Wenn die Dinge zur Bedrohung werden

Nicht nur in der Industrie spricht man derzeit ständig von Digitalisierung, auch im privaten Umfeld werden immer mehr Geräte „intelligent“ und vernetzt. Auch wenn der tatsächliche Nutzen oftmals kaum erkennbar ist, scheint jedes neue Gerät eine Smartphone-App zur Steuerung zu benötigen. Ob Fernseher, Heizung, Beleuchtung oder Waschmaschine – alle Geräte bekommen einen Mikrocontroller mit LAN- oder WLAN- Schnittstelle und in der Regel auch einen Cloud-Service des Herstellers. Dass das alles sicher sei, wird gern behauptet, doch die Realität sieht heute noch ganz anders aus. Häufig enthalten die Geräte gravierende Sicherheitslücken, die nicht nur dem Besitzer der Geräte schaden, sondern auch für indirekte Angriffe auf unbeteiligte Dritte missbraucht werden können. Die Abkürzung IoT wird deshalb immer häufiger statt mit „Internet of Things“ (Internet der Dinge) auch mit „Internet of Threats“ (Internet der Bedrohungen) übersetzt.

Ein bekanntes Beispiel für Sicherheits lücken in IoT-Geräten sind Netzwerkkameras. Solche Kameras sind für ein paar Euro erhältlich und werden gern zur Überwachung des Gartens, des Eingangsbereichs im Haus oder sogar als Ergänzung oder Ersatz für Babyphones verwendet. Der Besitzer kann von seinem Handy aus beobachten, was in seiner Abwesenheit passiert, und oftmals werden die Videodaten sogar auf Servern des Herstellers in dessen Cloud „gesichert“. Ein Einbrecher soll dadurch abgeschreckt oder eben gefilmt werden. Zahlreiche Hersteller liefern ihre Überwachungskameras mit Internetanschluss jedoch in einer Standardkonfiguration aus, bei der die Login-Daten beziehungsweise Passwörter bekannt und immer dieselben sind. Wenn ein Anwender eine solche Kamera in Betrieb nimmt, ohne ein neues Passwort zu setzen, kann nicht nur er selbst auf die Kamera zugreifen, sondern auch die Nachbarschaft oder ein potenzieller Einbrecher – und der kann sich auf diese Weise vergewissern, dass tatsächlich niemand zu Hause ist. Ein Discounter geriet im Januar 2016 in die Schlagzeilen: Er hatte eine Serie von Netzwerkkameras verkauft, an denen man sich im Auslieferungszustand mit dem Benutzernamen „admin“ und ohne Passwort anmelden konnte. Darüber hinaus konfigurierten diese Kameras den Internet- Router des Nutzers automatisch über das UPnP-Protokoll so um, dass die Kameras direkt aus dem Internet erreichbar waren. Doch nicht nur Netzwerkkameras konnten zur unerwünschten Überwachung des Besitzers missbraucht werden: Auch Fernseher, Puppen oder andere Spielzeuge, die über Dialog- oder Sprachsteuerungsfunktionen verfügen, kamen mit entsprechenden Schwachstellen in die Presse.

Häufig führen Softwareschwachstellen in IoT-Geräten und insbesondere in Kameras dazu, dass ein Unbefugter nicht nur lesenden Zugriff auf die Kameras hat, sondern auch die Software der Kamera manipulieren oder gar komplett austauschen kann. Die Auswirkungen konnte man im September 2016 eindrucksvoll beobachten. Damals bestand das Mirai-Botnetz aus über 300.000 IoT-Geräten, die vor allem aufgrund bekannter Standard-Zugangsdaten kompromittiert werden konnten und danach für Denial-of-Service-Angriffe missbraucht wurden. Das bekannteste Opfer war damals der Blogger Brian Krebs, dessen Website mit mehr als 600 Gbit/s angegriffen wurde und damit nicht mehr erreichbar war. Das Mirai-Botnetz hatte sich wie ein Wurm selbst vergrößert, indem die bereits kompromittierten Geräte nach weiteren im Internet erreichbaren Geräten suchten und diese dann automatisch ebenfalls infizierten. Weiterentwicklungen des Mirai-Botnetzes beziehungsweise andere IoT-Würmer, welche die Idee von Mirai weiterentwickelt oder für andere Zwecke modifiziert haben, waren auch 2017 zu beobachten. Wer denkt, all das seien unrealistische Szenarien – niemand käme doch auf die Idee, dass man selbst eine solche Kamera besäße, und so würde sie ja auch nicht gefunden – der sei an die Suchmaschine Shodan verwiesen. Ähnlich wie Google als Suchmaschine für Webseiten hat sich Shodan als Suchmaschine für das Internet der Dinge etabliert. Dort kann man gezielt nach Gerätetypen suchen und über einen integrierten Geolocation-Service sogar die Orte miteinbeziehen. Eine Suche nach webcam country:“DE“ city:“Berlin“ liefert beispielsweise Webcams in Berlin.

