Internet of Things: "Smarte Geräte erschaffen eine Welt voller Probleme"

Viele smarte Geräte strotzen nur so vor Sicherheitslücken. Die Leidtragenden sind die Nutzer. Im Interview erklärt Sicherheitsexperte Ondrej Vlcek, wie Angreifer die Geräte missbrauchen können, welche Gefahren Nutzern droht und wie sie sich schützen können.

Plötzlich startet der Wasserkocher, obwohl niemand den Knopf gedrückt hat. Die Waschmaschine beginnt zu arbeiten, obwohl keiner am Schalter gedreht hat. Und die Rollläden schließen und öffnen sich wie von Geisterhand.

Natürlich spukt es nicht in diesem Haus: Aber alle Geräte arbeiten per Fernsteuerung: "Smart Devices" ist der Fachbegriff dafür oder "Internet of Things" (Internet der Dinge). Das beschreibt Geräte, die mit dem Internet verbunden sind. Ein smarter Fernseher kann so beispielsweise auf Online-Mediatheken zugreifen. Manche Wasserkocher lassen sich per Fernsteuerung – meistens eine Smartphone-App – starten. Und smarte Türen oder Rollläden können sich aus der Ferne öffnen und schließen lassen.

Das klingt im Grunde gut. Allerdings hat das "Internet of Things" auch seine Schattenseiten: Erst im Oktober wurde bekannt, dass Millionen Sicherheitskameras anfällig für Hackerattacken waren. Der Grund: Viele Hersteller scheren sich nicht um die Sicherheit ihrer Produkte. Im Interview mit t-online.de erklärt Ondrej Vlcek vom Anti-Viren-Hersteller Avast, warum das so ist, welche Gefahren Nutzern drohen und wie sie sich schützen können.

t-online.de: Herr Vlcek, wie viel smarte Geräte stehen bei Ihnen zu Hause?

Ondrej Vlcek: Ich glaube so 42.

Ganz schön viele ...

Die meisten Menschen haben mehr smarte Geräte, als ihnen bewusst ist: beispielsweise Audiosysteme, Fernseher oder Spielekonsolen. Es wird erwartet, dass die Zahl smarter Geräte in den kommenden Jahren auf bis zu 40 Milliarden steigt. Und viele davon sind mit Sicherheitslücken durchsetzt. Das kreiert eine Welt voller Probleme.

Wie meinen Sie das?

Wenn ich mir die Qualität der Software und Firmware dieser Geräte anschaue, erinnert mich das an den Zustand von Computern vor 25 oder 30 Jahren. Bei vielen Geräten ist es für einen Angreifer fast trivial, eine Schwachstelle zu finden und in das Gerät einzubrechen.

Was haben Hacker denn davon, wenn Sie bei mir als Privatperson eines meiner Geräte angreifen? Wären große Firmen nicht interessanter?

Angreifer können Ihre Geräte beispielsweise in einem sogenannten Botnetz bündeln, um andere Ziele im Internet zu attackieren – so wie Internetseiten. Ein Beispiel dafür ist das Mirai-Botnetz. 2016 missbrauchten Angreifer circa eineinhalb Millionen vernetzte Geräte, um die größten Internetseiten der Welt stundenlang lahmzulegen, darunter Amazon und Twitter.

Okay, das klingt schlimm. Aber am Ende hat es ja doch Amazon geschadet – und nicht mir persönlich.

Das ist nur ein mögliches Szenario. Es stimmt: vielen Verbrauchern mag es egal sein, wenn Angreifer ihre – sagen wir – Kaffeemaschine als Teil eines Botnetzes missbrauchen. Oder wenn sie ihre Kaffeemaschine attackieren. Es ist letztendlich ja nur eine Kaffeemaschine, wie groß kann der Schaden da sein? Das Problem für Nutzer beginnt, wenn Angreifer solche Sicherheitslücken nutzen, um das gesamte Heimnetzwerk anzugreifen.

Das geht, wenn die Kaffeemaschine unsicher ist?

Ja, denn wenn ein Gerät im Netzwerk unsicher ist, können Angreifer andere Geräte im Netzwerk attackieren. Diese vertrauen im gleichen Netzwerk nämlich einander. So wie beispielsweise bei Windows: An sich ist Windows heute ein ziemlich sicheres System. Wenn Nutzer aber ein neues Netzwerk einrichten, müssen sie es als Arbeits-, öffentliches- oder Heimnetzwerk bestimmen. Wenn sie Heimnetzwerk wählen, öffnet Windows die Firewall für andere Geräte im selben Netzwerk. Sie müssen sich das wie eine Kette vorstellen: Das schwächste Glied bestimmt den Sicherheitsstatus des ganzen Systems.

Wie können Angreifer Verbrauchern dann schaden?

