Dieser Beitrag wurde von Carlos Rieder für secnovum verfasst.
IT-Gadgets wie beispielsweise Internetkameras, über das Internet bedienbare Steckdosen (Smart-Home) oder Ähnliches werden heute vielfach und ohne Sorgen eingesetzt. Vielen Nutzern ist aber nicht klar, dass diese Gadgets unter Umständen weltweit von Dritten missbraucht werden können, weil diese Geräte ganz einfach übers Internet erreichbar sind. Um sich ausreichend zu schützen, benötigen Sie zwingend Schutzmassnahmen. Dies können zum Beispiel starke Passwörter und regelmässige Updates sein. Erfahren Sie in diesem Blogbeitrag mehr über die Hintergründe der Gefahren und wie man sich schützen kann.
Verlockend einfache Bedienung von Smart-Home-Systemen
Interdiscount, Conrad, Media Markt und Co. sind voll von den vielen kleinen Helfern im Alltag. Sei es die Videoüberwachung für den Eingangsbereich, die mobile Steuerung der Heizung im Lagerraum oder im Ferienhaus. Noch risikobehafteter sind Zutrittssysteme (elektronische Schlösser) oder Alarmanlagen. Was früher autonome Systeme waren, sind heute über das Internet steuerbare Anlagen, die mitunter auch mit einem zentralen Server kommunizieren. Diese werden meistens vom Hersteller gratis oder auch gegen Entgelt zur Verfügung gestellt.
Zweifelsohne sind diese Helfer sehr praktisch. Man wird automatisch benachrichtigt, wenn der Lagerraum zu kalt oder zu warm wird. Die Heizung im Ferienhaus kann zwei Tage vor der Anreise übers Internet gestartet werden, damit man bei der Ankunft eine wohlige Wärme verspürt. Auf den Bildern der Videokamera kann man prüfen, ob wirklich die eigene Katze das Futter frisst. Was viele nicht wissen, ist der Fakt, dass all diese Vorteile bereits seit vielen Jahren nutzbar sind. Heute sind darüber hinaus die Systeme sehr einfach zu installieren und auch günstig realisierbar.
Tönt doch alles super, aber was ist nun das Problem?
Zur Vereinfachung des Zugriffs für den Nutzer übers Internet werden von Herstellern betriebene zentrale Server eingesetzt. Mein Smart-Home-Gadget ist mit diesem Server verbunden. Will ich den Zugriff aufbauen, verbinde ich mich mit diesem Server, welcher mich an mein System weiter-verbindet. Somit hat jeder, der Zugriff auf den zentralen Server des Herstellers hat, auch Zugriff auf meine Smart-Home-Systeme. Eine Detektion dieser unerwünschten Zugriffe ist komplex.
Regelmässige Wartung gerät in Vergessenheit
Weiterhin werden viele Smart-Home-Systeme anders als normale Computer betrieben. Sie laufen über Jahre hinweg einfach so vor sich hin. Man vergisst, dass sie mit dem Internet verbundene Computer sind. Und genau deshalb brauchen sie Wartung, sprich regelmässige Updates. Aus eigener Erfahrung stelle ich fest, dass das Updaten von Smart-Home-Gadgets oftmals sehr umständlich ist. Einerseits ist bei vielen das Update-Verfahren selber sehr kompliziert und andererseits werden die Updates auf Grund der kurzen Innovationszyklen nur für eine kurze Zeit angeboten. Viele Hersteller bevorzugen den Verkauf von neuen Produkten.
HSLU beobachtete Zugriffe aus USA, Russland und China
Nachfolgende Anekdote beschreibt ein weiteres Problem: Vor zwei Jahren kaufte ich über das Internet eine selbstständig fahrende, übers Internet steuerbare Videokamera, den iSpy Tank. Bei einer Überprüfung stellten Studenten der Hochschule Luzern (Fachbereich Informatik) fest, dass mein iSpy Tank nicht nur für mich arbeitete. Er kommunizierte alle paar Sekunden mit sechs weiteren IP Adressen aus USA, Russland und China. Dies legte die Vermutung nahe, dass es sich bei diesem Device um einen Bot handelte, auf welchen unbekannte Dritte Zugriff hatten. Und diesen Spion hatte ich freiwillig in meine vier Wände gestellt? Weg damit, aber sofort!
Vorsicht auch bei Amazon Alexa, Apple Home Kit und Google Home
Da wären wir auch schon bei den netten neuen IT-Gadgets wie Amazon Alexa, Apple Home Kit oder Google Home. Über Sprachsteuerung spielen diese Geräte Musik ab und können noch vieles mehr. Diverse Untersuchungen habe gezeigt, dass nur auf Kommando aufgezeichnet wird. Da diese IT-Systeme in unserem Wohnraum stehen, sind sie mit «Sicherheit» ein sehr interessantes Ziel für einen Angreifer. Übrigens die neuen mit dem Internet verbundenen Fernseher mit Sprach- und Gestensteuerung sind noch interessanter für Angreifer, denn zum Ton kommt noch das Bild dazu.
Wie kann dieser Bedrohungen begegnet werden?
Weniger ist mehr
Man sollte sich gut überlegen, was wirklich einen Nutzen bringt und welche neuen Risiken damit verbunden sind. Videoüberwachungen sollten nur an Orten angebracht werden, wo die Verletzung der Privatsphäre unwahrscheinlich ist. Besondere Vorsicht sollte bei Alarmanlagen und Zutrittssystemen, welche übers Internet erreichbar sind, gelten. Die Kontrolle über die Alarmanlage, ob man zuhause ist, ist ein Glücksfall für jeden Einbrecher.
Wartung
Ohne Diskussion, die Geräte müssen regelmässig gewartet werden. Wer stellt das sicher? Eine automatische Wartung wäre ideal. Leider steckt diese bei vielen Herstellern noch in den Kinderschuhen. Informieren Sie sich vor dem Kauf!
Wahl der Hersteller und Bewertungen lesen
Kaufen Sie nur Produkte von vertrauenswürdigen Herstellern. Die Globalisierung erlaubt uns einen weltweiten Einkauf. Dabei darf aber die Qualitätsprüfung nicht auf der Strecke bleiben. Das Internet bietet auch die Chance, Kommentare von anderen Kunden zu lesen und sich daraus eine eigene Meinung zu bilden.
Starke Passwörter
Die Default Passwörter der meisten Smart-Home Systeme können im Internet recherchiert werden. Verwenden Sie unbedingt starke Passwörter, um so einen Zugriff durch unberechtigte Dritte zu verhindern.