Sicherheit im Smart Home. Die Gefahr der Vernetzung erkennen.

Von   Vladislav Iliushin   |  IoT Threat Researcher   |  Avast
5. April 2019

Jeder sechste deutsche Haushalt nutzt ein unsicheres Smart-Home-Gerät – das geht aus dem Smart Home Security Report von Avast [1] hervor. Solche Sicherheitslücken gehen oft auf das Konto von veralteter Software. Genau nach dieser Einstiegschance ins Heimnetzwerk suchen Cyberkriminelle, um Botnet-Malware-Attacken durchzuführen. Ein Experiment zeigt, wie groß die Gefahr ist, die von unzureichend gesicherten Geräten ausgeht. 
Das Internet der Dinge (IoT) wächst rasant. 21 Milliarden vernetzte Geräte waren 2018 weltweit im Einsatz, schätzt Juniper Research. In ihrer Studie [2] sagt die Marktforschungsfirma r für 2022 einen Anstieg auf über 50 Milliarden Stück voraus. Die Vernetzung findet bisher hauptsächlich im Industrial IoT statt. Doch immer mehr smarte Helfer halten Einzug in den privaten Alltag. Während Alexa auf Kommando das Licht ein- oder ausschaltet, freuen sich andere Konsumenten, wenn ihr Staubsaugroboter unaufhaltsam und sauber seine Bahnen durch die Wohnung zieht. Intelligente Waschmaschinen, die Tabs bestellen, versprechen weiteren Komfort für private Nutzer. Laut dem Smart Home Security Report von Avast führen im deutschsprachigen Raum Drucker, Smart-TVs und Medienboxen die Beliebtheitsskala für vernetzte Smart-Home-Geräte an. Weltweit betrachtet finden sich in einem durchschnittlichen Haushalt mindestens fünf vernetzte Geräte. Allerdings verbauen Hersteller nicht immer die höchste Sicherheit, um ihre Produkte schnell auf den dynamischen Markt für Smart Home zu bringen.

Dabei kann jedes Gerät, das mit dem Router verbunden ist, ein Zugangspunkt für Angreifer sein. Cyberkriminelle verschaffen sich so Zugang zu anderen Geräten im selben Heimnetzwerk. Wenn beispielsweise die Babycam einer Familie mit den standardmäßigen Anmeldeinformationen, dem Benutzernamen und dem Passwort des Geräts zugänglich ist, kann ein Hacker diese verwenden, um weitere angeschlossene Geräte wie die intelligenten Lautsprecher oder den intelligenten Fernseher zu kontrollieren. Schließlich sperren die Angreifer die Geräte, um Lösegeld zu verlangen oder weisen per Sprachbefehl Alexa an, das digital verriegelte Türschloss zu öffnen. Im zweiten Fall würden die Kriminellen vorher die Geodaten der smarten Geräte auslesen und danach physisch ins Haus einbrechen, ohne Spuren zu hinterlassen.

Ein Experiment zeigt die Dimension der Gefahr

Meist geht es jedoch nicht um einen gezielten Angriff auf ein bestimmtes Heimnetzwerk, um nur dieses zu schädigen. Cyberkriminelle scannen kontinuierlich das Internet ab, um Geräte zu finden, die sie mit Botnet-Malware wie Mirai infizieren können. Einen solche Attacke hat Ende 2016 in Deutschland fast eine Million Router der Deutschen Telekom abstürzen lassen.

Wie intensiv Cyberkriminelle IoT-Geräte nach offenen Ports scannen, die für sie potenzielle Einfallstore darstellen, demonstrierte Avast beim Mobile World Congress 2019 in Barcelona. Das Experiment stützte sich auf 500 Honeypots – Geräte, die absichtlich mit offenen Ports versehen wurden, wie sie normalerweise in Geräten mit Internetanschluss zu finden sind. Den Angreifern, die diese Geräte scannten, wurde so vorgetäuscht, dass sie sich mit IoT-Geräten verbunden haben. Die präparierten Server täuschten vor, internetfähige Geräte zu sein. Die Versuchsanordnung sah die Verteilung der Honeypots quer über die Kontinente vor. Die vermeintlichen Sicherheitskameras, Smart-TVs oder TV-Streaming-Geräte wurden innerhalb von fünf Tagen mehr als 23,1 Millionen mal gescannt. Das ergibt im Durchschnitt pro Gerät 11.500 Scans. Allein in Deutschland ließen sich 162.868 potenzielle Angriffe registrieren. Nur in Irland kam es zu mehr Versuchen. Insbesondere drei Ports zogen das Interesse auf sich:

