die Nutzer mit passenden Produkten. F-Secure zum Beispiel hilft hier mit dem zusätzlichen Sicherheits-Router Sense. Der aktuelle deutsche Innenminister Horst Seehofer will, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zukunft auch das Netz nach unsicheren Geräten scannt und dann die Nutzer warnt und informiert, was sie für mehr Sicherheit ändern müssen. Ob die Nutzer die Hinweise in der Praxis auch umsetzen können, steht allerdings in den Sternen.
Vielleicht wird die USA bzw. Kalifornien ein Vorbild für Deutschland und die EU werden. Denn ab Januar 2020 tritt dort der kalifornische SB-327 (Senate Bill No. 327) in Kraft, das erste Gesetz, dass das Internet der Dinge regeln soll. Mit diesem Gesetz verspricht man sich die Sicherheit zu verbessern. Dies ist zwar ein historischer Schritt, aber Verbraucher sollten nicht damit rechnen, dass damit die Herausforderung der Sicherung eines intelligenten Hauses verschwindet.
Der Sicherheitsexperte Rüdiger Trost von F-Secure merkt an, dass die Hersteller durch SB-327 nur verpflichtet sind, „angemessene Sicherheitsmaßnahmen in Anbetracht des von ihnen bereitgestellten Dienstes zu ergreifen“. Der Begriff „angemessen“ ist zwar etwas vage, er bedeutet aber nicht, dass das neue Gesetz unbrauchbar ist.
Sichere Passwörter wären eine enorme Verbesserung für das IoT
Das kalifornische Gesetz kann in einigen Punkten auch für Europa ein Vorbild sein. Denn der Punkt Passwörter wurde besonders berücksichtigt. “Eine Sache, die definitiv besser ist: Standard-Passwörter sollen nicht mehr akzeptiert werden”, so Trost. “Und wenn Sie erfolgreiche Netzwerk-Einbrüche via IoT auswerten: 75% sind auf schwache oder recycelte Passwörter zurückzuführen.”
Die Mirai-Malware setzt auf schwache, erratbare oder fest codierte Passwörter. Diese Sicherheitslücken sind die Nummer eins in der Liste der Top 10 des Open Web Application Security-Projekts IoT. “Dies sind die zehn wichtigsten Punkte, die beim Erstellen, Bereitstellen oder Verwalten von IoT-Systemen zu vermeiden sind.”
Noch ein Tipp: Wie können Sie herausfinden, ob ein IoT-Gerät sichere, eindeutige Kennwörter ermöglicht? Googeln Sie es einfach! Oder fragen Sie per Mail bei Hersteller oder Anbieter nach.
Was das BSI und sogar das FBI in Sachen „Smart-TV“ empfiehlt
Auch wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das FBI eigentlich kaum etwas miteinander zu tun haben: sie geben beide fast identische Tipps in Sachen Smart-TVs und Cyber-Sicherheit. Am Black Friday 2019 gab das FBI eine Liste mit Tipps für Verbraucher heraus, die sogar viele deutsche Medien und auch Anbieter von TVs aufgegriffen und veröffentlicht haben.
Das BSI und das FBI geben folgende Tipps:
- Informieren Sie sich vor dem Kauf über die Funktionen des Smart-TVs: nutzen Sie bei der Websuche Wörter, wie „Mikrofon“, „Kamera“ und „Privatsphäre“. Das BSI erweitert um die Begriffe „Sicherheitsupdates“ und „Verschlüsselung“.
- Die Zugriffskontrolle: Man sollte die Standardeinstellungen für die Sicherheit in vielen Punkten ändern können. Auch Passwörter müssen veränderbar sein und Mikrofone oder Kameras sollte man deaktivieren können. Falls man eine Kamera nicht abschalten kann, hilft im Notfall auch ein Stück Klebeband. Ein Mikrofon hingegen lässt sich so nicht abschalten!
- Bietet der Hersteller Sicherheitsupdates für Ihr Gerät an? Nur wenn es immer wieder Updates gibt, bleibt das Gerät auch auf einem aktuellen Sicherheitsstand.
- Prüfen Sie die Richtlinien für Ihre privaten Daten. Lesen Sie nach, welche Ihrer Daten gespeichert und für welchen Zweck sie verwendet werden.
Auch große Namen haben immer wieder Probleme
In dem „IoT-Bericht zur Bedrohungslandschaft“ von F-Secure, der Anfang 2019 veröffentlicht wurde, stellte Sicherheitsberater Mark Barnes von F-Secure, der als erster eine Amazon-Alexa gehackt hatte, fest, dass viele der größeren Hersteller, wie Amazon und Google, bei ihren Massenmarktgeräten eigentlich einen guten Job in Sachen Sicherheit gemacht haben.
Die gesamte Sicherheit der Welt spielt jedoch keine Rolle, wenn die großen Anbieter unerlaubterweise private Daten sammeln, für sich nutzen und die Daten somit nicht privat bleiben. So wurde etwa Amazon- und Ring-Boss Jeff Bezos von der US-Regierung aufgefordert sich bei Ring mehr mit dem Datenschutz und der Sicherheit zu beschäftigen. Denn es wurde bekannt, dass durch Schlamperei der Zugriff auf abgelegte Video-Dateien und teilweise auch auf Live-Streams möglich war. Es reichte wohl schon eine E-Mail-Adresse, um an die gesuchten Videos zu kommen.
Mark Barnes sagte dazu: “Die Berichte über laxe Sicherheitspraktiken und mangelnde Achtung der Privatsphäre bei Ring sind besorgniserregend, da wir ihnen private Informationen und Filme mit privaten Inhalten anvertrauen.”
Die Vorteile des IoT sind immer mit Risiken verbunden
„Naiv könnten wir davon ausgehen, dass Anbieter und Service-Dienstleister unsere Daten schützen und mit Respekt behandeln. Aber dies ist erwiesenermaßen nicht immer der Fall. Der Nachteil billiger IoT-Geräte besteht häufig darin, dass ein großer Teil des Geschäftsmodells für die Anbieter in der Monetarisierung unserer persönlichen Daten besteht. “, so Mark Barnes.
Verbraucher brauchen eine einfache Lösung
Selbst wenn alle Hersteller die Sicherheit von IoT-Geräten ernst nehmen und die Verbraucher beginnen, die Kennwort- und Datenschutzrichtlinien aller von ihnen gekauften Modelle zu untersuchen, bleibt ein riesiges Problem: Es wurden bereits Abermillionen von unsicheren IoT-Geräten verkauft und diese sind weiterhin in Betrieb und somit anfällig für Angriffe.
Mikko Hypponen von F-Secure nennt diesen Fall „IoT-Asbest“, abgeleitet vom Asbest-Problem: Asbest wurde überall verbaut und muss bis heute noch mühsam entfernt werden. Genauso wird man diese IoT-Geräte wieder loswerden müssen, was wahrscheinlich Jahrzehnte dauern wird – wenn nicht sogar länger.
Das Absichern des Smart Home beginnt mit einem sicheren Router, der bereits die Untersuchung von außen durch Angreifer verhindert. Leider enthalten einige der am Markt erhältlichen Router bekannte Sicherheitslücken.
Verbraucher haben sich von den Vorteilen der smarten und günstigen Geräte blenden lassen und nur zu oft mit ihrer Sicherheit und Privatsphäre bezahlt. Jeder Nutzer sollte sich diesem Problem stellen und handeln. Am einfachsten und intelligentesten beginnen Sie mit einem Router, der alle Ihre Smart-Home-Geräte gegen Cyber-Angriffe schützen kann.
Kategorien