280 Euro gibt jede*r Deutsche durchschnittlich für Weihnachtsgeschenke aus – zunehmend auch für technische Gadgets wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik. Aber wie sicher sind diese Geräte? IoT Inspector ging dieser Frage nach und hat beliebte Artikel namhafter Hersteller (auch aus den USA und Deutschland) untersucht. Leider mit erschreckenden Ergebnissen: Jedes einzelne dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen. Die Angreifer wären dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.
Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden.
Die Security-Experten von IoT Inspector untersuchten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller. Dabei fanden sie insgesamt über 7.000 Schwachstellen. In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version. Bei der Untersuchung wurden jedoch auch bislang unbekannte Schwachstellen identifiziert, die umgehend an die Hersteller gemeldet wurden. Zudem fanden die Spezialisten mangelhafte Wartungszugänge, die Angreifern eine Fernsteuerung des Geräts ermöglichen. Hierdurch können die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden. „Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyberkriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen“, erklärt Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH. „Bei einigen Geräten wird auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen kann das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Diese sind typische Gründe, weshalb die Schwachstellen von IoT Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.“
Folgende, namentlich nicht genannten Geräte wurden untersucht:
- Smart Speaker mit Voice Control eines bekannten deutschen Herstellers: 1.634 Schwachstellen
- Als „sicher“ beworbener Messenger für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
- Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
- Smart Home Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
- Haustier-Überwachungskamera, die häufig auch als Babycam verwendet wird: 643 Schwachstellen
- Mit „größter Datensicherheit“ beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen
Nicht nur billige Ware aus Fernost von Schwachstellen betroffen – auch Produkte namhafter Hersteller weisen eklatante Sicherheitslücken auf
„Uns war wichtig, nicht nur ‚No Name‘-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern“, so Richter. „Insgesamt muss die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen.“
Wie können sich nun Verbraucher schützen? Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer*innen folgende Tipps beherzigen:
- Prüfen Sie, ob der Hersteller eine Website hat. Viele Hersteller, die ihre Produkte auf den gängigen Onlinemarktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
- Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt.
- Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird.
- Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen. Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt.
- Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von Bluetooth-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.
