Immer wieder kommen smarte Geräte mit veralteter Software und unzureichenden Sicherheitsfunktionen auf den Markt. Welche potenziellen Schäden können dadurch entstehen und wie kann man sich vor Angriffen auf IoT-Hardware schützen?

Im Interview mit der Zeit erklärt Michael Steigerwald - der Geschäftsführer und Mitgründer von vtrust, einem Unternehmen, das sich mit der Sicherheit von IoT-Geräten befasst und Beratungsdienstleistungen anbietet -, warum viele Smart-Home-Geräte ein Sicherheitsrisiko darstellen und was man als Nutzer dagegen tun kann. Da die Hersteller von Geräten unter einem Wettbewerbsdruck stehen, versuchen diese oftmals, sich durch Kosteneinsparungen von der Konkurrenz abzuheben. Sicherheitsfunktionen oder gar Software-Updates sind dabei aber Dinge, die einerseits viel Geld kosten und sich andererseits schlecht vermarkten lassen. Deshalb sparen viele Hersteller von smarten Kühlschränken und Co. nur allzu gerne an diesen Features.

Häufig gibt es nicht mal Personal bei Herstellern von Küchengeräten und anderen Haushaltsgeräten, die sich um die IT-Sicherheit kümmern. Derartige Services kosten eine Menge Geld, da dafür Software-Experten notwendig sind. Manche Hersteller lagern dann die Software-Entwicklung zu externen Dienstleistern aus. So offeriert beispielsweise Eset eine App für Android-TVs, um diese vor zum Beispiels Malware zu schützen.

Missbrauch von Daten möglich
Es stellt sich die Frage, welchen Unfug Kriminelle anstellen können, wenn es Ihnen gelingt, ein Smart-Home-Gerät zu hacken. Das kommt ganz darauf an, wie das betreffende Endgerät eingebunden ist und welche Daten dort gespeichert sind. Beispielsweise könnte man einen vernetzten Drucker dazu verwenden, massenhaft Ausdrucke anzufertigen oder auch kostenpflichtige Telefonnummern anzurufen, wenn man zugleich ein mit dem Internet verbundenes Festnetz-Telefon hat.

Einmal Zugriff auf alles bitte
Wird ein smartes Endgerät gehackt, so können Angreifer auf alle im selben Netzwerk befindlichen vernetzten Geräte zugreifen. Das Problem sind jedoch nicht nur einzelne Smart-Home-Geräte mit veralteter Software, sondern auch die Funktionsweise an sich. Ein vernetztes Endgerät dient immer sowohl als Empfänger von Daten, als auch als Sender. Mit entsprechendem Aufwand könnte man also einen Thermomix-Klon so umbauen, dass dieser zum dauerhaften Sender wird. So wurde im Jahr 2016 ein sogenanntes Botnetz aus einer Vielzahl von IoT-Geräten erstellt und durch massenhafte Anfragen die Server von Twitter, Spotify und anderen Web-Services lahmgelegt. Aktuellen Schätzungen von Statista zufolge geht man von mehr als 26 Milliarden IoT-Hardware aus, die sich weltweit im Einsatz befindet.



Schutz durch aktuelle Software oder Nichtbenutzung
Die Frage, die sich stellt, ist, wie man sich vor Angriffen schützen kann. Generell gilt, dass nur Geräte mit aktuellem Softwarestand ans Netz gehören. Schließlich sorgen Software-Updates in der Regel auch dafür, dass Schlupflöcher gestopft werden. Offeriert der Hersteller eines Smart-Home-Geräts allerdings keinerlei neue Software, dann hilft nur, das betreffende Gerät vom Stromnetz zu nehmen. Die Hersteller sind einfach in der Pflicht, hierfür ein Bewusstsein zu entwickeln, da man ja im Prinzip kleine vernetzte Computer im Haushalt hat. Einen Vorbild-Charakter leisten hier übrigens Geräte mit Google Assistant und auch Amazon Alexa. Denn beide IT-Unternehmen offerieren immer wieder kostenlose Sicherheitsupdates. Ebenfalls kann es eine Lösung darstellen, mehrere unterschiedliche Netzwerke zu betreiben.
"Das größte Problem ist das fehlende Bewusstsein der Leute. Keiner denkt daran, dass er sich mit einer smarten Glühbirne ein potenzielles Einfallstor in sein digitales Zuhause holt. Firmen aus Asien haben oft ein anderes Verständnis von Privatsphäre. Sie sehen Daten nicht als so sensibel an wie wir. Die meisten Geräte sind außerdem ungeschützt. Unsere Tests haben gezeigt, dass bei chinesischen Bauteilen für Smart-Home-Produkte häufig Standard-Login-Daten verwendet werden, die in der Firmware einsehbar sind. Wir hatten hier im Labor vor ein paar Tagen eine Überwachungskamera mit einem Standard-Passwort, das sich nicht ändern ließ. [...] Es ist interessant, dass viele Käuferinnen und Käufer Amazon Echo und Google Home als potenzielle Wanzen ansehen, billige Smart-Home-Pendants aus Asien aber nicht. Dabei sind die Google- und Amazon-Produkte aus IT-Sicht um Welten sicherer." - Michael Steigerwald, Geschäftsführer von vtrust