  • Port 8088: Dieser ist üblicherweise in Chromecast-TV-Streaming-Geräten sowie in intelligenten Lautsprechern wie Google Home zu finden.
  • Port 22: Das Telnet-Protokoll verwenden vor allem Router, es wird für die Fernkonfiguration genutzt.
  • Port 23: Das SSH ähnelt dem Telnet-Protokoll, nur dass die Kommunikation über diesen Port verschlüsselt wird.

Echte Geräte haben zwar weniger offenstehende Ports wie die eingesetzten Honeypots, dennoch zeigt das Experiment, dass ein Router, eine Sicherheitskamera oder ein TV-Streaming-Gerät täglich hunderte und monatlich tausende Male von Cyberkriminellen gescannt werden können. Im zweiten Schritt ist es für Angreifer ein Kinderspiel, in das mangelhaft gesicherte Gerät und darüber in das Netzwerk einzubrechen.

Jeder sechste deutsche Haushalt setzt sich der Gefahr aus

Laut dem Smart Home Security Report von Avast betrifft diese Gefahr in Deutschland jeden sechsten Haushalt, weil viele mindestens ein unsicheres Gerät verwenden. Neben den Verbrauchern sind kleine Firmen am meisten bedroht. Angriffsfläche bieten Nutzer demnach mit ihren Netzwerkgeräten, Druckern, Netzwerkspeichern, Sicherheitskameras und Set-Top-Boxen. Diese Top fünf der gefährdeten IoT-Geräte nutzen schwache Zugangsdaten, verfügen nur über eine Ein-Faktor-Authentifizierung oder werden nicht gepatcht. Genau in diesem Zustand befinden sich auch viele Router. Veraltete Software ist daher oft das schwächste Glied in der Sicherheitskette. Fast der Hälfte der weltweiten Benutzer scheint das jedoch nicht klar zu sein. Denn sie haben sich noch nie in ihren Router eingeloggt oder ihre Firmware aktualisiert.

Wie wichtig der Schutz von Routern ist, verdeutlicht eine weitere Entwicklung: Im Jahr 2018 war nicht nur ein Anstieg der routerbasierten Malware zu beobachten, sondern auch eine Veränderung in der Angriffsführung. Traditionell übernimmt routerbasierte Malware ein Gerät für einen DDoS-Angriff, so wie bei den erwähnten Mirai-Attacken. IoT-Malware wie Mirai infiziert Geräte und eröffnet eine Kommunikationsleitung zu einem C&C-Server (Command and Control). Sie entwickelt sich jedoch weiter und wird modular. Ein Beispiel für eine modular aufgebaute IoT-Malware ist Torri. Sie kann jeden Code ausführen und jede Nutzlast auf das infizierte Gerät übertragen. Unabhängig von der konkreten Angriffsführung steht fest: Hackern reicht ein einziges schlecht gesichertes Gerät, um in das Netzwerk zu gelangen, was die skizzierten Folgen nach sich zieht.

Die wichtigsten Sicherheitsvorkehrungen angehen

Viele Verbraucher nehmen das Sichern ihrer Smart-Home-Geräte bisher auf die leichte Schulter. Jedoch sind starke Passwörter und eine Zwei-Faktor-Authentifizierung wichtige Sicherheitsvorkehrungen für einen effektiven Schutz der Geräte in Wohnungen, Häusern und Büros. Jeder Nutzer sollte für Router sowie das WLAN ein starkes und komplexes Passwort vergeben und stets die jüngsten Sicherheitsupdates aufspielen. Starke Anmeldeinformationen schützen die administrative Schnittstelle des Routers so, dass Dritte keinen Zugang erhalten, um den Router einfach neu zu konfigurieren. Angemessene WLAN-Zugangsdaten verhindern wiederum das Ausspionieren des Datenverkehrs.