Ein anderes typisches Problem von IoT Geräten ist neben der Überwachung des Besitzers der Zugang zum privaten Netzwerk des Anwenders. Die „intelligente“ Türklingel des Herstellers Ring oder ein „smarter“ Wasserkocher sind gute Beispiele dafür. In beiden Fällen konnte ein Angreifer eine Verbindung zu den Geräten erzwingen und dann die dort hinterlegten Passwörter für das private WLAN auslesen. Bei der smarten Türklingel musste der Angreifer nur das Gehäuse der Klingel aufschrauben und den dahinter befindlichen Setup-Knopf drücken. Die Klingel öffnete dann einen eigenen WLAN-Hotspot mit bekannten Zugangsdaten – und der Angreifer konnte sich darüber mit der Weboberfläche der Klingel verbinden sowie die dort eingestellten Passwörter auslesen. Doch auch IoT-Geräte, die explizit als Sicherheitslösungen verkauft werden – beispielweise smarte Türschlösser oder Alarmanlagen-, sind meist nicht so sicher wie angepriesen. Bei mehreren Funkalarmanlagen für Privathaushalte wurde in den letzten Jahren präsentiert, wie man die Funkübertragung des PIN-Codes zum Entschärfen der Anlage mitschneiden und erfolgreich wiedergeben kann. Wenn ein Einbrecher über geeignete Hardware verfügt, kann er auf diese Weise das Signal zum Entschärfen mit einer Richtfunk antenne empfangen und aufzeichnen und – wenn sich keine Bewohner im Haus befinden-, die Alarmanlage selbst abschalten. Die dafür notwendige Hardware ist beispielswiese ein sogenanntes Software Defined Radio, das je nach Leistungsklasse bereits für wenige hundert Euro erhältlich ist. Bei den Untersuchungen solcher Alarmanlagen gab es zudem undokumentierte Hintertüren in den Geräten, mit denen man sich über das lokale Netzwerk direkt auf dem Betriebssystem der Alarmanlage anmelden konnte. Für diese Anmeldung ist ein Passwort erforderlich, das vom Hersteller in der Alarmanlage eingebaut ist und vom Käufer nicht geändert werden kann. Solche Hintertüren finden sich bisher bei zahlreichen IoT-Geräten.

Um den Hintertüren und Sicherheits lücken dieser Geräte nicht hilflos ausgeliefert zu sein, sollte man die Geräte als Käufer/Anwender nicht einfach in sein privates WLAN/internes Netzwerk integrieren, sondern in ein eigenes, durch eine Firewall abgeschottetes WLAN/Netzwerksegment. Ein Privatanwender ohne IT-Kenntnisse wird sich damit sicher schwertun. Doch zumindest die IT-affineren Anwender können mit einfachen Linux-basierten Firewalls beispielsweise auf einem Raspberry Pi für 40 Euro eine kostengünstige Sicherheits lösung aufbauen. In Unternehmen sollte in jedem Fall eine solche Abschottung erfolgen. Ähnliches und einiges mehr empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutz-Baustein „Allgemeines IoT-Gerät“. Dieses Dokument aus dem Grundschutz- Katalog ist daher eine empfehlenswerte Hilfe für alle, die IoT-Geräte sicherheitsbewusst betreiben wollen – wenngleich sich darin auch Empfehlungen finden, die sich in der Praxis kaum umsetzen lassen. So empfiehlt das BSI beispielsweise in SYS.4.4.A8 „Beschaffungskriterien für IoT-Geräte“: „IoT-Geräten [sic] mit einem Cloud-Konzept SOLLTEN nicht beschafft werden“. Leider benötigen die meisten Geräte heutzutage Zugang zu Cloud-Ressourcen des Herstellers.

Stefan Strobel, Geschäftsführender Gesellschafter und Gründer der cirosec GmbH