IoT-Technologie im Visier – Sicherheitslücken für Cyberkriminelle

IoT-Technologie bzw. die Vernetzung von Geräten über das Internet ist das Buzzword der letzten Jahre. Smarthome ist ein Bereich in dem IoT – Internet of Things – vermehrt im privaten Sektor auftritt. Denn wer benötigt denn analoge Geräte, wenn sich jedes Gerät in Zukunft mit dem Internet verbinden und so schnellerer Datenaustausch stattfinden kann? Doch neben den Chancen birgt IoT, gerade im Bereich der Cybersicherheit, hohe Risiken. In unserem Blogartikel geben wir Ihnen einen Einblick in die Welt der IoT-Technologie und deren Gefahren.

Auch Cyberkriminelle haben den Bereich IoT schnell für sich entdeckt. Vor allem günstige Geräte glänzen nicht gerade mit sinnvollen Sicherheitsfeatures. Wie das BSI schon 2018 berichtete, gab es einen bekanntgewordenen Fall bezüglich einer IP-Überwachungskamera des Herstellers Fredi.¹Auch Heise berichtete über „eklatante Sicherheitslücken“. Durch dieses IoT-Gerät war es Angreifenden möglich, den Video- und Ton-Stream abzufangen und sogar noch tiefer in das verbundene Netzwerk einzudringen. Aber nicht nur die Unternehmen sind schuld, die solche Geräte herstellen. Häufig sind diese Streams nur über eine einfache Authentifizierung (Username und Passwort) geschützt und wenn die End User das Standardpasswort nicht ändern oder ein unsicheres Passwort wählen, ist das Einfallstor umso größer.

Die gängigsten Beispiele für IoT-Geräte sind wohl Alexa, USB-Dongles zum Video-Streamen, wie z. B. GOOGLE Chromecast, oder Haussicherheitssysteme. Aber mittlerweile gibt es auch unzählige andere Beispiele wie bspw. „smarte“ Kaffeemaschinen. Im Folgenden meine kurioseste IoT-Begegnung der letzten Jahre:

„eRosary“ – der smarte Rosenkranz für Gebetsunterstützung 

Die Entwicklung von Acer und dem Vatikan unterstützt die Benutzenden beim Beten verschiedener Rosenkränze. Nebenbei sei es wohl auch möglich seine Fitness zu überwachen.

Neben dieser Kuriosität gibt es aber auch ein IoT-Gerät, welches ich persönlich nicht mehr missen möchte. Meinen smarten Saugroboter. Die Vorstellung, dass, während ich diesen Artikel schreibe, zu Hause schon mein Roboter herumfährt und meinen Boden saugt und ich dies alles über eine App steuern kann, ist schon verlockend. Doch um ehrlich zu sein, habe ich dieses wirklich nützliche Gerät letzten Monat aus dem Betrieb genommen. Die chinesische App, die einen genauen Grundriss meiner Wohnung aufzeichnet und ungewollt eine Menge Datenpakete versendet hat, war mir doch etwas zu unsicher.

Um zu verhindern, dass eines Ihrer IoT-Geräte von Cyberkriminellen missbraucht wird, empfehlen wir folgende Maßnahmen:

• Wägen Sie vor einem Kauf ab, ob das Risiko der gesammelten Daten die Funktion des Gerätes aufwiegt.
• Ändern Sie die vom Hersteller voreingestellten Zugangsdaten, vor allem wenn das Gerät über das Internet erreichbar ist.
• Schränken Sie den Zugriff auf das Gerät über das Internet ein, z. B., indem Sie den Zugriff nur von bestimmten IP-Adressen erlauben.
• Aktivieren Sie wenn möglich eine Mehrfaktorauthentifzierung.
• Trennen Sie das Gerät vom Netz und Strom, wenn Sie es für eine längere Zeit nicht nutzen.

Sollten Sie bereits Opfer eines Angriffs geworden sein oder haben den Verdacht, sollten Sie das Gerät schnellstmöglich auf die Werkseinstellungen zurücksetzen. Ebenfalls sollten Sie im Internet nach möglicherweise bekannten Sicherheitslücken suchen und schauen, ob Sie diese bei erneuter Inbetriebnahme verhindern können. Sollten Sie den Verdacht haben, dass sensible Daten abhandengekommen sind, sollten Sie auch externe Expert:innen zurate ziehen.

_{¹Sicher Informiert vom 05.08.2018 in: BSI [online] https://www.bsi-fuer-buerger.de/SharedDocs/Newsletter/DE/BSIFB/BuergerCERT-Newsletter/2018_Sicher-Informiert/14_Sicher-Informiert_05-07-2018.html [11.01.2021].}