Daneben muss das Sicherheits-Update für Smart Speaker, TV-Streaming-Geräte oder eine Babycam mit Internetanschluss Pflicht sein. Vor dem Kauf verrät ein Blick auf die Internetseite des Herstellers, ob dieser regelmäßig Software-Sicherheits-Updates – sogenannte Patches – bereitstellt. Ist dies nicht der Fall oder ist das jüngste Update schon zwei Jahre alt, könnte es sein, dass das neu erworbene Gerät bereits Sicherheitslücken hat und somit zur Gefahrenquelle wird. Wenn das Einrichten lediglich darin besteht, das Gerät einzuschalten, ist höchste Vorsicht geboten. Das Setup sollte zumindest vom Nutzer verlangen, das initiale Standardpasswort in ein neues, komplexes Passwort umzuwandeln. Vertrauenswürdig erscheinen vor allem Hersteller, die ihre Produkte über Webseiten vertreiben, welche die Verbindung zum Nutzer via HTTPS verschlüsseln.

Die Nutzer selbst sollten die Integrität der Datenerhebung in Frage stellen. Muss ihr künftiges Gerät Zugang zu persönlichen Informationen haben? Empfehlenswert ist außerdem, sich über die Details zum Common Vulnerabilities and Exposures, kurz CVE, zu informieren. Die Website cvedetails.com listet Anbieter und alle mit ihnen verbundenen bekannten Schwachstellen auf. Aufschlussreich ist beispielsweise ein Datumsabgleich, wann die Schwachstelle auf der CVE-Anbieterseite auftauchte und wie lange der Hersteller für das Patch gebraucht hat.

Sicherheit beginnt auf der Netzwerkebene

In einer perfekten Welt würden IoT-Hersteller mit Sicherheitsexperten zusammenarbeiten, um sicherzustellen, dass Schutz in ihren Geräten integriert ist. In der Realität stehen Hersteller unter enormem Druck, intelligente Geräte schnell und zu einem erschwinglichen Preis auf den Markt zu bringen. In der Folge liegt in der Entwicklung der Fokus nicht auf den Sicherheitsfunktionen. Abstriche in der Software-Qualität und in der Nachsorge werden in Kauf genommen, weshalb ungepatchte Sicherheitslücken auftreten. Jede einzelne bietet Cyberkriminellen eine Chance, in Heimnetzwerke einzubrechen. Die hohe Vielfalt an IoT-Geräten auf dem Markt macht es schwierig, einen standardisierten Schutz auf Geräteebene herzustellen. Allerdings ist an der Stelle auch die Politik gefragt. Beispielsweise könnte die EU-Kommission den Herstellern Mindestsicherheitsanforderungen vorschreiben, die IoT-Geräte zu erfüllen haben. Bis dahin muss die Sicherheit auf der Netzwerkebene beginnen und enden, was vor allem bedeutet: Benutzer müssen ihre smarten Helfer selbst absichern. Wer sein schwaches Router-Passwort in ein starkes ändert und seine Firmware auf dem neuesten Stand hält, macht sein Smart Home zu einem sichereren Ort. Zusätzlichen Sicherheitsgewinn werden zukünftig auch IoT-Sicherheitsplattformen bringen, die mit künstlicher Intelligenz Gefahren identifizieren und blocken. Diese werden Botnetze und Malware erkennen, sowie DDoS-Angriffe und verdächtige Vorgänge im Heimnetzwerk unterbinden und den Nutzer darüber informieren.

Quellen und Referenzen

[1] https://cdn2.hubspot.net/hubfs/486579/avast_smart_home_report_feb_2019.pdf

[2] https://www.juniperresearch.com/press/press-releases/iot-connections-to-grow-140-to-hit-50-billion

 

Vladislav Iliushin ist ein IoT Threat Researcher bei Avast. Er analysiert das IoT-Ökosystem und führt Experimente durch, darunter Versuche zur öffentlichen Sicherheit von W-LANs, Untersuchungen zur Barrierefreiheit und Hackbarkeit von Webcams sowie Demo-Hacks von IoT-Hausgeräten.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

21485

share

Artikel teilen

Top Artikel

Ähnliche Artikel