Da gibt es verschiedene Möglichkeiten, je nachdem, wie die Geräte miteinander kommunizieren. Manche Nutzer besitzen Sprachassistenten wie Alexa oder Google Home. Kritisch wird es, wenn Sie beispielsweise Alexa mit dem Türschloss oder dem Thermostat verbinden. Oder Bezahlmethoden dafür einrichten. Dann kann jeder im Haus, der irgendwie Sprachbefehle aktivieren kann – beispielsweise mit einem Speaker – Alexa Befehle geben: wie die Tür zu öffnen, die Temperatur zu ändern oder etwas über das Internet zu kaufen. Alexa an sich ist in diesem Beispiel nicht gefährdet – aber es kann in einem Angriff eine Schlüsselrolle spielen.

Das klingt jetzt sehr abstrakt ...

Eine andere Möglichkeit ist Ransomware: Früher war die Erpressungsmethode nicht so populär. Aber dank Bitcoin haben Angreifer einen Weg gefunden, Lösegeld zu erpressen, ohne zurückverfolgt werden zu können. Denn Bitcoin sind anonym. Im Falle von IoT-Geräten können Angreifer beispielsweise den smarten Fernseher sperren und auf dem Bildschirm eine Lösegeldforderung anzeigen.

Wie realistisch sind denn solche Szenarien für normale Verbraucher?

Die meisten Angriffe sind nicht zielgerichtet. Normalerweise scannen Angreifer das Internet und suchen dabei nach offenen Geräte, die direkt an das Internet angeschlossen sind. So können Sie Tausende oder Millionen unsicherer Geräte identifizieren und auf einmal angreifen. Auf diese Weise kann jeder Opfer einer Attacke werden.

Warum gibt es denn so viele unsichere IoT-Geräte?

Ich denke, das Problem ist, dass viele Hardwarehersteller im Grunde Gerätehersteller sind. Firmen, die normalerweise Kaffeemaschinen, Toaster oder Waschmaschinen produzieren, haben nicht viel Erfahrung mit Sicherheitssoftware. Und manche Gerätehersteller haben sehr dünne Profitmargen: In ihrem Geschäftsmodell können sie es sich nicht leisten, groß in Sicherheit zu investieren. Viele haben auch kein Interesse daran, weil weder Verbraucher noch die Regierung sie dazu drängen.

Sollte die Regierung also mehr machen?

Ich finde, dass Regulatoren eine sehr wichtige Rolle spielen. Wenn man zum Beispiel in Sachen Sicherheit auf physische Güter schaut, gibt es allerhand Restriktionen und Normen bei der Materialverwendung für Produkte. Die Hersteller müssen auf Gesundheitsvorgaben und Weiteres achten. Aber bei Cybersystemen fehlen solche Regeln. Es ist heute legal, ein Produkt zu verkaufen, das mein Heim anfällig für Angriffe macht. Da muss sich was ändern.

Ist es denn wirklich so schlimm?

In Kalifornien wurde vor Kurzem eine neue Regelung eingeführt, dass IoT-Geräte ab 2020 ein einzigartiges Standardpasswort haben müssen. Das heißt, dass Kunden keine Geräte mehr kaufen können, wo Dinge wie "admin" oder "1234" als Kennwort voreingestellt sind. Das ändert nämlich kaum jemand und erleichtert Angreifern eine Attacke. Ich erwarte, dass in Zukunft mehr solcher Regulationen in weiteren Regionen bestimmt werden. Ich sehe auch ermutigende Signale aus der Sicherheitscommunity und -industrie, wo mehr Firmen beginnen, das Problem zu realisieren und an Lösungen arbeiten.

• Sicherheitsrisiko IoT: Wenn der Smart-TV heimlich für Hacker arbeitet
• Chaos Computer Club: Datenschützer warnen vor smarten Haushaltsgeräten
• Einbruchsschutz mit Technik: Polizei rät bedingt zu Smart-Home-Alarmanlagen
• Amazon: stellt fünf neue Alexa-Geräte vor

So wie Sie das Ganze erklären, sollten wir derzeit am besten gar keine IoT-Geräte kaufen. Was können Kunden tun?

Ich möchte keine Namen bestimmter Hersteller nennen. Aber es gibt Datenbanken im Internet, wo jeder sich über unsichere Geräte informieren kann. Zudem sollten Verbraucher zu Geräten greifen, die bekannterweise sicherer sind als andere. Das heißt: nicht das günstigste von einem unbekannten Hersteller kaufen. Das betrifft vor allem Dinge wie Kameras oder Babymonitore, die besonders anfällig zu sein scheinen. Auch sollten Nutzer das Standardpasswort ändern und Geräte-Updates machen. Und natürlich entsprechende Sicherheitssysteme für IoT-Geräte verwenden. Denn am Ende sind Verbraucher ein lukratives Geschäft: Für Angreifer gleichen persönliche, Bezahl- oder andere Daten einem Kronjuwel.

Herr Vlcek, vielen Dank für das Gespräch

Hinweis: Das Interview wurde im neuen Büro des Antivirenherstellers AVAST in Brno geführt. AVAST hatte t-online.de zur Eröffnung im Oktober eingeladen. Reise- und Hotelkosten übernahm die Firma.