US-IT-LIFESTYLE-CES
© APA/AFP/ROBYN BECK / ROBYN BECK

Digital Life

Warum vernetzte Gadgets unter dem Weihnachtsbaum ein Sicherheitsrisiko sind

Zu Weihnachten werden immer mehr technische Geräte mit Internet- oder Bluetooth-Verbindung verschenkt. Doch viele dieser Gadgets kommen mit Sicherheitsmängeln und bringen somit eine neue Bedrohung in den Haushalt. Davor warnen Expert*innen.

„Bei Untersuchungen in unserem Labor finden wir gravierende Sicherheitslücken in über 90 Prozent aller Geräte, unabhängig von den Herstellern“, sagt Sicherheitsexperte Jan Wendenburg von „IoT Inspector“ auf futurezone-Anfrage. IoT Inspector analysiert vernetzte Geräte automatisiert auf kritische Sicherheitslücken.

Unter den untersuchten Gadgets befinden sich auch viele beliebte Weihnachtsgeschenke. Das sind etwa smarte Speaker, intelligente Spielsachen wie ein Teddy, oder eine Puppe oder smarte Haushaltsgeräte wie Kaffeemaschinen, die sich per App steuern lassen. Auch bei Babymonitoren, Überwachungskameras, die eigentlich der eigenen Sicherheit dienen sollten, und Smart TVs, die per WLAN mit dem Internet verbunden sind, werden regelmäßig Lücken festgestellt.

Darum sind die Sicherheitslücken gefährlich

Die Sicherheitslücken stellen ein Problem dar, weil darüber etwa Personen im Haushalt ausspioniert werden können, wenn etwa eine Kamera fremdgesteuert wird. So verfolgte eine Babycam etwa eine Mutter täglich beim Stillen, bis sie die eingeschaltete Kamera bemerkte und Alarm schlug. Eine  vernetzte Spielzeugpuppe wurde in Deutschland sogar vom Markt genommen, weil sie als „verbotenes Spionagegerät“ eingestuft worden ist. Über vernetzte Geräte können Kriminelle aber auch Zugang zum lokalen Netzwerk erhalten, um sensible Daten zu stehlen.

Sicherheitsforscher*innen melden derartige Lücken regelmäßig an Hersteller*innen. Doch sie stoßen dabei immer wieder auf Probleme. Laut der IoT Security Foundation, einer EU-weiten Organisation, die sich für die Sicherheit von vernetzten Geräten einsetzt, reagieren fast 80 Prozent aller Firmen, die derartige Geräte verkaufen, gar nicht oder unzureichend auf gemeldete Sicherheitsmängel. Das zeigt eine aktuelle Studie, die im November diesen Jahres durchgeführt wurde (PDF).

Bei Herstellern von Smart TVs funktioniert dies am besten, diese haben auch ein genaues Prozedere zum Melden der Lücken definiert. Bei Audiogeräten sind es jedoch nur 12,5 Prozent, bei smarten Lampen nur 4,9 Prozent und bei Herstellern von Türschlössern oder Alarmanlagen ist es nur jeder Fünfte, der ein Konzept dafür hat.

Problem besteht seit Jahren

„Die Situation ist seit Jahren sehr bedenklich. Selbst bei etablierten Marken treten immer wieder ausnutzbaren Schwachstellen auf, die Endverbraucher*innen und ihre Geräte dann in Schwierigkeiten bringen. Vereinzelt ist das Bewusstsein der Hersteller für mehr Sicherheit ihrer IoT-Geräte gestiegen, aber momentan steht immer noch die leichte Nutzbarkeit ohne große Hürden im Vordergrund“, sagt Michael Veit, Security-Experte bei Sophos auf futurezone-Anfrage.

Das ist für Käufer*innen smarte Produkte wichtig zu wissen

Was muss du also beachten, wenn sie vernetzte Geräte zu Weihnachten verschenken? Auch wenn die Produkte großer, namhafter Unternehmen nicht immer sicherer sind als andere, ist die Wahl eines verlässlichen Herstellers mit guter Reputation laut Wendenburg von IoT-Inspector dennoch oft eine „gute Wahl“. Veit von Sophos ergänzt, dass bei Markenprodukten die Update-Prozesse oft besser geregelt seien und Nutzer*innen häufig die wichtigsten Updates auf den Website der Hersteller*innen finden.

„Grundsätzlich empfehlen wir immer zu prüfen, ob ein Hersteller eine Website und Büroadresse hat. Einige Hersteller*innen, die ihre Produkte auf den gängigen Online-Marktplätzen verkaufen, sind zweifelhafte Anbieter*innen ohne Internetpräsenz oder Kontaktmöglichkeit und im Schadensfall entsprechend nicht erreichbar“, warnt Wendenburg.

Außerdem ist es ratsam, sich noch vor dem Kauf zu erkundigen, welche und wie viele persönliche Daten von einem Gerät abgefragt werden. „Viele IoT-Gadgets arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie und Ihren Kindern auf. Hier gilt die einfache Faustregel: Je weniger Informationen das Gerät abfragt oder benötigt, desto besser. Denn Daten, die gar nicht erst erfasst werden, können auch nicht durch Kriminelle kompromittiert werden“, sagt Wendenburg.

Man watching TV, holding remote control

Smart-TV-Hersteller*innen haben zumindest ihre Prozesse, wie man Sicherheitslücken melden kann, bereits verbessert

Wird sich die Lage je bessern?

Ob sich die Situation je verbessern wird? "Leider steckt das Thema Sicherheit bei IoT-Produkten nach wie vor in den Kinderschuhen. Selbst bekannte Anbieter haben eine schlechte Erfolgsbilanz bei der Veröffentlichung von Updates und viele Geräte machen es erforderlich, dass Nutzer*innen in Eigeninitiative nach Firmware-Updates suchen", meint Veit von Sophos.

"Was wir brauchen, sind effektive Industriestandards und Best-Practice-Anweisungen – inklusive Tests der IoT-Geräte auf potenzielle Sicherheitslücken, bevor sie an Kund*innen ausgeliefert werden. Zudem muss klar festgelegt werden, wie das Patchen im Fall der Fälle erfolgt und wie Nutzer*innen über potenzielle Lücken informiert werden", so der Security-Experte.

Gesetzgebungsprozesse sind im Gange

Auf Seiten der Gesetzgebung tut sich auch gerade etwas. Das Thema wird jetzt bereits viel ernster genommen als noch vor 5 Jahren. "Die EU erhöht jetzt deutlich den Druck auf Hersteller*innen, Integrator*innen und Händler*innen von IoT Geräten, zum Schutz von Unternehmen und Verbraucher*innen", erklärt Wendenburg. In Deutschland legte etwa die neue Bundesregierung in ihrem Koalitionsvertrag fest, dass Hersteller*innen künftig für Schäden haften, “die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.“

Auch in Großbritannien ist ein Gesetz in Planung, dass die IoT-Sicherheit massiv verbessern soll. Neben einem Verbot von Standardpasswörtern werden Hersteller*innen dazu verpflichtet, den Konsument*innen eine Anlaufstelle bereitzustellen, damit sie Schwachstellen melden können. Darauf ist außerdem "zeitnah" zu reagieren. Die Hersteller*innen müssen zudem ausdrücklich die Mindestdauer angeben, für die das Gerät online oder im Geschäft Sicherheitsupdates erhält. Insofern ist zu erwarten, dass sich in Zukunft etwas bessern wird.

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare