Warum vernetzte Gadgets unter dem Weihnachtsbaum ein Sicherheitsrisiko sind
Dieser Artikel ist älter als ein Jahr!
Zu Weihnachten werden immer mehr technische Geräte mit Internet- oder Bluetooth-Verbindung verschenkt. Doch viele dieser Gadgets kommen mit Sicherheitsmängeln und bringen somit eine neue Bedrohung in den Haushalt. Davor warnen Expert*innen.
„Bei Untersuchungen in unserem Labor finden wir gravierende Sicherheitslücken in über 90 Prozent aller Geräte, unabhängig von den Herstellern“, sagt Sicherheitsexperte Jan Wendenburg von „IoT Inspector“ auf futurezone-Anfrage. IoT Inspector analysiert vernetzte Geräte automatisiert auf kritische Sicherheitslücken.
Unter den untersuchten Gadgets befinden sich auch viele beliebte Weihnachtsgeschenke. Das sind etwa smarte Speaker, intelligente Spielsachen wie ein Teddy, oder eine Puppe oder smarte Haushaltsgeräte wie Kaffeemaschinen, die sich per App steuern lassen. Auch bei Babymonitoren, Überwachungskameras, die eigentlich der eigenen Sicherheit dienen sollten, und Smart TVs, die per WLAN mit dem Internet verbunden sind, werden regelmäßig Lücken festgestellt.
Darum sind die Sicherheitslücken gefährlich
Die Sicherheitslücken stellen ein Problem dar, weil darüber etwa Personen im Haushalt ausspioniert werden können, wenn etwa eine Kamera fremdgesteuert wird. So verfolgte eine Babycam etwa eine Mutter täglich beim Stillen, bis sie die eingeschaltete Kamera bemerkte und Alarm schlug. Eine vernetzte Spielzeugpuppe wurde in Deutschland sogar vom Markt genommen, weil sie als „verbotenes Spionagegerät“ eingestuft worden ist. Über vernetzte Geräte können Kriminelle aber auch Zugang zum lokalen Netzwerk erhalten, um sensible Daten zu stehlen.
Sicherheitsforscher*innen melden derartige Lücken regelmäßig an Hersteller*innen. Doch sie stoßen dabei immer wieder auf Probleme. Laut der IoT Security Foundation, einer EU-weiten Organisation, die sich für die Sicherheit von vernetzten Geräten einsetzt, reagieren fast 80 Prozent aller Firmen, die derartige Geräte verkaufen, gar nicht oder unzureichend auf gemeldete Sicherheitsmängel. Das zeigt eine aktuelle Studie, die im November diesen Jahres durchgeführt wurde (PDF).
Bei Herstellern von Smart TVs funktioniert dies am besten, diese haben auch ein genaues Prozedere zum Melden der Lücken definiert. Bei Audiogeräten sind es jedoch nur 12,5 Prozent, bei smarten Lampen nur 4,9 Prozent und bei Herstellern von Türschlössern oder Alarmanlagen ist es nur jeder Fünfte, der ein Konzept dafür hat.
Problem besteht seit Jahren
„Die Situation ist seit Jahren sehr bedenklich. Selbst bei etablierten Marken treten immer wieder ausnutzbaren Schwachstellen auf, die Endverbraucher*innen und ihre Geräte dann in Schwierigkeiten bringen. Vereinzelt ist das Bewusstsein der Hersteller für mehr Sicherheit ihrer IoT-Geräte gestiegen, aber momentan steht immer noch die leichte Nutzbarkeit ohne große Hürden im Vordergrund“, sagt Michael Veit, Security-Experte bei Sophos auf futurezone-Anfrage.
Das ist für Käufer*innen smarte Produkte wichtig zu wissen
Was muss du also beachten, wenn sie vernetzte Geräte zu Weihnachten verschenken? Auch wenn die Produkte großer, namhafter Unternehmen nicht immer sicherer sind als andere, ist die Wahl eines verlässlichen Herstellers mit guter Reputation laut Wendenburg von IoT-Inspector dennoch oft eine „gute Wahl“. Veit von Sophos ergänzt, dass bei Markenprodukten die Update-Prozesse oft besser geregelt seien und Nutzer*innen häufig die wichtigsten Updates auf den Website der Hersteller*innen finden.
„Grundsätzlich empfehlen wir immer zu prüfen, ob ein Hersteller eine Website und Büroadresse hat. Einige Hersteller*innen, die ihre Produkte auf den gängigen Online-Marktplätzen verkaufen, sind zweifelhafte Anbieter*innen ohne Internetpräsenz oder Kontaktmöglichkeit und im Schadensfall entsprechend nicht erreichbar“, warnt Wendenburg.
Außerdem ist es ratsam, sich noch vor dem Kauf zu erkundigen, welche und wie viele persönliche Daten von einem Gerät abgefragt werden. „Viele IoT-Gadgets arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie und Ihren Kindern auf. Hier gilt die einfache Faustregel: Je weniger Informationen das Gerät abfragt oder benötigt, desto besser. Denn Daten, die gar nicht erst erfasst werden, können auch nicht durch Kriminelle kompromittiert werden“, sagt Wendenburg.
Wird sich die Lage je bessern?
Ob sich die Situation je verbessern wird? "Leider steckt das Thema Sicherheit bei IoT-Produkten nach wie vor in den Kinderschuhen. Selbst bekannte Anbieter haben eine schlechte Erfolgsbilanz bei der Veröffentlichung von Updates und viele Geräte machen es erforderlich, dass Nutzer*innen in Eigeninitiative nach Firmware-Updates suchen", meint Veit von Sophos.
"Was wir brauchen, sind effektive Industriestandards und Best-Practice-Anweisungen – inklusive Tests der IoT-Geräte auf potenzielle Sicherheitslücken, bevor sie an Kund*innen ausgeliefert werden. Zudem muss klar festgelegt werden, wie das Patchen im Fall der Fälle erfolgt und wie Nutzer*innen über potenzielle Lücken informiert werden", so der Security-Experte.
Gesetzgebungsprozesse sind im Gange
Auf Seiten der Gesetzgebung tut sich auch gerade etwas. Das Thema wird jetzt bereits viel ernster genommen als noch vor 5 Jahren. "Die EU erhöht jetzt deutlich den Druck auf Hersteller*innen, Integrator*innen und Händler*innen von IoT Geräten, zum Schutz von Unternehmen und Verbraucher*innen", erklärt Wendenburg. In Deutschland legte etwa die neue Bundesregierung in ihrem Koalitionsvertrag fest, dass Hersteller*innen künftig für Schäden haften, “die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.“
Auch in Großbritannien ist ein Gesetz in Planung, dass die IoT-Sicherheit massiv verbessern soll. Neben einem Verbot von Standardpasswörtern werden Hersteller*innen dazu verpflichtet, den Konsument*innen eine Anlaufstelle bereitzustellen, damit sie Schwachstellen melden können. Darauf ist außerdem "zeitnah" zu reagieren. Die Hersteller*innen müssen zudem ausdrücklich die Mindestdauer angeben, für die das Gerät online oder im Geschäft Sicherheitsupdates erhält. Insofern ist zu erwarten, dass sich in Zukunft etwas bessern wird.
Kommentare