Gerade zur Urlaubszeit hört es sich gut an: Ein Smart Home, das auch aus der Ferne überwacht und kontrolliert werden kann – das verspricht Sicherheit! Leider ist oft das Gegenteil der Fall: Gerade diese Systeme sind immer wieder von Sicherheitslücken betroffen. Erst im Juni 2021 wurde ein kritischer Fehler entdeckt: Millionen vernetzter Sicherheits- und Heimkameras enthalten eine Schwachstelle, die es Angreifenden ermöglicht, Video-Feeds anzuzapfen. Personen, Gebäude und die Privatsphäre können ausgespäht werden, An- und Abwesenheiten oder Grundrisse in falsche Hände gelangen. [1]

Kritische Fehler in Standard-Teilkomponenten

Das beschriebene Problem wurde über eine weit verbreitete Teilkomponente eines Zulieferers eingeschleust, die von verschiedenen Herstellern von Sicherheitskameras verwendet wird. Betroffen sind auch andere IoT-Geräte mit ähnlichen Funktionen wie Babyphones und Haustierüberwachungskameras. Da eine einfache Standardkomponente das Problem verursacht, ist selbst für informierte Konsumenten von außen nicht erkennbar, welche seiner Endgeräte betroffen sind. Man ist auf eine korrekte Information und entsprechende Softwareupdates des Herstellers angewiesen – die es allerdings oft nicht gibt oder die nur sehr schwer umsetzbar sind.

Fehlende Standards und oft auch sehr günstig kalkulierte Produkte sorgen dafür, dass IoT-Geräte bereits kurz nach dem Kauf oder der Inbetriebnahme keine Sicherheitsupdates mehr bekommen. Auch sonst bleibt meist unklar, wie der Konsument von Schwachstellen oder Updates erfährt. [2]

Viele verschiedene Systeme betroffen – Defizite im „Security by Design“

Ein weiteres aktuelles Beispiel sind die während der Pandemie sehr beliebten Peloton Fitnessbikes. Auch dort wurde ein kritischer, jedoch andersartiger Fehler entdeckt: Mit dem einfachen Anstecken an den USB-Port kann jede beliebige – auch modifizierte – Firmware am Gerät installiert werden, beispielsweise um Daten an Externe weiterzuleiten oder einen Backdoor-Zugang über das Internet aufbauen zu können. Die Schwachstelle ist auf eine fehlende Verifizierung der Firmware zurückzuführen. [3] Sobald das System über eine Internetverbindung verfügt, sollten daher in jeder Softwareentwicklung grundlegende Sicherheitsprinzipien berücksichtigt sein.

Sichere Systeme benötigen regelmäßige Kontrolle und Updates

Bevor Sie Ihr Heimnetzwerk um das neueste Gadget erweitern, fragen Sie sich selbst: Sind der Komfort und die neue Funktion, die dieses Gerät bietet, das potenzielle Risiko eines Hacks bzw. Sicherheitsproblems wert? Was könnte passieren, wenn Fremde oder Unbefugte Zugriff auf Daten bekommen? – Spricht das Ergebnis nicht für einen Anschaffung, verzichten Sie darauf.

Ansonsten gelten die grundsätzlichen Empfehlungen: Recherchieren Sie bei jedem Gerät und jeder Marke, ob der Hersteller auch nach dem Kauf bzw. der Inbetriebnahme Support anbietet. Registrieren Sie das System und achten Sie auf Informationen zur Verfügbarkeit und Anwendung von Softwareupdates. [4]

Auch lesenswert:

IT-Sicherheitskennzeichen für digitale Geräte?

Höchste Warnstufe: Remote Code Execution auf IoT-Geräten möglich

Quellen:

[1] https://threatpost.com/millions-connected-cameras-eavesdropping/166950//

[2] https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/magazine/internet-threats/

[3] https://threatpost.com/peloton-bike-bug-hackers-control/166960//

[4] https://www.safety.com/how-to-protect-smart-home-from-hackers//